Оставьте отзыв о скачивании PDF-файла.

Управление клиентами
Сведения о применении настраиваемых конфигураций к клиентским устройствам с
Windows. В Windows доступно множество функций и методов для настройки и
блокирования определенных компонентов интерфейса Windows.

Управление устройствами

ｅ ОБЩИЕ СВЕДЕНИЯ

Обзор управления мобильными устройствами (MDM)

ｐ КОНЦЕПЦИЯ

Управление параметрами

Управление обновлениями

Управление приложениями

Управление Copilot в Windows

Copilot в Windows

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Управление Copilot в Windows

ｅ ОБЩИЕ СВЕДЕНИЯ

Ознакомительный обзор

Данные и конфиденциальность

Справочник по поставщикам служб конфигурации

ｅ ОБЩИЕ СВЕДЕНИЯ

Справочник по CSP

ｐ КОНЦЕПЦИЯ
Общие сведения о политиках ADMX

Поставщик моста WMI

Поддержка протокола OMA DM

ｉ ССЫЛКА

Поставщик служб конфигурации DynamicManagement

Поставщик служб конфигурации BitLocker

Поставщик CSP политики — обновление

Регистрация устройств

ｅ ОБЩИЕ СВЕДЕНИЯ

Регистрация мобильного устройства

ｐ КОНЦЕПЦИЯ

Регистрация устройств с Windows

Автоматическая регистрация с помощью Microsoft Entra ID

Автоматическая регистрация с помощью групповой политики

Массовая регистрация

Инструменты управления клиентами

ｄ ОБУЧЕНИЕ

Средства Windows/Администрирование

Использование Быстрой поддержки

Подключение к устройствам Microsoft Entra

Создание обязательных профилей пользователей

Устранение неполадок в работе клиентов Windows

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Устранение неполадок в работе клиентов Windows

Дополнительные способы устранения неполадок в сети Windows

Расширенное устранение неполадок при запуске и неполадок производительности

Windows

Расширенное устранение неполадок с профилями пользователей и входом

Обзор мобильных Управление
устройствами
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Windows предоставляет решение для управления предприятием, помогающее ИТ-

специалистам управлять политиками безопасности компании и бизнес-
приложениями, избегая при этом нарушения конфиденциальности пользователей
на личных устройствах. Встроенный компонент управления может
взаимодействовать с сервером управления.

Компонент управления Windows имеет две части:

Клиент регистрации, который регистрирует и настраивает устройство для

связи с корпоративным сервером управления. Дополнительные сведения см.
в статье Общие сведения о регистрации.
Клиент управления, который периодически синхронизируется с сервером
управления для проверка обновлений и применения последних политик,
заданных ИТ-службой.

Сторонние серверы MDM могут управлять устройствами Windows с помощью

протокола MDM. Встроенный клиент управления может взаимодействовать со
сторонним прокси-сервером, который поддерживает протоколы, описанные в
этом документе, для выполнения задач корпоративного управления. Сторонний
сервер имеет тот же согласованный пользовательский интерфейс для регистрации,
что также обеспечивает простоту для пользователей Windows. Серверам MDM не
нужно создавать или скачивать клиент для управления Windows.

Дополнительные сведения о протоколах MDM см. в разделе

[MS-MDE2]: протокол регистрации мобильных устройств версии 2

[MS-MDM]: протокол мобильного Управление устройствами

Базовые показатели безопасности MDM

Корпорация Майкрософт предоставляет базовые показатели безопасности MDM,
которые работают так же, как базовые показатели безопасности групповой
политики Майкрософт. Вы можете легко интегрировать этот базовый план в любое
решение MDM для удовлетворения операционных потребностей ИТ-специалистов,
устраняя проблемы безопасности современных облачных устройств.
Базовые показатели безопасности MDM включают политики, охватывающие
следующие области:

Технологии безопасности почты Майкрософт (не рекомендуется), такие как

BitLocker, Защитник Windows SmartScreen, Exploit Guard, антивирусная
программа Microsoft Defender и брандмауэр
Ограничение удаленного доступа к устройствам
Установка требований к учетным данным для паролей и ПИН-кодов
Ограничение использования устаревших технологий
Устаревшие технологические политики, предлагающие альтернативные
решения с использованием современных технологий
И многое другое

Дополнительные сведения о политиках MDM, определенных в базовых планах

безопасности MDM, и о рекомендуемых значениях базовых политик Майкрософт
см. в следующих разделах:

Базовые показатели безопасности MDM для Windows 11

Базовые показатели безопасности MDM для Windows 10, версия 2004
Базовые показатели безопасности MDM для Windows 10 версии 1909
Базовые показатели безопасности MDM для Windows 10 версии 1903
Базовые показатели безопасности MDM для Windows 10, версия 1809

Сведения о политиках MDM, определенных в Intune базовых планах безопасности,

см. в статье Параметры базовых показателей безопасности Windows для Intune.

Требования к выпуску и лицензированию

Windows
В следующей таблице перечислены выпуски Windows, поддерживающие
современное управление устройствами через (MDM):

ﾉ Развернуть таблицу

Windows Windows Windows Pro для Windows для

Pro Корпоративная образовательных образовательных
учреждений/SE учреждений

Да Да Да Да

Современные права на управление устройствами с помощью лицензий (MDM)

предоставляются следующими лицензиями:
 ﾉ Развернуть таблицу

Windows Pro/Pro Windows Windows Windows для Windows для

для Корпоративная Корпоративная образовательных образовательных
образовательных E3 E5 учреждений A3 учреждений A5
учреждений/SE

Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор

лицензирования Windows.

Часто задаваемые вопросы

Может ли быть несколько серверов MDM для

регистрации устройств и управления ими в Windows?
Нет. Допускается только одна MDM.

Разделы справки задать максимальное количество

Microsoft Entra присоединенных устройств на
пользователя?
1. Войдите на портал с правами администратора клиента:
[Link] .
2. Перейдите к Microsoft Entra ID, затем Устройства, а затем выберите
Параметры устройства.
3. Измените число в разделе Максимальное число устройств на пользователя.

Что такое dmwappushsvc?

ﾉ Развернуть таблицу

Запись Описание

Что такое Это служба Windows, которая поставляется в операционной системе

dmwappushsvc? Windows в составе платформы управления Windows. Он используется
внутренне операционной системой в качестве очереди для
классификации и обработки всех сообщений протокола
беспроводного приложения (WAP), в том числе сообщений
управления Windows и индикации и загрузки службы (SI/SL). Служба
 Запись Описание

также инициирует и оркестрирует сеансы синхронизации управления

с сервером MDM.

Какие данные Это компонент, обрабатывающий внутреннюю работу платформы

обрабатываются управления и участвующий в обработке сообщений, полученных
dmwappushsvc? устройством удаленно для управления. Сообщения в очереди
обслуживаются другим компонентом, который также является частью
стека управления Windows для обработки сообщений. Служба также
направляет и проверяет подлинность сообщений WAP, полученных
устройством, во внутренние компоненты ОС, которые обрабатывают
их далее. Эта служба не отправляет данные телеметрии.

Разделы справки Службу можно остановить в консоли "Службы" на устройстве (запуск

отключить, если > службы.msc>) и найти службу маршрутизации push-сообщений
выключить? Управление устройствами протокола WAP. Однако, так как эта
служба является компонентной частью ОС и требуется для
правильной работы устройства, настоятельно рекомендуется не
отключать службу. Отключение этой службы приводит к сбою
управления.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Новые возможности регистрации и
управления мобильными устройствами
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В этой статье содержатся сведения о новых возможностях регистрации и управления

мобильными устройствами (MDM) на всех устройствах Windows. В этой статье также
содержатся сведения о критических изменениях и известных проблемах, а также часто
задаваемые вопросы.

Дополнительные сведения о протоколах управления мобильными устройствами Майкрософт

для Windows см. в разделе [MS-MDM]: Протокол мобильного Управление устройствами и
[MS-MDE2]: Протокол регистрации мобильных устройств версии 2 .

Новые возможности MDM для Windows 11

версии 22H2
ﾉ Развернуть таблицу

Новая или обновленная статья Описание

DeviceStatus Добавлен следующий узел:

MDMClientCertAttestation

eUUICs Добавлен следующий узел:

IsDiscoveryServer

PersonalDataEncryption Новый поставщик служб CSP

Поставщик служб конфигурации Добавлены следующие узлы:

политики Accounts/RestrictToEnterpriseDeviceAuthenticationOnly
DesktopAppInstaller/EnableAdditionalSources
DesktopAppInstaller/EnableAllowedSources
DesktopAppInstaller/EnableAppInstaller
DesktopAppInstaller/EnableDefaultSource
DesktopAppInstaller/EnableExperimentalFeatures
DesktopAppInstaller/EnableHashOverride
DesktopAppInstaller/EnableLocalManifestFiles
DesktopAppInstaller/EnableMicrosoftStoreSource
DesktopAppInstaller/EnableMSAppInstallerProtocol
DesktopAppInstaller/EnableSettings
DesktopAppInstaller/SourceAutoUpdateInterval
Education/EnableEduThemes
Experience/AllowSpotlightCollectionOnDesktop
FileExplorer/DisableGraphRecentItems
HumanPresence/ForceInstantDim
InternetExplorer/EnableGlobalWindowListInIEMode
InternetExplorer/HideIEAppRetirementNotification
InternetExplorer/ResetZoomForDialogInIEMode
Новая или обновленная статья Описание

LocalSecurityAuthority/AllowCustomSSPsAPs
LocalSecurityAuthority/ConfigureLsaProtectedProcess
MixedReality/AllowCaptivePortalBeforeLogon
MixedReality/AllowLaunchUriInSingleAppKiosk
MixedReality/AutoLogonUser
MixedReality/ConfigureMovingPlatform
MixedReality/ConfigureNtpClient
MixedReality/ManualDownDirectionDisabled
MixedReality/NtpClientEnabled
MixedReality/SkipCalibrationDuringSetup
MixedReality/SkipTrainingDuringSetup
NetworkListManager/AllowedTlsAuthenticationEndpoints

NetworkListManager/ConfiguredTLSAuthenticationNetworkName
Printers/ConfigureCopyFilesPolicy
Принтеры/ConfigureDriverValidationLevel
Printers/ConfigureIppPageCountsPolicy
Принтеры/ConfigureRedirectionGuard
Printers/ConfigureRpcConnectionPolicy
Printers/ConfigureRpcListenerPolicy
Printers/ConfigureRpcTcpPort
Принтеры/УправлениеDriverExclusionList
Printers/RestrictDriverInstallationToAdministrators
RemoteDesktopServices/DoNotAllowWebAuthnRedirection
Search/AllowSearchHighlights
Поиск и отключение поиска
SharedPC/EnableSharedPCModeWithOneDriveSync
Start/DisableControlCenter
Start/DisableEditingQuickSettings
Start/HideRecommendedSection
Start/HideTaskViewButton
Start/SimplifyQuickSettings
Наклейки/EnableStickers
Textinput/allowimenetworkaccess
Update/NoUpdateNotificationDuringActiveHours
WebThreatDefense/EnableService
WebThreatDefense/NotifyMalicious
WebThreatDefense/NotifyPasswordReuse
WebThreatDefense/NotifyUnsafeApp
Windowslogon/EnableMPRNotifications

SecureAssessment Добавлен следующий узел:

Оценки

WindowsAutopilot Добавлен следующий узел:

HardwareMismatchRemediationData

Новые возможности MDM для Windows 11

версии 21H2
 ﾉ Развернуть таблицу

Новая или обновленная статья Описание

Поставщик служб конфигурации Добавлены следующие узлы:

политики Kerberos/PKInitHashAlgorithmConfiguration
Kerberos/PKInitHashAlgorithmSHA1
Kerberos/PKInitHashAlgorithmSHA256
Kerberos/PKInitHashAlgorithmSHA384
Kerberos/PKInitHashAlgorithmSHA512
NewsAndInterests/AllowNewsAndInterests
Интерфейсы/ConfigureChatIcon
Start/ConfigureStartPins
Virtualizationbasedtechnology/HypervisorEnforcedCodeIntegrity

Virtualizationbasedtechnology/RequireUEFIMemoryAttributesTable

Поставщик служб конфигурации Обновлено описание следующих узлов:

DMClient Provider/ProviderID/ConfigLock/Lock
Provider/ProviderID/ConfigLock/UnlockDuration
Provider/ProviderID/ConfigLock/SecuredCore

PrinterProvisioning Новый поставщик служб CSP

Новые возможности MDM для Windows 10

версии 20H2
ﾉ Развернуть таблицу

Новая или обновленная статья Описание

Поставщик служб конфигурации политики Добавлены следующие узлы:

Взаимодействие/DisableCloudOptimizedContent
LocalUsersAndGroups/Configure

MixedReality/AADGroupMembershipCacheValidityInDays
MixedReality/BrightnessButtonDisabled
MixedReality/FallbackDiagnostics
MixedReality/MicrophoneDisabled
MixedReality/VolumeButtonDisabled
Многозадачность/BrowserAltTabBlowout

Поставщик служб конфигурации SurfaceHub Добавлен следующий новый узел:

Properties/SleepMode

Поставщик служб конфигурации Обновлено описание следующего узла:

WindowsDefenderApplicationGuard Settings/AllowWindowsDefenderApplicationGuard

Новые возможности MDM для Windows 10

версии 2004
 ﾉ Развернуть таблицу

Новая или обновленная статья Описание

Поставщик служб конфигурации Добавлены следующие узлы:

политики ApplicationManagement/BlockNonAdminUserInstall
Bluetooth/SetMinimumEncryptionKeySize
DeliveryOptimization/DOCacheHostSource

DeliveryOptimization/DOMaxBackgroundDownloadBandwidth

DeliveryOptimization/DOMaxForegroundDownloadBandwidth
Education/AllowGraphingCalculator
TextInput/ConfigureJapaneseIMEVersion
TextInput/ConfigureSimplifiedChineseIMEVersion
TextInput/ConfigureTraditionalChineseIMEVersion

Обновлена следующая политика:

DeliveryOptimization/DOCacheHost

Не рекомендуется использовать следующие политики:

DeliveryOptimization/DOMaxDownloadBandwidth
DeliveryOptimization/DOMaxUploadBandwidth

DeliveryOptimization/DOPercentageMaxDownloadBandwidth

Поставщик служб конфигурации DevDetail Добавлен следующий новый узел:

Ext/Microsoft/DNSComputerName

Поставщик служб конфигурации Добавлен следующий узел:

EnterpriseModernAppManagement IsStub

Поставщик служб конфигурации SUPL Добавлен следующий узел:

FullVersion

Новые возможности MDM для Windows 10

версии 1909
ﾉ Развернуть таблицу

Новая или обновленная статья Описание

Поставщик служб конфигурации BitLocker Добавлены следующие узлы:

ConfigureRecoveryPasswordRotation
RotateRecoveryPasswords
RotateRecoveryPasswordsStatus
RotateRecoveryPasswordsRequestID

Новые возможности MDM для Windows 10

версии 1903
 ﾉ Развернуть таблицу

Новая или обновленная Описание

статья

Поставщик служб Добавлены следующие узлы:

конфигурации политики DeliveryOptimization/DODelayCacheServerFallbackBackground
DeliveryOptimization/DODelayCacheServerFallbackForeground
DeviceHealthMonitoring/AllowDeviceHealthMonitoring
DeviceHealthMonitoring/ConfigDeviceHealthMonitoringScope

DeviceHealthMonitoring/ConfigDeviceHealthMonitoringUploadDestination
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
Взаимодействие/ShowLockOnUserTile
InternetExplorer/AllowEnhancedSuggestionsInAddressBar
InternetExplorer/DisableActiveXVersionListAutoСкачать
InternetExplorer/DisableCompatView
InternetExplorer/DisableFeedsBackgroundSync
InternetExplorer/DisableGeolocation
InternetExplorer/DisableWebAddressAutoComplete
InternetExplorer/NewTabDefaultPage
Power/EnergySaverBatteryThresholdOnBattery
Power/EnergySaverBatteryThresholdPluggedIn
Power/SelectLidCloseActionOnBatterybr>
Power/SelectLidCloseActionPluggedIn
Power/SelectPowerButtonActionOnBattery
Power/SelectPowerButtonActionPluggedIn
Power/SelectSleepButtonActionOnBattery
Power/SelectSleepButtonActionPluggedIn
Power/TurnOffHybridSleepOnBattery
Power/TurnOffHybridSleepPluggedIn
Power/UnattendedSleepTimeoutOnBattery
Power/UnattendedSleepTimeoutPluggedIn
Конфиденциальность/LetAppsActivateWithVoice
Privacy/LetAppsActivateWithVoiceAboveLock
Search/AllowFindMyFiles
ServiceControlManager/SvchostProcessMitigation
System/AllowCommercialDataPipelinebr>
System/TurnOffFileHistory
TimeLanguageSettings/ConfigureTimeZonebr>
Устранение неполадок/allowRecommendations
Update/AutomaticMaintenanceWakeUp
Update/ConfigureDeadlineForFeatureUpdates
Update/ConfigureDeadlineForQualityUpdates
Update/ConfigureDeadlineGracePeriod
WindowsLogon/AllowAutomaticRestartSignOn
WindowsLogon/ConfigAutomaticRestartSignOn
WindowsLogon/EnableFirstLogonAnimation

Поставщик служб CSP Добавлен новый поставщик служб CSP политики аудита.
политики — аудит

Поставщик служб Добавлен новый поставщик служб CSP.

конфигурации
Новая или обновленная Описание
статья

ApplicationControl

Поставщик служб Добавлены следующие новые узлы:

конфигурации Defender Health/TamperProtectionEnabled
Health/IsVirtualMachine
Конфигурация
Конфигурация или изменение защиты
Configuration/EnableFileHashComputation

Поставщик служб Добавлена версия 1.4 поставщика служб CSP.

конфигурации DiagnosticLog Добавлена новая версия DDF 1.4.
DiagnosticLog DDF Добавлены следующие новые узлы:
Политика
Политика и каналы
Policy/Channels/ChannelName
Policy/Channels/ChannelName/MaximumFileSize
Policy/Channels/ChannelName/SDDL
Policy/Channels/ChannelName/ActionWhenFull
Политика,каналы/имя_канала/включено
DiagnosticArchive
DiagnosticArchive/ArchiveDefinition
DiagnosticArchive/ArchiveResults

Поставщик служб Добавлен новый поставщик служб CSP.

конфигурации
EnrollmentStatusTracking

Поставщик служб Добавлены следующие новые узлы:

конфигурации SecurityKey
PassportForWork SecurityKey/UseSecurityKeyForSignin

Новые возможности MDM для Windows 10,

версия 1809
ﾉ Развернуть таблицу

Новая или обновленная статья Описание

Поставщик служб конфигурации Добавлены следующие узлы:

политики ApplicationManagement/LaunchAppAfterLogOn
ApplicationManagement/ScheduleForceRestartForUpdateFailures
Authentication/EnableFastFirstSignIn (только в режиме предварительной
версии)
Authentication/EnableWebSignIn (только в режиме предварительного
просмотра)
Authentication/PreferredAadTenantDomainName
Browser/AllowFullScreenMode
Browser/AllowPrelaunch
Browser/AllowPrinting
Browser/AllowSavingHistory
Новая или обновленная статья Описание

Browser/AllowSideloadingOfExtensions
Browser/AllowTabPreloading
Browser/AllowWebContentOnNewTabPage
Browser/ConfigureFavoritesBar
Browser/ConfigureHomeButton
Browser/ConfigureKioskMode
Browser/ConfigureKioskResetAfterIdleTimeout
Browser/ConfigureOpenMicrosoftEdgeWith
Browser/ConfigureTelemetryForMicrosoft365Analytics
Browser/PreventCertErrorOverrides
Browser/SetHomeButtonURL
Browser/SetNewTabPageURL
Browser/UnlockHomeButton
Defender/CheckForSignaturesBeforeRunningScan
Defender/DisableCatchupFullScan
Defender/DisableCatchupQuickScan
Defender/EnableLowCPUPriority
Defender/SignatureUpdateFallbackOrder
Defender/SignatureUpdateFileSharesSources
DeviceGuard/ConfigureSystemGuardLaunch
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/PreventDeviceMetadataFromNetwork

DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtPolicySettings
DmaGuard/DeviceEnumerationPolicy
Взаимодействие/AllowClipboardHistory
Взаимодействие/DoNotSyncBrowserSettings
Взаимодействие/PreventUsersFromTurningOnBrowserSyncing
Kerberos/UPNNameHints
Конфиденциальность/AllowCrossDeviceClipboard
Конфиденциальность/DisablePrivacyExperience
Конфиденциальность/UploadUserActivities
Security/RecoveryEnvironmentAuthentication
System/AllowDeviceNameInDiagnosticData
System/ConfigureMicrosoft365UploadEndpoint
System/DisableDeviceDelete
System/DisableDiagnosticDataViewer
Storage/RemovableDiskDenyWriteAccess
TaskManager/AllowEndTask
Обновление/отключениеWUfBSafeguards
Update/EngagedRestartDeadlineForFeatureUpdates
Update/EngagedRestartSnoozeScheduleForFeatureUpdates
Update/EngagedRestartTransitionScheduleForFeatureUpdates
Update/SetDisablePauseUXAccess
Update/SetDisableUXWUAccess
WindowsDefenderSecurityCenter/DisableClearTpmButton
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning

WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl
WindowsLogon/DontDisplayNetworkSelectionUI
 Новая или обновленная статья Описание

Поставщик служб конфигурации Добавлен новый узел AllowStandardUserEncryption.

BitLocker Добавлена поддержка выпуска Pro.

Поставщик служб конфигурации Добавлен новый узел Health/ProductStatus.

Defender

Поставщик служб конфигурации Добавлен новый узел SMBIOSSerialNumber.

DevDetail

Поставщик служб конфигурации Добавлен параметр Non-Съемный в узле AppManagement.

EnterpriseModernAppManagement

Поставщик служб конфигурации Добавлен параметр FinalStatus.

Office

Поставщик служб конфигурации Добавлены новые параметры.

PassportForWork

Поставщик служб конфигурации Добавлены новые параметры.

RemoteWipe

Поставщик служб конфигурации Добавлены три новых узла сертификата.

SUPL

Поставщик служб конфигурации Добавлен новый поставщик служб CSP.

TenantLockdown

Поставщик служб CSP Wi-Fi Добавлен новый узел WifiCost.

Поставщик служб конфигурации Добавлены новые параметры.

WindowsDefenderApplicationGuard

Поставщик служб конфигурации Добавлены параметры S-режима и примеры SyncML.

WindowsLicensing

Поставщик служб конфигурации Новый поставщик служб CSP.

Win32CompatibilityAppraiser

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Интеграция Microsoft Entra с MDM
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Microsoft Entra ID — это крупнейшая в мире корпоративная служба управления

облачными удостоверениями. Он используется организациями для доступа к Microsoft
365 и бизнес-приложениям от корпорации Майкрософт и сторонних поставщиков
программного обеспечения как услуги (SaaS). Многие возможности Windows для
пользователей организации (например, доступ к хранилищу или перемещение
состояния ОС) используют Идентификатор Microsoft Entra в качестве базовой
инфраструктуры удостоверений. Windows интегрируется с Microsoft Entra ID, позволяя
зарегистрировать устройства в Microsoft Entra ID и зарегистрировать их в управлении
мобильными устройствами (MDM) в интегрированном потоке.

После регистрации устройства в MDM:

Может обеспечить соответствие политикам организации, добавлять или удалять

приложения и т. д.
Может сообщить о соответствии устройства идентификатору Microsoft Entra.
Может разрешить доступ к ресурсам организации или приложениям, защищенным
идентификатором Microsoft Entra, для устройств, соответствующих политикам.

Для поддержки этих расширенных возможностей в своем продукте MDM поставщики

MDM могут интегрироваться с Microsoft Entra ID.

Интеграция регистрации MDM и

пользовательского интерфейса
Существует несколько способов подключения устройств к Идентификатору Microsoft
Entra:

Присоединение устройства к Идентификатору Microsoft Entra

Присоединение устройства к локальной службе AD и идентификатору Microsoft
Entra
Добавление рабочей учетной записи Майкрософт в Windows

В каждом сценарии Microsoft Entra проверяет подлинность пользователя и устройства.

Он предоставляет проверенный уникальный идентификатор устройства, который
можно использовать для регистрации MDM. Поток регистрации предоставляет службе
MDM возможность отрисовки собственного пользовательского интерфейса с помощью
веб-представления. Поставщики MDM должны использовать пользовательский
интерфейс для отображения условий использования (TOU), которые могут отличаться
для устройств, принадлежащих компании и byOD. Поставщики MDM также могут
использовать веб-представление для отображения дополнительных элементов
пользовательского интерфейса, таких как запрос одноразового ПИН-кода.

В Windows 10 веб-представление во время стандартного сценария по умолчанию

отображается в полноэкранном режиме, предоставляя поставщикам MDM возможность
создания простого взаимодействия с пользователем. Однако в Windows 11 веб-
представление отображается в iframe. Важно, чтобы поставщики MDM, которые
интегрируются с Microsoft Entra ID, соблюдали рекомендации по проектированию
Windows. Этот шаг включает использование адаптивного веб-дизайна и соблюдение
рекомендаций по специальным возможностям Windows. Например, включите кнопки
вперед и назад, которые правильно подключены к логике навигации. Дополнительные
сведения см. далее в этой статье.

Чтобы регистрация Microsoft Entra работала для учетной записи Microsoft Entra с
поддержкой федерации Active Directory (AD FS), необходимо включить проверку
подлинности по паролю для интрасети в службе ADFS. Дополнительные сведения см. в
разделе Настройка многофакторной проверки подлинности Microsoft Entra в качестве
поставщика проверки подлинности с помощью AD FS.

После того как у пользователя есть учетная запись Microsoft Entra, добавленная в
Windows и зарегистрированная в MDM, регистрация может управляться с помощью
параметров Учетные>>записиДоступ к рабочей или учебной программе. Управление
устройствами присоединения к Microsoft Entra для сценариев организации или BYOD
аналогично.

７ Примечание

Пользователи не могут удалить регистрацию устройства с помощью рабочего или

учебного пользовательского интерфейса Access, так как управление привязано к
идентификатору Microsoft Entra или рабочей учетной записи.

Конечные точки MDM, участвующие в интегрированной

регистрации Microsoft Entra
Регистрация Microsoft Entra MDM состоит из двух этапов:

1. Отображение условий использования и получение согласия пользователя. Это

согласие является пассивным потоком, в котором пользователь перенаправляется
в элементе управления браузера (webview) на URL-адрес условий использования
MDM.
2. Регистрация устройства. Этот шаг является активным потоком, в котором агент
Windows OMA DM вызывает службу MDM для регистрации устройства.
Для поддержки регистрации Microsoft Entra поставщики MDM должны разместить и
предоставить конечную точку условий использования и конечную точку регистрации
MDM.

Конечная точка условий использования. Используйте эту конечную точку для

информирования пользователей о способах, которыми их организация может
управлять устройством. Страница "Условия использования " отвечает за сбор
согласия пользователя до начала фактического этапа регистрации.

Важно понимать, что поток условий использования является "непрозрачным

полем" для Windows и идентификатора Microsoft Entra. Все веб-представление
перенаправляется на URL-адрес условий использования. Пользователь должен
быть перенаправлен обратно после утверждения или отклонения Условий. Такая
конструкция позволяет поставщику MDM настраивать условия использования для
различных сценариев. Например, различные уровни управления применяются к
устройствам BYOD и устройствам, принадлежащим организации. Или реализуйте
нацеливание на основе пользователей или групп, например пользователи в
определенных географических регионах могут иметь более строгие политики
управления устройствами.

Конечная точка "Условия использования" позволяет реализовать дополнительную

бизнес-логику, например собирать одноразовый ПИН-код, предоставляемый ИТ-
службой для управления регистрацией устройств. Однако поставщики MDM не
должны использовать поток условий использования для сбора учетных данных
пользователя, что может привести к ухудшению взаимодействия с пользователем.
Это не требуется, так как часть интеграции MDM гарантирует, что служба MDM
может понимать маркеры, выданные идентификатором Microsoft Entra.

Конечная точка регистрации MDM. После того как пользователи примут условия
использования, устройство регистрируется в идентификаторе Microsoft Entra.
Начинается автоматическая регистрация MDM.

На следующей схеме показан поток высокого уровня, участвующий в фактическом

процессе регистрации. Устройство сначала регистрируется с идентификатором
Microsoft Entra. Этот процесс присваивает устройству уникальный идентификатор и
предоставляет устройству возможность проверки подлинности с помощью
Идентификатора Microsoft Entra (проверка подлинности устройства). Затем
устройство регистрируется для управления с помощью MDM. Этот шаг вызывает
конечную точку регистрации и запрашивает регистрацию для пользователя и
устройства. На этом этапе пользователь прошел проверку подлинности, а
устройство зарегистрировано и прошло проверку подлинности с помощью
идентификатора Microsoft Entra. Эти сведения доступны MDM в виде утверждений
в маркере доступа, представленном в конечной точке регистрации.
 

Ожидается, что MDM будет использовать эти сведения об устройстве

(идентификатор устройства) при отправке сведений о соответствии устройства
обратно в Идентификатор Microsoft Entra с помощью API Microsoft Graph. Пример
отчетности о соответствии устройств приведен далее в этой статье.

Сделайте MDM надежной стороной Microsoft

Entra ID
Для участия в интегрированном потоке регистрации, описанном в предыдущем
разделе, MDM должна использовать маркеры доступа, выданные идентификатором
Microsoft Entra. Чтобы сообщить о соответствии требованиям Идентификатора Microsoft
Entra, MDM должен пройти проверку подлинности на microsoft Entra ID и получить
авторизацию в виде маркера доступа, который позволяет ему вызывать API Microsoft
Graph.

Облачные MDM
Облачный MDM — это приложение SaaS, которое предоставляет возможности
управления устройствами в облаке. Это мультитенантное приложение. Это приложение
зарегистрировано с идентификатором Microsoft Entra в домашнем клиенте поставщика
MDM. Когда ИТ-администратор решает использовать это решение MDM, экземпляр
этого приложения становится видимым в клиенте клиента.

Поставщик MDM должен сначала зарегистрировать приложение в своем домашнем

клиенте и пометить его как мультитенантное приложение. Дополнительные сведения о
добавлении мультитенантных приложений в Microsoft Entra ID см. в статье Интеграция
приложения, которое проверяет подлинность пользователей и вызывает Microsoft
Graph с помощью шаблона интеграции с мультитенантными пользователями (SaaS) на
сайте GitHub.

７ Примечание
 Если у поставщика MDM нет существующего клиента Microsoft Entra с управляемой
подпиской Microsoft Entra, следуйте этим пошаговым руководствам:

Краткое руководство. Создание клиента в Microsoft Entra ID для настройки

клиента.
Свяжите подписку Azure или добавьте ее в клиент Microsoft Entra , чтобы
добавить подписку и управлять ею с помощью портала Azure.

Приложение MDM использует ключи для запроса маркеров доступа из Идентификатора

Microsoft Entra. Эти ключи управляются в клиенте поставщика MDM и не видны
отдельным клиентам. Тот же ключ используется мультитенантным приложением MDM
для проверки подлинности с помощью идентификатора Microsoft Entra в клиенте
клиента, к которому принадлежит управляемое устройство.

７ Примечание

Все приложения MDM должны реализовать токены Microsoft Entra версии 2,

прежде чем мы сертифицируем, что интеграция работает. Из-за изменений в
платформе приложений Microsoft Entra использование токенов Microsoft Entra
версии 2 является жестким требованием. Дополнительные сведения см. в разделе
Маркеры доступа платформы удостоверений Майкрософт.

Локальное управление мобильными устройствами

Локальное приложение MDM отличается от облачного MDM. Это однотенантное
приложение, которое уникально присутствует в клиенте клиента клиента. Клиенты
должны добавить приложение непосредственно в свой клиент. Кроме того, каждый
экземпляр локального приложения MDM должен быть зарегистрирован отдельно и
иметь отдельный ключ для проверки подлинности с идентификатором Microsoft Entra.

Чтобы добавить локальное приложение MDM в клиент, используйте службу Microsoft

Entra, в частности в разделе Мобильность (MDM и MAM)>Добавление
приложения>Создание собственного приложения. Администраторы могут настроить
необходимые URL-адреса для регистрации и условий использования.

Локальный продукт MDM должен предоставлять интерфейс конфигурации, в котором

администраторы могут указать идентификатор клиента, идентификатор приложения и
ключ, настроенный в каталоге для этого приложения MDM. Этот идентификатор клиента
и ключ можно использовать для запроса маркеров из Идентификатора Microsoft Entra
при отправке отчетов о соответствии устройств.

Дополнительные сведения о регистрации приложений с помощью Идентификатора

Microsoft Entra см. в разделе Основные сведения о регистрации приложения в Microsoft
Entra ID.

Рекомендации по управлению ключами и безопасности

Ключи приложений, используемые службой MDM, являются конфиденциальным
ресурсом. Для повышения безопасности их следует периодически защищать и
переворавывать. Маркеры доступа, полученные службой MDM для вызова API Microsoft
Graph, являются маркерами носителя и должны быть защищены, чтобы избежать
несанкционированного раскрытия.

Рекомендации по обеспечению безопасности см. в статье Microsoft Azure Security

Essentials.

Для облачных MDM можно переворачивать ключи приложений, не требуя

взаимодействия с клиентом. Существует единый набор ключей для всех клиентов,
управляемых поставщиком MDM в клиенте Microsoft Entra.

Для локального MDM ключи проверки подлинности Microsoft Entra находятся в клиенте
клиента, и администратор клиента должен перевернуть ключи. Чтобы повысить
безопасность, предоставьте клиентам рекомендации по перемещению и защите
ключей.

Публикация приложения MDM в коллекции

приложений Microsoft Entra
ИТ-администраторы используют коллекцию приложений Microsoft Entra, чтобы
добавить MDM для использования своей организацией. Коллекция приложений — это
многофункциональный магазин с более чем 2400 приложениями SaaS,
интегрированными с Microsoft Entra ID.

Добавление облачных MDM в коллекцию приложений

７ Примечание

Обратитесь к группе разработчиков Microsoft Entra, если ваше приложение MDM

основано на облаке и должно быть включено как мультитенантное приложение
MDM.

Чтобы опубликовать приложение, отправьте запрос на публикацию приложения в

коллекции приложений Microsoft Entra.
В следующей таблице приведены необходимые сведения для создания записи в
коллекции приложений Microsoft Entra.

ﾉ Развернуть таблицу

Элемент Описание

Идентификатор Идентификатор клиента приложения MDM, настроенного в клиенте. Этот

приложения идентификатор является уникальным идентификатором мультитенантного
приложения.

Издатель Строка, идентифицирующая издателя приложения.

URL-адрес URL-адрес целевой страницы приложения, где администраторы могут

приложения получить дополнительные сведения о приложении MDM и содержит ссылку
на целевую страницу приложения. Этот URL-адрес не используется для
фактической регистрации.

Описание Краткое описание приложения MDM, которое должно содержать не более

255 символов.

Значки Набор значков с логотипами для приложения MDM. Размеры: 45 x 45, 150 x
122, 214 x 215

Добавление локальной среды MDM в коллекцию

приложений
Особых требований к добавлению локального MDM в коллекцию приложений нет.
Администраторы могут добавить приложение в клиент.

Однако управление ключами отличается для локальных MDM. Необходимо получить

идентификатор клиента (идентификатор приложения) и ключ, назначенный
приложению MDM в клиенте клиента. Идентификатор и ключ получают авторизацию
для доступа к API Microsoft Graph и отчета о соответствии устройств.

Темы
Страницы, отображаемые MDM в процессе интегрированной регистрации, должны
использовать шаблоны Windows (скачать шаблоны Windows и CSS-файлы (1.1.4) ). Эти
шаблоны важны для регистрации во время присоединения к Microsoft Entra в OOBE, где
все страницы являются html-страницами от края до края. Избегайте копирования
шаблонов, так как трудно правильно установить расположение кнопки.

Существует три отдельных сценария:

1. Регистрация MDM в рамках присоединения к Microsoft Entra в windows OOBE.

 2. Регистрация MDM в рамках присоединения к Microsoft Entra после запуска windows
OOBE из параметров.
3. Регистрация MDM в рамках добавления рабочей учетной записи Майкрософт на
личном устройстве (BYOD).

Эти сценарии поддерживают Windows Pro, Корпоративная и Для образовательных

учреждений.

Css-файлы, предоставляемые корпорацией Майкрософт, содержат сведения о версии, и

мы рекомендуем использовать последнюю версию. Существуют отдельные CSS-файлы
для клиентских устройств Windows, OOBE и интерфейсов после запуска. Скачайте
шаблоны Windows и файлы CSS (1.1.4).

Для Windows 10 используйте [Link]

Для Windows 11 используйте [Link]

Использование тем
Страница MDM должна соответствовать предопределенной теме в зависимости от
отображаемого сценария. Например, если заголовок CXH-HOSTHTTP является FRX,
который является сценарием запуска, то страница должна поддерживать темную тему с
синим цветом фона, который использует файл WinJS [Link] версии 4.0 и oobe-
[Link] версии 1.0.4.

ﾉ Развернуть таблицу

CXH-HOST Сценарий Фоновая тема WinJS CSS сценария

(ЗАГОЛОВОК
HTTP)

FRX OOBE Темная тема + Имя файла: Имя файла:

синий цвет [Link] [Link]
фона

MOSET Параметры/после Светлая тема Имя файла: Имя файла:

запуска при первом [Link] settings-
включении [Link]

Семантика протокола условий использования

На сервере MDM размещается конечная точка условий использования . Во время
потока протокола присоединения Microsoft Entra Windows выполняет полностраничные
перенаправления на эту конечную точку. Это перенаправление позволяет MDM
отображать применимые условия. Это позволяет пользователю принять или отклонить
условия, связанные с регистрацией. После того как пользователь примет условия, MDM
перенаправляется обратно в Windows для продолжения процесса регистрации.

Перенаправление на конечную точку условий

использования
Это перенаправление является полностраничной перенаправлением в конечную точку
"Условия пользователя", размещенную в MDM. Ниже приведен пример URL-адреса
[Link] .

В строке запроса передаются следующие параметры:

ﾉ Развернуть таблицу

Элемент Описание

redirect_uri После того как пользователь примет или отклонит условия использования,
пользователь перенаправляется на этот URL-адрес.

client- GUID, используемый для корреляции журналов в целях диагностики и отладки.

request-id Используйте этот параметр для регистрации или трассировки состояния запроса на
регистрацию, чтобы помочь найти основную причину сбоев.

версия api Указывает версию протокола, запрошенную клиентом. Это значение предоставляет
механизм для поддержки версий протокола.

mode Указывает, что устройство принадлежит организации, если mode=azureadjoin. Этот

параметр отсутствует для устройств BYOD.

Маркер доступа
Идентификатор Microsoft Entra выдает маркер доступа носителя. Маркер передается в
заголовке авторизации HTTP-запроса. Вот типичный формат:

Авторизация: носитель CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...

В маркере доступа, передаваемом Windows в конечную точку Условий использования,

ожидаются следующие утверждения:

ﾉ Развернуть таблицу

Элемент Описание

Идентификатор Идентификатор объекта пользователя, соответствующего пользователю,

объекта прошедшему проверку подлинности.

Имя участника- Утверждение, содержащее имя участника-пользователя (UPN)

пользователя пользователя, прошедшего проверку подлинности.
 Элемент Описание

TID Утверждение, представляющее идентификатор клиента. В предыдущем

примере это Fabrikam.

Ресурс Дезинфицируемый URL-адрес, представляющий приложение MDM.

Пример: [Link]

７ Примечание

В маркере доступа нет утверждения идентификатора устройства, так как в

настоящее время устройство еще не зарегистрировано.

Чтобы получить список членства в группах для пользователя, можно использовать API
Microsoft Graph.

Ниже приведен пример URL-адреса:

HTTP

[Link]
web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-
150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

Ожидается, что MDM проверит подпись маркера доступа, чтобы убедиться, что он
выдан идентификатором Microsoft Entra и что получатель подходит.

Содержимое условий использования

MDM может выполнять другие дополнительные перенаправления по мере
необходимости перед отображением содержимого Условий использования для
пользователя. Соответствующее содержимое условий использования должно быть
возвращено вызывающему объекту (Windows), чтобы его можно было отобразить для
конечного пользователя в элементе управления браузера.

Содержимое условий использования должно содержать следующие кнопки:

Принять — пользователь принимает условия использования и продолжает

регистрацию.
Отклонить — пользователь отклоняет и останавливает процесс регистрации.

Содержимое Условий использования должно соответствовать теме, используемой для

других страниц, отображаемых в ходе этого процесса.
Логика обработки конечной точки условий
использования
На этом этапе пользователь находится на странице Условий использования,
отображаемой во время запуска запуска или из интерфейса параметров. У пользователя
есть следующие параметры на странице:

Пользователь нажимает кнопку Принять . MDM должен перенаправляться на URI,

указанный параметром redirect_uri во входящем запросе. Ожидаются следующие
параметры строки запроса:
IsAccepted — это логическое значение является обязательным и должно иметь
значение true.
OpaqueBlob — обязательный параметр, если пользователь принимает. MDM
может использовать этот большой двоичный объект, чтобы сделать некоторые
сведения доступными для конечной точки регистрации. Сохраненное здесь
значение становится доступным без изменений в конечной точке регистрации.
MDM может использовать этот параметр для корреляции.
Ниже приведен пример перенаправления. ms-appx-web://MyApp1/ToUResponse?
OpaqueBlob=value&IsAccepted=true

Пользователь нажимает кнопку Отклонить . MDM должен перенаправляться на

URI, указанный в redirect_uri во входящем запросе. Ожидаются следующие
параметры строки запроса:
IsAccepted — это логическое значение является обязательным и должно иметь
значение false. Этот параметр также применяется, если пользователь пропустил
условия использования.
OpaqueBlob — этот параметр не будет использоваться. Регистрация
останавливается с сообщением об ошибке, отображаемом пользователю.

Пользователи пропускают условия использования при добавлении рабочей учетной

записи Майкрософт на свое устройство. Однако они не могут пропустить его во время
процесса присоединения к Microsoft Entra. Не показывать кнопку "Отклонить" в
процессе присоединения к Microsoft Entra. Пользователь не может отклонить
регистрацию MDM, если администратор настроен для присоединения к Microsoft Entra.

Мы рекомендуем отправлять параметры client-request-id в строке запроса в рамках

этого ответа перенаправления.

Обработка ошибок условий использования

Если во время обработки условий использования возникает ошибка, MDM может
вернуть два параметра — параметр error и в error_description своем запросе
перенаправления обратно в Windows. URL-адрес должен быть закодирован, а
содержимое error_description должно быть в виде обычного текста на английском
языке. Этот текст не отображается для конечного пользователя. Таким образом,
локализация error_description текста не является проблемой.

Ниже приведен формат URL-адреса:

Консоль

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E

Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?
error=access_denied&error_description=Access%20is%20denied%2E

В следующей таблице показаны коды ошибок.

ﾉ Развернуть таблицу

Причина Состояние Ошибка Описание

HTTP

версия api 302 invalid_request неподдерживаемая версия

Данные клиента или 302 unauthorized_client несанкционированный

пользователя отсутствуют или не пользователь или клиент
выполняются другие
необходимые условия для
регистрации устройств

Сбой проверки маркера 302 unauthorized_client unauthorized_client

Microsoft Entra

внутренняя ошибка службы 302 server_error внутренняя ошибка

службы

Протокол регистрации с идентификатором

Microsoft Entra
При регистрации, интегрированной в Azure MDM, этап обнаружения не выполняется, и
URL-адрес обнаружения передается в систему напрямую из Azure. В следующей таблице
показано сравнение традиционных регистраций и регистраций Azure.

ﾉ Развернуть таблицу
Подробность Традиционная регистрация Присоединение к Идентификатор
MDM Microsoft Entra Microsoft Entra
(устройство, добавляет
принадлежающее рабочую учетную
организации) запись
(устройство,
принадлежающее
пользователю)

Автоматическое регистрация; Неприменимо

обнаружение MDM с URL-адрес
помощью адреса обнаружения,
электронной почты для подготовленный в
получения URL-адреса Azure
обнаружения MDM

Использует URL-адрес регистрация; регистрация; регистрация;

обнаружения MDM Продление регистрации Продление Продление
ROBO регистрации регистрации
ROBO ROBO

Требуется ли регистрация Да Да Нет

MDM? Пользователь
может отклонить.

Тип проверки OnPremise Федеративный Федеративный

подлинности Федеративный
Сертификат

EnrollmentPolicyServiceURL Необязательно (все проверки Необязательно Необязательно

подлинности) (все проверки (все проверки
подлинности) подлинности)

EnrollmentServiceURL Обязательный (все проверки Используется (все Используется (все

подлинности) проверки проверки
подлинности) подлинности)

EnrollmentServiceURL Настоятельно рекомендуется Настоятельно Настоятельно

включает версию ОС, рекомендуется рекомендуется
платформу ОС и другие
атрибуты,
предоставляемые URL-
адресом обнаружения
MDM.

Используется Используется (федеративная Пропущен Пропущен

AuthenticationServiceURL проверка подлинности)

BinarySecurityToken Пользовательская на MDM Выданный токен Выданный токен

идентификатора идентификатора
Microsoft Entra Microsoft Entra

EnrollmentType Полный Устройство Полный

 Подробность Традиционная регистрация Присоединение к Идентификатор
MDM Microsoft Entra Microsoft Entra
(устройство, добавляет
принадлежающее рабочую учетную
организации) запись
(устройство,
принадлежающее
пользователю)

Тип зарегистрированного Сертификат пользователя Сертификат Сертификат

сертификата устройства пользователя

Зарегистрированное My/User My/System My/User

хранилище сертификатов

Имя субъекта CSR Имя участника-пользователя Идентификатор Имя участника-

устройства пользователя

EnrollmentData Terms of Не поддерживается. Поддерживается Поддерживается

Use binary blob as
AdditionalContext for
EnrollmentServiceURL

Поставщики служб Поддержка Windows 10:

конфигурации, доступные — DMClient
во время регистрации — CertificateStore
— RootCATrustedCertificates
— ClientCertificateInstall
—
EnterpriseModernAppManagement
- PassportForWork
-Политика
— w7 APPLICATION

Протокол управления с идентификатором

Microsoft Entra
Существует два разных типа регистрации MDM, которые интегрируются с Microsoft Entra
ID и используют удостоверения пользователей и устройств Microsoft Entra. В
зависимости от типа регистрации службе MDM может потребоваться управлять одним
или несколькими пользователями.

Управление несколькими пользователями для устройств, присоединенных к

Microsoft Entra

В этом сценарии регистрация MDM применяется к каждому пользователю

Microsoft Entra, который входит в устройство, присоединенное к Microsoft Entra.
Этот тип регистрации называется регистрацией устройства или регистрацией с
несколькими пользователями. Сервер управления может определить
удостоверение пользователя, определить, какие политики предназначены для
этого пользователя, и отправить соответствующие политики на устройство. Чтобы
сервер управления идентифицировать текущего пользователя, вошедшего в
систему на устройстве, клиент OMA DM использует маркеры пользователя
Microsoft Entra. Каждый сеанс управления содержит дополнительный заголовок
HTTP, содержащий маркер пользователя Microsoft Entra. Эти сведения
предоставляются в пакете dm, отправляемом на сервер управления. Однако в
некоторых случаях маркер пользователя Microsoft Entra не отправляется на сервер
управления. Один из таких сценариев происходит сразу после завершения
регистрации MDM во время присоединения к Microsoft Entra. До завершения
процесса присоединения к Microsoft Entra и входа пользователя Microsoft Entra на
компьютер маркер пользователя Microsoft Entra не будет доступен для процесса
OMA-DM. Как правило, регистрация MDM завершается до входа пользователя
Microsoft Entra на компьютер, а начальный сеанс управления не содержит маркер
пользователя Microsoft Entra. Сервер управления должен проверить, отсутствует ли
маркер, и отправлять политики устройств только в этом случае. Другой возможной
причиной отсутствия маркера Microsoft Entra в полезных данных OMA-DM является
вход гостя на устройство.

Добавление рабочей учетной записи и регистрации MDM на устройство:

В этом сценарии регистрация MDM применяется к одному пользователю, который

изначально добавил свою рабочую учетную запись и зарегистрировал устройство.
В этом типе регистрации сервер управления может игнорировать маркеры
Microsoft Entra, которые могут быть отправлены во время сеанса управления.
Независимо от того, присутствует ли маркер Microsoft Entra или отсутствует, сервер
управления отправляет на устройство политики пользователей и устройств.

Оценка маркеров пользователей Microsoft Entra:

Токен Microsoft Entra находится в заголовке HTTP Authorization в следующем

формате:

Консоль

Authorization:Bearer <Azure AD User Token Inserted here>

В маркере Microsoft Entra могут присутствовать другие утверждения, например:

Пользователь — пользователь, вошедший в систему
Соответствие устройств — для службы MDM задано значение Azure.
Идентификатор устройства — идентифицирует устройство, которое выполняется
при регистрации.
Идентификатор клиента
 Маркеры доступа, выданные идентификатором Microsoft Entra, являются веб-
токенами JSON (JWT). Windows предоставляет допустимый токен JWT конечной
точке регистрации MDM, чтобы начать процесс регистрации. Существует
несколько вариантов оценки маркеров:
Используйте расширение JWT Token Handler для WIF, чтобы проверить
содержимое маркера доступа и извлечь утверждения, необходимые для
использования. Дополнительные сведения см. в разделе Класс
JwtSecurityTokenHandler.
Ознакомьтесь с примерами кода проверки подлинности Microsoft Entra, чтобы
получить пример для работы с маркерами доступа. Пример см. в разделе
NativeClient-DotNet .

Оповещение устройства 1224 для маркера

пользователя Microsoft Entra
Оповещение отправляется при запуске сеанса интеллектуального анализа данных и
вошедшего в систему пользователя Microsoft Entra. Оповещение отправляется в пакете
OMA DM No1. Вот пример.

XML

Alert Type: [Link]/MDM/AADUserToken

Alert sample:
<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">[Link]/MDM/AADUserToken</Type>
</Meta>
<Data>UserToken inserted here</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>

Определение времени входа пользователя с

помощью опроса
Оповещение отправляется на сервер MDM в пакете DM 1.

Тип оповещения — [Link]/MDM/LoginStatus

Формат оповещений — chr
 Данные оповещений — укажите сведения о состоянии входа для текущего
активного пользователя, выполнившего вход.
Пользователь, выполнивший вход с учетной записью Microsoft Entra, —
предопределенный текст: user.
Вошедшего пользователя без учетной записи Microsoft Entra —
предопределенный текст: другие.
Нет активного пользователя — предопределенный текст:none

Вот пример.

XML

<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">[Link]/MDM/LoginStatus</Type>
</Meta>
<Data>user</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>

Отчет о соответствии устройств с помощью

Microsoft Entra ID
После регистрации устройства в MDM для управления на нем применяются политики
организации, настроенные ИТ-администратором. MDM оценивает соответствие
устройства настроенным политикам, а затем передает его в Microsoft Entra ID. В этом
разделе рассматривается вызов API Graph, который можно использовать для передачи
сведений о состоянии соответствия устройств идентификатору Microsoft Entra.

Пример, демонстрирующий, как MDM может получить маркер доступа с помощью

OAuth 2.0 client_credentials типа предоставления, см. в разделе
Daemon_CertificateCredential-DotNet .

Облачные MDM . Если ваш продукт является облачной мультитенантной службой

MDM, у вас есть один ключ, настроенный для службы в клиенте. Чтобы получить
авторизацию, используйте этот ключ для проверки подлинности службы MDM с
помощью идентификатора Microsoft Entra.
Локальная среда MDM . Если ваш продукт является локальным MDM, клиенты
должны настроить его с помощью ключа, используемого для проверки
подлинности с помощью идентификатора Microsoft Entra. Эта конфигурация ключа
 связана с тем, что каждый локальный экземпляр вашего продукта MDM имеет
отдельный ключ, зависящий от клиента. Таким образом, может потребоваться
предоставить в продукте MDM интерфейс конфигурации, позволяющий
администраторам указать ключ, используемый для проверки подлинности с
помощью идентификатора Microsoft Entra.

Использование API Microsoft Graph

В следующем примере вызова REST API показано, как MDM может использовать API
Microsoft Graph для отчета о состоянии соответствия управляемого устройства.

７ Примечание

Этот API применим только для утвержденных приложений MDM на устройствах

Windows.

Консоль

Sample Graph API Request:

PATCH [Link]
655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{ "isManaged":true,
"isCompliant":true
}

Где:

[Link] — это имя клиента Microsoft Entra, к каталогу которого присоединено

устройство.
db7ab579-3759-4492-a03f-655ca7f52ae1 — это значение является
идентификатором устройства, сведения о соответствии которого передаются в
Идентификатор Microsoft Entra.
eyJ0eXAiO......... . Это значение представляет собой маркер доступа носителя,
выданный идентификатором Microsoft Entra для MDM, который разрешает MDM
вызывать API Microsoft Graph. Маркер доступа помещается в заголовок
авторизации HTTP запроса.
isManaged и isCompliant — эти логические атрибуты указывают на состояние
соответствия.
api-version — используйте этот параметр, чтобы указать, какая версия API graph
запрашивается.
Ответ:

Успешно — HTTP 204 без содержимого.

Сбой или ошибка — HTTP 404 не найден. Эта ошибка может быть возвращена,
если не удается найти указанное устройство или клиент.

Потеря данных во время отмены регистрации

от присоединения к Microsoft Entra
Когда пользователь регистрируется в MDM через присоединение к Microsoft Entra, а
затем отключает регистрацию, нет никаких предупреждений о том, что пользователь
потеряет данные Windows Information Protection (WIP). Сообщение об отключении не
указывает на потерю данных WIP.

Коды ошибок
ﾉ Развернуть таблицу

Код ID Сообщение об
ошибке

0x80180001 "idErrorServerConnectivity", // Произошла ошибка

MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180002 "idErrorAuthenticationFailure", // Возникла проблема с

MENROLL_E_DEVICE_AUTHENTICATION_ERROR проверкой
подлинности вашей
учетной записи или
устройства. Вы
можете попытаться
Код ID Сообщение об
ошибке

сделать это еще раз

или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180003 "idErrorAuthorizationFailure", // Этот пользователь не

MENROLL_E_DEVICE_AUTHORIZATION_ERROR имеет прав на
регистрацию. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180004 "idErrorMDMCertificateError", // Произошла ошибка

MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR сертификата. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180005 "idErrorServerConnectivity", // Произошла ошибка

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180006 "idErrorServerConnectivity", // Произошла ошибка

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180007 "idErrorAuthenticationFailure", // Возникла проблема с

MENROLL_E_DEVICE_INVALIDSECURITY_ERROR проверкой
подлинности вашей
учетной записи или
устройства. Вы
Код ID Сообщение об
ошибке

можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180008 "idErrorServerConnectivity", // Произошла ошибка

MENROLL_E_DEVICE_UNKNOWN_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180009 "idErrorAlreadyInProgress", // Выполняется еще

MENROLL_E_ENROLLMENT_IN_PROGRESS одна регистрация.
Вы можете
попытаться сделать
это еще раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000A "idErrorMDMAlreadyEnrolled", // Это устройство уже

MENROLL_E_DEVICE_ALREADY_ENROLLED зарегистрировано.
Вы можете
обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000D "idErrorMDMCertificateError", // Произошла ошибка

MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID сертификата. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000E "idErrorAuthenticationFailure", // Возникла проблема с

MENROLL_E_PASSWORD_NEEDED проверкой
подлинности вашей
учетной записи или
устройства. Вы
можете попытаться
Код ID Сообщение об
ошибке

сделать это еще раз

или обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000F "idErrorAuthenticationFailure", // Возникла проблема с

MENROLL_E_WAB_ERROR проверкой
подлинности вашей
учетной записи или
устройства. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180010 "idErrorServerConnectivity", // Произошла ошибка

MENROLL_E_CONNECTIVITY при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180012 "idErrorMDMCertificateError", // Произошла ошибка

MENROLL_E_INVALIDSSLCERT сертификата. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180013 "idErrorDeviceLimit", // Похоже, для этой

MENROLL_E_DEVICECAPREACHED учетной записи
слишком много
устройств или
пользователей.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x80180014 "idErrorMDMNotSupported", // Эта функция не

MENROLL_E_DEVICENOTSUPPORTED поддерживается.
Обратитесь к
Код ID Сообщение об
ошибке

системному
администратору с
кодом {0}ошибки .

0x80180015 "idErrorMDMNotSupported", // Эта функция не

MENROLL_E_NOTSUPPORTED поддерживается.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x80180016 "idErrorMDMRenewalRejected", // Сервер не принял

MENROLL_E_NOTELIGIBLETORENEW запрос. Вы можете
попытаться сделать
это еще раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180017 "idErrorMDMAccountMaintenance", // Служба находится в

MENROLL_E_INMAINTENANCE состоянии
обслуживания. Вы
можете попытаться
сделать это позже
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180018 "idErrorMDMLicenseError", // Произошла ошибка с

MENROLL_E_USERLICENSE вашей лицензией. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180019 "idErrorInvalidServerConfig", // Похоже, сервер

MENROLL_E_ENROLLMENTDATAINVALID настроен
неправильно. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .
Код ID Сообщение об
ошибке

"rejectedTermsOfUse" "idErrorRejectedTermsOfUse" Ваша организация

требует, чтобы вы
согласились с
условиями
использования.
Повторите попытку
или обратитесь к
специалисту службы
поддержки за
дополнительными
сведениями.

0x801c0001 "idErrorServerConnectivity", // Произошла ошибка

DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x801c0002 "idErrorAuthenticationFailure", // Возникла проблема с

DSREG_E_DEVICE_AUTHENTICATION_ERROR проверкой
подлинности вашей
учетной записи или
устройства. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0003 "idErrorAuthorizationFailure", // Этот пользователь не

DSREG_E_DEVICE_AUTHORIZATION_ERROR имеет прав на
регистрацию. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0006 "idErrorServerConnectivity", // Произошла ошибка

DSREG_E_DEVICE_INTERNALSERVICE_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
Код ID Сообщение об
ошибке

системному
администратору с
кодом ошибки. {0}

0x801c000B "idErrorUntrustedServer", // Сервер, с которым

DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED осуществляется
связь, не является
доверенным.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x801c000C "idErrorServerConnectivity", // Произошла ошибка

DSREG_E_DISCOVERY_FAILED при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x801c000E "idErrorDeviceLimit", // Похоже, для этой

DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED учетной записи
слишком много
устройств или
пользователей.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x801c000F "idErrorDeviceRequiresReboot", // Для завершения

DSREG_E_DEVICE_REQUIRES_REBOOT регистрации
устройства требуется
перезагрузка.

0x801c0010 "idErrorInvalidCertificate", // Похоже, у вас есть

DSREG_E_DEVICE_AIK_VALIDATION_ERROR недопустимый
сертификат.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x801c0011 "idErrorAuthenticationFailure", // Возникла проблема с

DSREG_E_DEVICE_ATTESTATION_ERROR проверкой
подлинности вашей
учетной записи или
 Код ID Сообщение об
ошибке

устройства. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0012 "idErrorServerConnectivity", // Произошла ошибка

DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR при взаимодействии
с сервером. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом ошибки. {0}

0x801c0013 "idErrorAuthenticationFailure", // Возникла проблема с

DSREG_E_TENANTID_NOT_FOUND проверкой
подлинности вашей
учетной записи или
устройства. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0014 "idErrorAuthenticationFailure", // Возникла проблема с

DSREG_E_USERSID_NOT_FOUND проверкой
подлинности вашей
учетной записи или
устройства. Вы
можете попытаться
сделать это еще раз
или обратиться к
системному
администратору с
кодом {0}ошибки .

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет
Отзыв о продукте
Управление устройствами Windows в
организации — переход на
современное управление
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Использование личных устройств для работы и пользователей, работающих за

пределами офиса, может изменить способ управления устройствами в вашей
организации. Для некоторых подразделений организации может потребоваться
строгий детализированный контроль над устройствами, а для других подойдет
более легкий метод управления на основе сценариев для современных
работников. Windows обеспечивает гибкость в соответствии с этими
изменяющимися требованиями и может легко развертываться в смешанной среде.
Вы можете постепенно перемещать процент устройств с Windows в соответствии с
обычными расписаниями обновления, используемыми в вашей организации.

Ваша организация может поддерживать различные операционные системы

различных типов устройств и управлять ими с помощью общего набора средств,
таких как Microsoft Configuration Manager, Microsoft Intune или другие сторонние
продукты. Это "управляемое разнообразие" позволяет пользователям пользоваться
преимуществами повышения производительности, доступными на новых
устройствах с Windows (включая поддержку сенсорного ввода и рукописного
ввода), сохраняя при этом свои стандарты безопасности и управляемости. Это
поможет вам и вашей организации быстрее воспользоваться преимуществами
Windows.

В этой статье приводятся рекомендации по стратегиям развертывания устройств

Windows и управления ими, включая развертывание Windows в смешанной среде.
В ней рассматриваются варианты управления , а также четыре этапа жизненного
цикла устройства:

Развертывание и подготовка
Идентификация и проверка подлинности
Конфигурация
Обновление и обслуживание

Просмотр параметров управления для

Windows
Windows предлагает ряд вариантов управления, как показано на следующей схеме:

Как показано на схеме, корпорация Майкрософт продолжает обеспечивать

поддержку глубокого управления и безопасности с помощью таких технологий, как
групповая политика, Active Directory и Configuration Manager. Кроме того, он
предоставляет подход к упрощенному и современному управлению с помощью
облачных решений для управления устройствами, таких как Microsoft Enterprise
Mobility + Security (EMS). Будущие инновации Windows, предоставляемые через
Windows как услуга, дополняются облачными службами, такими как Microsoft
Intune, Microsoft Entra ID, Azure Information Protection и Microsoft 365.

Развертывание и подготовка
В Windows вы можете продолжать использовать традиционное развертывание ОС,
но вы также можете управлять "из коробки". Чтобы преобразовать новые
устройства в полностью настроенные и полностью управляемые устройства,
можно:
 Избегайте повторного воспроизведения образа с помощью динамической
подготовки, включенной облачной службой управления устройствами,
например Windows Autopilot или Microsoft Intune.

создать автономные пакеты подготовки с помощью конструктора

конфигураций Windows; Дополнительные сведения см. в разделе Пакеты
подготовки для Windows.

Используйте традиционные методы создания образов, такие как

развертывание пользовательских образов с помощью Configuration Manager.

У вас есть несколько вариантов обновления до Windows 10 и Windows 11. Для

существующих устройств под управлением Windows 10 можно использовать
надежный процесс обновления на месте для быстрого и надежного перехода на
Windows 11 с автоматическим сохранением всех существующих приложений,
данных и параметров. Такое использование процесса может означать снижение
затрат на развертывание и повышение производительности, так как конечные
пользователи могут сразу же повысить производительность — все будет
правильно, где они оставили его. При желании вы также можете использовать
традиционный подход к очистке и загрузке, используя те же средства, которые
используются сегодня.

Удостоверение и проверка подлинности

Вы можете использовать Windows и службы, такие как Microsoft Entra ID , новыми
способами для облачных удостоверений, проверки подлинности и управления. Вы
можете предложить пользователям возможность "принести свое устройство"
(BYOD) или "выбрать свое устройство" (CYOD) из выбора, который вы делаете
доступным. В то же время вы можете управлять компьютерами и планшетами,
которые должны быть присоединены к домену из-за отдельных приложений или
ресурсов.

Управление пользователями и устройствами можно разделить на следующие две

категории.

Корпоративные (CYOD) или личные устройства (BYOD), с которыми

работают мобильные пользователи для SaaS-приложений, таких как Office
365. С помощью Windows пользователи могут самостоятельно подготавливать
свои устройства:

Для корпоративных устройств они могут настроить корпоративный доступ

с помощью присоединения к Microsoft Entra. Когда вы предлагаете им
 присоединиться к Microsoft Entra с автоматической регистрацией Intune
MDM, они могут перевести устройства в управляемое корпорацией
состояние за один шаг , все из облака.

Присоединение к Microsoft Entra также является отличным решением для

временных сотрудников, партнеров или других пользователей,
работающих неполный рабочий стол. Эти учетные записи могут храниться
отдельно от локального домена AD, но по-прежнему получать доступ к
корпоративным ресурсам;

Аналогичным образом, для личных устройств пользователи могут

использовать новый упрощенный интерфейс BYOD , чтобы добавить свою
рабочую учетную запись в Windows, а затем получить доступ к рабочим
ресурсам на устройстве.

Присоединенные к домену компьютеры и планшеты, используемые для

традиционных приложений и доступа к важным ресурсам. Эти приложения
и ресурсы могут быть традиционными, для которых требуется проверка
подлинности или доступ к высоко конфиденциальным или
классифицированным ресурсам в локальной среде.

В Windows, если у вас есть локальный домен Active Directory ,

интегрированный с Microsoft Entra ID, при присоединении устройств
сотрудников они автоматически регистрируются с идентификатором Microsoft
Entra. Эта регистрация обеспечивает:
единый вход для облачных и локальных ресурсов где угодно;
перенос параметров в рамках предприятия;
условный доступ к корпоративным ресурсам в зависимости от
работоспособности или конфигурации устройства;
Windows Hello для бизнеса
Windows Hello

Присоединенными к домену компьютерами и планшетами можно по-

прежнему управлять с помощью клиентской или групповой политики
Configuration Manager .

При анализе ролей в вашей организации можно использовать следующее

универсальное дерево принятия решений, чтобы определить пользователей или
устройства, которые нужно присоединить к домену. Попробуйте переключить
остальных пользователей на Идентификатор Microsoft Entra.
 

Параметры и конфигурация
Требования к конфигурации определяются множеством факторов, включая
необходимый уровень управления, контролируемые устройства и данные, а также
требования отрасли. Между тем, пользователи часто обеспокоены тем, что ИТ-
специалисты применяют строгие политики к своим личным устройствам, но им по-
прежнему нужен доступ к корпоративной электронной почте и документам. Вы
можете создать согласованный набор конфигураций на компьютерах, планшетах и
телефонах с помощью общего уровня MDM.

MDM: MDM позволяет настроить параметры нужным образом, не

предоставляя доступ ко всем существующим настройкам. (В отличие от этого,
групповая политика предоставляет детализированные параметры, которыми
вы управляете по отдельности.) Одним из преимуществ MDM является то, что
она позволяет применять более широкие параметры конфиденциальности,
безопасности и управления приложениями с помощью более легких и
эффективных средств. MDM также позволяет использовать устройства,
подключенные к Интернету, для управления политиками без использования
групповой политики, для которой требуются локальные устройства,
 присоединенные к домену. Эта подготовка делает MDM лучшим выбором для
устройств, которые постоянно находятся в пути.

Групповая политика и Configuration Manager. Вашей организации по-

прежнему может потребоваться управлять компьютерами, присоединенными
к домену, на детальном уровне с помощью параметров групповой политики.
Если это так, групповая политика и Configuration Manager по-прежнему
отлично подходят для управления:

Групповая политика — это лучший способ детализированной настройки

присоединенных к домену компьютеров Windows и планшетов,
подключенных к корпоративной сети с помощью средств Windows.
Корпорация Майкрософт продолжает добавлять параметры групповой
политики с каждой новой версией Windows.

Configuration Manager остается рекомендуемым решением для

детализированной конфигурации с надежным развертыванием
программного обеспечения, обновлениями Windows и развертыванием
ОС.

Обновление и обслуживание
При использовании модели «Windows как служба» вашему ИТ-отделу больше не
потребуются сложные процессы создания образов (очистка и загрузка) с каждым
новым выпуском Windows. В канале общей доступности или канале обслуживания
Long-Term устройства получают последние обновления функций и качества с
помощью простых( часто автоматических) процессов исправления.
Дополнительные сведения см. в статье Сценарии развертывания Windows.

MDM с Intune предоставляют средства для применения обновлений Windows на

клиентских компьютерах в вашей организации. Configuration Manager
предоставляет широкие возможности управления и отслеживания этих
обновлений, включая окна обслуживания и правила автоматического
развертывания.

Дальнейшие действия
Чтобы начать процесс модернизации управления устройствами в организации,
можно выполнить различные действия.

Оценка текущих методов управления и поиск инвестиций, которые можно

сделать уже сегодня. Какие из текущих методов нужно сохранить, а какие можно
изменить? В частности, какие элементы традиционного управления необходимо
сохранить, а где возможна модернизация? Независимо от того, предпринимаете ли
вы шаги для минимизации пользовательских образов, переоценки управления
параметрами или повторной оценки проверки подлинности и соответствия
требованиям, преимущества могут быть немедленными. Вы можете использовать
аналитику групповой политики в Microsoft Intune , чтобы определить, какие
групповые политики поддерживают облачные поставщики MDM, включая
Microsoft Intune.

Оценка разных вариантов использования и потребностей в управлении вашей

среде. Существуют ли группы устройств, которым пойдет на пользу упрощенное и
более эффективное управление? Личные устройства (BYOD), например —
естественные кандидаты для облачного управления. Пользователям или
устройствам, обрабатывающим данные с более высоким уровнем регулирования,
может потребоваться локальный домен Active Directory для проверки подлинности.
Configuration Manager и EMS обеспечивают гибкость для поэтапной реализации
современных сценариев управления, нацелив различные устройства так, как это
лучше всего соответствует потребностям вашего бизнеса.

Изучение деревьев принятия решений в этой статье. Благодаря различным

параметрам в Windows, а также Configuration Manager и Enterprise Mobility +
Security вы можете управлять образами, проверкой подлинности, параметрами и
средствами управления для любого сценария.

Поэтапное движение. Переход к современному управлению устройствами не

обязательно должен быть однодневным преобразованием. Новые операционные
системы и устройств могут быть использованы одновременно со старыми.
Благодаря этому "управляемому разнообразию" пользователи могут
воспользоваться преимуществами повышения производительности на
современных устройствах Windows, в то время как вы продолжаете поддерживать
старые устройства в соответствии со своими стандартами безопасности и
управляемости. Политика CSP MDMWinsOverGP позволяет политикам MDM иметь
приоритет над групповой политикой, если на устройстве настроена как групповая
политика, так и ее эквивалентные политики MDM. Вы можете приступить к
реализации политик MDM, сохраняя среду групповой политики. Дополнительные
сведения, включая список политик MDM с эквивалентными групповыми
политиками, см. в разделе Политики, поддерживаемые групповой политикой.

Оптимизация существующих инвестиций. На пути от традиционного локального

управления к современному облачному управлению воспользуйтесь гибкой
гибридной архитектурой Configuration Manager и Intune. Совместное управление
позволяет одновременно управлять устройствами Windows с помощью
Configuration Manager и Intune. Дополнительные сведения доступны в следующих
статьях.

Совместное управление устройствами Windows

Подготовка устройств Windows к совместному управлению
Переключение рабочих нагрузок Configuration Manager в Intune
Панель мониторинга совместного управления в Configuration Manager

Связанные статьи
Что такое Intune?
Поставщик служб конфигурации политики
Справочник по поставщикам служб конфигурации

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Поддержка push-уведомлений для
управления устройствами
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Поставщик служб CSP DMClient поддерживает возможность настройки сеансов

управления устройствами, инициируемых принудительной отправкой. С помощью
служб уведомлений Windows (WNS) сервер управления может запросить
устройство для создания сеанса управления с сервером с помощью push-
уведомления. Устройство предоставляется с PFN для приложения. Эта подготовка
приводит к настройке устройства для поддержки отправки к нему сервером
управления. После настройки устройства оно регистрирует постоянное
подключение к облаку WNS (позволяет контроль заряда батареи и контроль
данных).

Чтобы инициировать сеанс управления устройствами, сервер управления сначала

должен пройти проверку подлинности в WNS, используя идентификатор
безопасности и секрет клиента. После проверки подлинности сервер получает
маркер для запуска необработанного push-уведомления для любого channelURI.
Когда сервер управления хочет инициировать сеанс управления с устройством, он
может использовать маркер и URI канала устройства и начать взаимодействие с
устройством.

Дополнительные сведения о том, как получить учетные данные для отправки

(идентификатор безопасности и секрет клиента) и PFN для использования в WNS,
см. в разделе Получение учетных данных WNS и PFN для push-уведомлений MDM.

Так как устройство не всегда может быть подключено к Интернету, WNS

поддерживает кэширование уведомлений о доставке на устройство после
повторного подключения. Чтобы убедиться, что уведомление кэшировано для
доставки, задайте для заголовка X-WNS-Cache-Policy значение Кэш. Кроме того,
если сервер хочет отправить необработанное push-уведомление с привязкой к
времени, сервер может использовать заголовок X-WNS-TTL, который предоставит
WNS с привязкой времени к жизни, чтобы уведомление истечет по истечении
времени. Дополнительные сведения см. в статье Обзор необработанных
уведомлений.

Следующие ограничения связаны с push-уведомлениями и WNS:

Принудительная отправка для управления устройствами использует

необработанные push-уведомления. Это ограничение означает, что эти
 необработанные push-уведомления не поддерживают и не используют
полезные данные push-уведомлений.

Получение push-уведомлений зависит от параметров экономии заряда и

контроля данных на устройстве. Например, если батарея падает ниже
определенных пороговых значений, постоянное подключение устройства к
WNS прерывается. Кроме того, если пользователь использует data Sense и
превысил ежемесячный объем данных, постоянное подключение устройства
к WNS также прерывается.

ChannelURI, предоставленный серверу управления устройством, действителен

только в течение 30 дней. Устройство автоматически обновляет channelURI
через 15 дней и запускает сеанс управления при успешном продлении URI
канала. Рекомендуется, чтобы во время каждого сеанса управления сервер
управления запрашивал значение ChannelURI, чтобы убедиться, что он
получил последнее значение. Этот запрос гарантирует, что сервер управления
не пытается использовать channelURI, срок действия которого истек.

Принудительная отправка не заменяет расписание опроса.

WNS оставляет за собой право блокировать push-уведомления в PFN при

обнаружении неправильного использования уведомлений. Все устройства,
управляемые с помощью этого PFN, перестают иметь поддержку управления
устройствами, инициируемыми принудительной отправкой.

В Windows 10 версии 1511 для DMClient используется следующая логика

повторных попыток:
Если срок действия превышает 15 дней, расписание устанавливается для 15
дней.
Если срок действия истекает от текущего до 15 дней, расписание
устанавливается на 4 +/- 1 час.
Если истек срок действия, расписание устанавливается на 1 день +/- 4 часа.

В Windows 10 версии 1607 и более поздних мы проверка сетевое

подключение, прежде чем повторить попытку. Мы не проверка для
подключения к Интернету. Если сетевое подключение недоступно, повторная
попытка пропускается, а для повторной попытки устанавливается расписание
на 4+/-1 часа.

Получение учетных данных WNS и PFN для

push-уведомления MDM
Чтобы получить учетные данные PFN и WNS, необходимо создать приложение
Microsoft Store.

1. Перейдите на панель мониторинга Windows и войдите с помощью учетной

записи разработчика.
2. Выберите Приложения и игры в разделе Рабочие области. Создайте новый
продукт и выберите MSIX или приложение PWA.
3. Зарезервируйте имя приложения.
4. Выберите Идентификатор продукта в разделе Управление продуктами, чтобы
просмотреть имя семейства пакетов (PFN) приложения.
5. Выберите WNS/MPNS в разделе Управление продуктами.
a. Щелкните ссылку Портал регистрации приложений . Откроется новое
окно с приложением в портал Azure.
b. На странице Портал регистрации приложений вы увидите свойства
созданного приложения, например:

Application ID
Секреты приложения
URI перенаправления

Дополнительные сведения см. в статье Руководство. Отправка уведомлений в

приложения универсальная платформа Windows с помощью Центров уведомлений
Azure.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Поддержка Windows Information
Protection (WIP) в Windows
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Windows Information Protection (WIP) — это упрощенное решение для управления

доступом к данным компании и безопасностью на личных устройствах. Поддержка
WIP встроена в Windows.

７ Примечание

Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать

Windows Information Protection (WIP). Корпорация Майкрософт продолжит
поддерживать WIP в поддерживаемых версиях Windows. Новые версии
Windows не будут включать новые возможности для WIP, и они не будут
поддерживаться в будущих версиях Windows. Дополнительные сведения см. в
статье Объявление о прекращении работы Windows Information Protection .

Для защиты данных корпорация Майкрософт рекомендует использовать

Microsoft Purview Information Protection и Защиту от потери данных Microsoft
Purview. Purview упрощает настройку конфигурации и предоставляет
расширенный набор возможностей.

Интеграция с Microsoft Entra ID

WIP интегрирован со службой удостоверений Microsoft Entra. Служба WIP
поддерживает встроенную проверку подлинности Microsoft Entra для пользователя
и устройства во время регистрации и скачивания политик WIP. Интеграция WIP с
Microsoft Entra ID аналогична интеграции управления мобильными устройствами
(MDM). См . статью Интеграция Microsoft Entra с MDM.

WIP использует присоединение к рабочему месту (WPJ). WPJ интегрирован с

добавлением потока рабочей учетной записи на личное устройство. Если
пользователь добавляет свою рабочую или учебную учетную запись Microsoft
Entra в качестве дополнительной учетной записи на компьютер, его устройство
зарегистрировано в WPJ. Если пользователь присоединяет свое устройство к
Microsoft Entra ID, оно регистрируется в MDM. Как правило, устройство с личной
учетной записью в качестве основной учетной записи считается личным
устройством и должно быть зарегистрировано в WPJ. Для управления
корпоративными устройствами следует использовать присоединение к Microsoft
Entra и регистрацию в MDM.

На личных устройствах пользователи могут добавить учетную запись Microsoft

Entra в качестве дополнительной учетной записи на устройство, сохраняя при этом
свою личную учетную запись в качестве основной. Пользователи могут добавить
учетную запись Microsoft Entra на устройство из поддерживаемого
интегрированного приложения Microsoft Entra, например следующего обновления
приложений Microsoft 365. Кроме того, пользователи могут добавить учетную
запись Microsoft Entra из раздела Параметры > Учетные > записи Доступ к
рабочим или учебным заведениям.

Обычные пользователи, не являющиеся администраторами, могут

зарегистрироваться в MAM.

Общие сведения о Windows Information

Protection
WIP использует преимущества встроенных политик для защиты корпоративных
данных на устройстве. Чтобы защитить пользовательские приложения на личных
устройствах, WPJ ограничивает применение политик WIP понятными
приложениями и приложениями с поддержкой WIP. Просвещенные приложения
могут различать корпоративные и персональные данные, правильно определяя,
какие из них следует защищать на основе политик WIP. Приложения с поддержкой
WIP указывают Windows, что они не обрабатывают персональные данные, и
поэтому Windows безопасно защищать данные от их имени.

Чтобы приложения учитывали WIP, разработчикам приложений необходимо

включить следующие данные в файл ресурсов приложения.

syntax

// Mark this binary as Allowed for WIP (EDP) purpose

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END

Настройка клиента Microsoft Entra для

регистрации MAM
Для регистрации MAM требуется интеграция с Идентификатором Microsoft Entra.
Поставщик службы MAM должен опубликовать приложение MDM Management в
коллекции приложений Microsoft Entra. Одно и то же облачное приложение
УПРАВЛЕНИЯ MDM в Microsoft Entra ID поддерживает регистрацию MDM и MAM.
Если вы уже опубликовали приложение MDM, его необходимо обновить, чтобы
включить в него URL-адреса регистрации MAM и условия использования. На этом
снимку экрана иллюстрируется приложение управления для конфигурации ИТ-
администратора.

Службы MAM и MDM в организации могут предоставляться разными

поставщиками. В зависимости от конфигурации компании ИТ-администратору
обычно требуется добавить одно или два приложения Microsoft Entra Management
для настройки политик MAM и MDM. Например, если И MAM, и MDM
предоставляются одним и тем же поставщиком, ИТ-администратору необходимо
добавить одно приложение управления от этого поставщика, содержащее
политики MAM и MDM для организации. Кроме того, если службы MAM и MDM в
организации предоставляются двумя разными поставщиками, то два приложения
управления от двух поставщиков должны быть настроены для компании с
идентификатором Microsoft Entra: одно для MAM и одно для MDM.

７ Примечание

Если служба MDM в организации не интегрирована с Идентификатором

Microsoft Entra и использует автоматическое обнаружение, необходимо
настроить только одно приложение управления для MAM.
Регистрация MAM
Регистрация MAM основана на расширении MAM протокола [MS-MDE2].
Регистрация MAM поддерживает федеративную проверку подлинности Microsoft
Entra ID в качестве единственного метода проверки подлинности.

Ниже приведены изменения протокола для регистрации MAM:

Обнаружение MDM не поддерживается.

Узел APPAUTH в dmAcc CSP является необязательным.
Вариант регистрации MAM протокола [MS-MDE2] не поддерживает
сертификат проверки подлинности клиента и, следовательно, не
поддерживает протокол [MS-XCEP]. Серверы должны использовать токен
Microsoft Entra для проверки подлинности клиента во время синхронизации
политик. Сеансы синхронизации политик должны выполняться по
односторонному протоколу TLS/SSL с использованием проверки подлинности
сертификата сервера.

Ниже приведен пример xml-кода подготовки для регистрации MAM.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="MAM SyncML Server"/>
<parm name="NAME" value="mddprov account"/>
<parm name="ADDR" value="[Link]
<parm name="DEFAULTENCODING" value="application/[Link]+xml" />
</characteristic>
</wap-provisioningdoc>

Так как узел Poll не указан в этом примере, устройство по умолчанию будет
выполняться каждые 24 часа.

Поддерживаемые поставщики служб

конфигурации
WIP поддерживает следующие поставщики служб конфигурации (CSP). Все
остальные поставщики служб конфигурации блокируются. Обратите внимание, что
список может измениться позже на основе отзывов клиентов:

AppLocker CSP для настройки приложений Windows Information Protection для

предприятий.
 ClientCertificateInstall CSP для установки VPN и сертификатов Wi-Fi.
Поставщик служб CSP DeviceStatus , необходимый для поддержки условного
доступа.
Поставщик служб CSP DevInfo.
Поставщик служб CSP DMAcc.
DmClient CSP для настройки расписания опроса и URL-адреса обнаружения
MDM.
Поставщик служб CSP EnterpriseDataProtection имеет политики Windows
Information Protection.
Поставщик служб CSP для аттестации работоспособности , необходимый для
поддержки условного доступа.
PassportForWork CSP для управления ПИН-кодами Windows Hello для бизнеса.
Поставщик служб CSP политики специально для областей NetworkIsolation и
DeviceLock.
Создание отчетов CSP для получения журналов Windows Information
Protection.
Поставщик служб CSP RootCaTrustedCertificates.
Поставщик служб CSP VPNv2 должен быть опущен для развертываний, в
которых ИТ-отдел планирует разрешить доступ к облачным ресурсам и
защитить их с помощью MAM.
Поставщик служб CSP Wi-Fi должен быть опущен для развертываний, в
которых ИТ-отдел планирует разрешить доступ к облачным ресурсам и
защитить их с помощью MAM.

Политики блокировки устройств и EAS

MAM поддерживает политики блокировки устройств, аналогичные MDM. Политики
настраиваются в области DeviceLock CSP политики и PassportForWork CSP.

Не рекомендуется настраивать политики Exchange ActiveSync (EAS) и MAM для

одного устройства. Однако если оба варианта настроены, клиент ведет себя
следующим образом:

Когда политики EAS отправляются на устройство, на которое уже есть

политики MAM, Windows оценивает, соответствуют ли существующие
политики MAM настроенным политикам EAS, и сообщает о соответствии
требованиям EAS.
Если установлено, что устройство соответствует требованиям, EAS сообщает о
соответствии серверу, чтобы разрешить синхронизацию почты. MAM
поддерживает только обязательные политики EAS. Для проверки соответствия
требованиям EAS не требуются права администратора устройства.
 Если установлено, что устройство не соответствует требованиям, EAS
применяет к устройству собственные политики, и результирующий набор
политик является надмножеством обоих. Для применения политик EAS к
устройству требуются права администратора.
Если устройство, у которого уже есть политики EAS, зарегистрировано в MAM,
оно имеет оба набора политик: MAM и EAS, а результирующий набор политик
является надмножеством обоих.

Синхронизация политик
Синхронизации политик MAM смоделированы после MDM. Клиент MAM
использует токен Microsoft Entra для проверки подлинности в службе для
синхронизации политик.

Изменение регистрации MAM на MDM

Windows не поддерживает применение политик MAM и MDM к одному и тому же
устройству. Если это настроено администратором, пользователи могут изменить
свою регистрацию MAM на MDM.

７ Примечание

Когда пользователи переходят с MAM на MDM в Windows Home, они теряют

доступ к Windows Information Protection. В выпуске Windows Домашняя не
рекомендуется отправлять политики MDM, чтобы разрешить пользователям
обновление.

Чтобы настроить устройство MAM для регистрации MDM, администратору

необходимо настроить URL-адрес обнаружения MDM в поставщике CSP DMClient.
Этот URL-адрес используется для регистрации MDM.

В процессе изменения регистрации MAM на MDM политики MAM будут удалены с

устройства после успешного применения политик MDM. Обычно при удалении
политик Windows Information Protection с устройства доступ пользователя к
защищенным WIP документам отменяется (выборочная очистка), если только EDP
CSP RevokeOnUnenroll не имеет значения false. Чтобы предотвратить выборочную
очистку при изменении регистрации с MAM на MDM, администратор должен
убедиться, что:
 Политики MAM и MDM для организации поддерживают Windows Information
Protection.
Корпоративный идентификатор CSP EDP одинаков для MAM и MDM.
EDP CSP RevokeOnMDMHandoff имеет значение false.

Если устройство MAM правильно настроено для регистрации MDM, в разделе

Параметры > Учетные записи Доступ к рабочей или учебной среде
отображается ссылка Регистрация только для управления устройствами>.
Пользователь может выбрать эту ссылку, указать свои учетные данные, и
регистрация будет изменена на MDM. Их учетная запись Microsoft Entra не будет
затронута.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Регистрация мобильного устройства
Статья • 25.02.2025 • Применяется к: ✅ Windows 11, ✅ Windows 10

Регистрация мобильных устройств — это первый этап управления предприятием. Устройство

настроено для взаимодействия с сервером MDM, используя меры безопасности во время
процесса регистрации. Служба регистрации проверяет, что предприятие управляет только
прошедшими проверку подлинности и авторизованными устройствами.

Процесс регистрации включает в себя следующие шаги.

1. Обнаружение конечной точки регистрации. Этот шаг предоставляет параметры

конфигурации конечной точки регистрации.
2. Установка сертификата. Этот шаг обрабатывает проверку подлинности пользователя,
создание сертификата и установку сертификата. Установленные сертификаты будут
использоваться в будущем для управления взаимной проверкой подлинности клиента и
сервера (TLS/SSL).
3. Подготовка клиента DM. Этот шаг настраивает клиент Управление устройствами (DM) для
подключения к серверу mobile Управление устройствами (MDM) после регистрации через
DM SyncML через HTTPS (также известный как Open Mobile Alliance Управление
устройствами (OMA DM) XML).

Протокол регистрации
В протокол регистрации внесено много изменений для лучшей поддержки различных сценариев
на всех платформах. Подробные сведения о протоколе регистрации мобильных устройств см. в
следующих разделах:

[MS-MDM]: протокол мобильного Управление устройствами.

[MS-MDE2]: протокол регистрации мобильных устройств версии 2 .

Процесс регистрации состоит из следующих этапов:

Запрос на обнаружение
Запрос обнаружения — это простой вызов HTTP, который возвращает XML по протоколу HTTP.
Возвращаемый XML-код включает URL-адрес проверки подлинности, URL-адрес службы
управления и тип учетных данных пользователя.

Политика регистрации сертификатов

Конфигурация политики регистрации сертификатов представляет собой реализацию протокола
MS-XCEP, который описан в разделе [MS-XCEP]: Спецификация протокола политики регистрации
сертификатов X.509. В разделе 4 спецификации приведен пример запроса и ответа политики.
Протокол политики регистрации сертификатов X.509 — это протокол минимального обмена
сообщениями, включающий одно сообщение запроса клиента (GetPolicies) с соответствующим
ответным сообщением сервера (GetPoliciesResponse).
Дополнительные сведения см. в разделе [MS-XCEP]: протокол политики регистрации
сертификатов X.509.

Регистрация сертификата
Регистрация сертификата представляет собой реализацию протокола MS-WSTEP.

Конфигурация управления
Сервер отправляет XML-код подготовки, содержащий сертификат сервера (для проверки
подлинности TLS/SSL-сервера), сертификат клиента, выданный корпоративным ЦС, сведения о
начальной загрузке DMClient (чтобы клиент взаимодействовал с сервером управления), маркер
корпоративного приложения (для установки корпоративных приложений пользователем) и
ссылку для скачивания приложения Корпоративного центра.

В следующих статьях описывается комплексный процесс регистрации с использованием

различных методов проверки подлинности.

Регистрация устройств с помощью федеративной проверки подлинности

Регистрация устройств с помощью проверки подлинности на основе сертификатов
Регистрация устройств с помощью локальной проверки подлинности

７ Примечание

Рекомендуется не использовать жестко заданные проверки на стороне сервера для таких

значений, как:

Строка агента пользователя

Все фиксированные URI, передаваемые во время регистрации
Определенное форматирование любого значения, если не указано иное, например
формат идентификатора устройства.

Поддержка регистрации для устройств,

присоединенных к домену
Устройства, присоединенные к локальная служба Active Directory, могут регистрироваться в MDM
с помощью параметров Доступ>к рабочей или учебной программе. Однако регистрация может
быть ориентирована только на пользователя, зарегистрированного с помощью политик для
конкретных пользователей. Политики, предназначенные для устройств, по-прежнему
предназначены для всех пользователей устройства.

Сценарии регистрации не поддерживаются

В следующих сценариях регистрация MDM не разрешена.
 Встроенные учетные записи администратора на рабочем столе Windows не могут
регистрироваться в MDM.
Standard пользователи не могут зарегистрироваться в MDM. Регистрироваться могут только
администраторы.

Отключение регистрации MDM

ИТ-администратор может отключить регистрацию MDM для компьютеров, присоединенных к
домену, с помощью групповой политики Отключить регистрацию MDM .

Путь групповая политика: конфигурация> компьютераАдминистративные

шаблоны>Компоненты> WindowsMDM>Отключить регистрацию MDM. Соответствующий
раздел реестра: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration
(REG_DWORD)

Сообщения об ошибках регистрации

Сервер регистрации может отклонять сообщения о регистрации с помощью формата SOAP Fault.
Созданные ошибки можно отправить следующим образом:

XML

<s:envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:header>
<a:action
s:mustunderstand="1">[Link]
ep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645"
xmlns="[Link]
833c-cadde9067645</activityid>
 <a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>

Примеры сообщений об ошибках:

ﾉ Развернуть таблицу

Пространство Подкод Ошибка Описание HRESULT

имен

s: Формат MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR Недопустимое 80180001

сообщения сообщение с
сервера mobile
Управление
устройствами
(MDM).

s: Authentication MENROLL_E_DEVICE_AUTHENTICATION_ERROR Серверу mobile 80180002

Управление
устройствами
(MDM) не
удалось
проверить
подлинность
пользователя.
Повторите
попытку или
обратитесь к
системному
администратору.

s: Authorization MENROLL_E_DEVICE_AUTHORIZATION_ERROR Пользователь не 80180003

имеет прав на
регистрацию в
mobile
Управление
устройствами
(MDM).
Повторите
попытку или
обратитесь к
системному
администратору.
 Пространство Подкод Ошибка Описание HRESULT
имен

s: CertificateRequest MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR У пользователя 80180004

нет разрешения
на шаблон
сертификата или
центр
сертификации
недоступен.
Повторите
попытку или
обратитесь к
системному
администратору.

s: EnrollmentServer MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR На сервере 80180005

mobile
Управление
устройствами
(MDM)
произошла
ошибка.
Повторите
попытку или
обратитесь к
системному
администратору.

a: InternalServiceFault MENROLL_E_DEVICE_INTERNALSERVICE_ERROR На сервере 80180006

Mobile
Управление
устройствами
(MDM) возникло
необработанное
исключение.
Повторите
попытку или
обратитесь к
системному
администратору.

a: InvalidSecurity MENROLL_E_DEVICE_INVALIDSECURITY_ERROR Серверу 80180007

мобильной
Управление
устройствами
(MDM) не
удалось
проверить вашу
учетную запись.
Повторите
попытку или
обратитесь к
системному
администратору.

Формат SOAP также включает deviceenrollmentserviceerror элемент . Вот пример.

 XML

<s:envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:header>
<a:action
s:mustunderstand="1">[Link]
ep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645"
xmlns="[Link]
833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror
xmlns="[Link]
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>

Примеры сообщений об ошибках:

ﾉ Развернуть таблицу

Подкод Ошибка Описание HRESULT

DeviceCapReached MENROLL_E_DEVICECAPREACHED В учетной записи слишком много 80180013

устройств, зарегистрированных в
mobile Управление устройствами
(MDM). Удалите или отмените
регистрацию старых устройств,
чтобы устранить эту ошибку.

DeviceNotSupported MENROLL_E_DEVICENOTSUPPORTED Сервер мобильной Управление 80180014

устройствами (MDM) не
поддерживает эту платформу или
версию. Рассмотрите
возможность обновления
устройства.

NotSupported MENROLL_E_NOT_SUPPORTED Мобильные Управление 80180015

устройствами (MDM) обычно не
 Подкод Ошибка Описание HRESULT

поддерживаются для этого

устройства.

NotEligibleToRenew MENROLL_E_NOTELIGIBLETORENEW Устройство пытается обновить 80180016

сертификат mobile Управление
устройствами (MDM), но сервер
отклонил запрос. Проверьте
расписание продления на
устройстве.

InMaintenance MENROLL_E_INMAINTENANCE На сервере Mobile Управление 80180017

устройствами (MDM) указано,
что ваша учетная запись
находится в состоянии
обслуживания, повторите
попытку позже.

UserLicense MENROLL_E_USER_LICENSE Произошла ошибка с лицензией 80180018

пользователя mobile Управление
устройствами (MDM). Обратитесь
к системному администратору.

InvalidEnrollmentData MENROLL_E_ENROLLMENTDATAINVALID Сервер мобильной Управление 80180019

устройствами (MDM) отклонил
данные регистрации. Сервер
может быть настроен
неправильно.

TraceID — это текстовый узел свободной формы, который регистрируется в журнале. Он должен
определить состояние на стороне сервера для этой попытки регистрации. Эта информация может
использоваться службой поддержки для поиска причин, по которым сервер отклонил
регистрацию.

Связанные статьи
Регистрация устройств под управлением Windows в MDM
Регистрация устройств с помощью федеративной проверки подлинности
Регистрация устройств с помощью проверки подлинности на основе сертификатов
Регистрация устройств с помощью локальной проверки подлинности

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Регистрация устройств с Windows в
системе MDM
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В современном облачном мире ИТ-отделы предприятия все чаще хотят разрешить

пользователям использовать свои собственные устройства или даже выбирать и
приобретать корпоративные устройства. Подключение устройств к работе
упрощает доступ к ресурсам организации, таким как приложения, корпоративная
сеть и электронная почта.

７ Примечание

При подключении устройства с помощью регистрации управления

мобильными устройствами (MDM) ваша организация может применять
определенные политики на вашем устройстве.

Подключение корпоративных устройств

Windows
Для работы корпоративные устройства можно подключить, присоединив
устройство к домену Active Directory или домену Microsoft Entra. Для Windows не
требуется личная учетная запись Майкрософт на устройствах, присоединенных к
Идентификатору Microsoft Entra, или локальному домену Active Directory.
 ７ Примечание

Сведения об устройствах, присоединенных к локальной службе Active

Directory, см. в разделе Регистрация групповой политики.

Подключение устройства к домену Microsoft Entra

(присоединение к идентификатору Microsoft Entra)
Все устройства с Windows можно подключить к домену Microsoft Entra. Эти
устройства можно подключить во время запуска запуска. Кроме того, классические
устройства можно подключить к домену Microsoft Entra с помощью приложения
"Параметры".

Встроенный интерфейс
Присоединение к домену:

1. Выберите Моя работа или учебное заведение, а затем нажмите кнопку

Далее.

2. Выберите Присоединиться к Идентификатору Microsoft Entra, а затем

нажмите кнопку Далее.
3. Введите имя пользователя Microsoft Entra. Это имя пользователя — это адрес
электронной почты, используемый для входа в Microsoft Office 365 и
аналогичные службы.

Если клиент является клиентом только для облака, синхронизации хэша

паролей или сквозной проверки подлинности, эта страница изменится, чтобы
отобразить настраиваемую фирменную символику организации, и вы можете
ввести пароль непосредственно на этой странице. Если клиент является
частью федеративного домена, вы будете перенаправлены на локальный
сервер федерации организации, например службы федерации Active Directory
(AD FS) для проверки подлинности.

В зависимости от ИТ-политики вам также может быть предложено указать

второй фактор проверки подлинности на этом этапе.

Если в клиенте Microsoft Entra настроена автоматическая регистрация,

устройство также регистрируется в MDM во время этого потока.
Дополнительные сведения см. в этих шагах. Если клиент не настроен для
автоматической регистрации, необходимо пройти поток регистрации во
второй раз, чтобы подключить устройство к MDM. После завершения потока
устройство будет подключено к домену Microsoft Entra вашей организации.
Использование приложения "Параметры"

Чтобы создать локальную учетную запись и подключить устройство, выполните

следующие действия:

1. Запустите приложение "Параметры".

2. Затем перейдите в раздел Учетные записи.

3. Перейдите в раздел Доступ к рабочей или учебной работе.

4. Выберите Подключиться.
5. В разделе Альтернативные действия выберите Присоединить это устройство
к Идентификатору Microsoft Entra.

6. Введите имя пользователя Microsoft Entra. Это имя пользователя является

адресом электронной почты, который вы используете для входа в Office 365 и
аналогичные службы.
Если клиент является только облачным клиентом, клиентом синхронизации
хэша паролей или сквозной проверки подлинности, эта страница изменится,
чтобы отобразить настраиваемую фирменную символику организации, и вы
можете ввести пароль непосредственно на этой странице. Если клиент
является частью федеративного домена, вы будете перенаправлены на
локальный сервер федерации организации, например AD FS, для проверки
подлинности.

В зависимости от ИТ-политики вам также может быть предложено указать

второй фактор проверки подлинности на этом этапе.

Если в клиенте Microsoft Entra настроена автоматическая регистрация,

устройство также регистрируется в MDM во время этого потока.
Дополнительные сведения см. в этой записи блога . Если клиент не настроен
для автоматической регистрации, необходимо пройти поток регистрации во
второй раз, чтобы подключить устройство к MDM.

После завершения потока устройство должно быть подключено к домену

Microsoft Entra вашей организации. Теперь вы можете выйти из текущей
 учетной записи и войти с помощью имени пользователя Microsoft Entra.

Справка по подключению к домену Microsoft Entra

Существует несколько случаев, когда устройство не может быть подключено к
домену Microsoft Entra.

ﾉ Развернуть таблицу

Проблема с Описание
подключением

Устройство подключено к Одновременно устройство может быть подключено только к

домену Microsoft Entra. одному домену Microsoft Entra.

Устройство уже Устройство может быть подключено к домену Microsoft Entra

подключено к домену или домену Active Directory. Вы не можете подключиться к
Active Directory. обоим одновременно.
 Проблема с Описание
подключением

На вашем устройстве уже Вы можете подключиться к домену Microsoft Entra или к

есть пользователь, рабочей или учебной учетной записи. Вы не можете
подключенный к рабочей подключиться к обоим одновременно.
учетной записи.

Вы вошли в систему как Устройство можно подключить к домену Microsoft Entra,

обычный пользователь. только если вы вошли в систему с правами администратора.
Для продолжения необходимо переключиться на учетную
запись администратора.

Устройство уже Поток подключения к Идентификатору Microsoft Entra

управляется MDM. пытается зарегистрировать устройство в MDM, если у клиента
Microsoft Entra есть предварительно настроенная конечная
точка MDM. Чтобы в этом случае можно было подключиться к
Идентификатору Microsoft Entra, устройство должно быть
отменено в MDM.

На вашем устройстве Эта функция недоступна в выпуске Windows Home, поэтому вы

запущен выпуск Home. не можете подключиться к домену Microsoft Entra. Для
продолжения необходимо выполнить обновление до выпуска
Pro, Enterprise или Education.

Подключение личных устройств

Личные устройства, также известные как перенос собственного устройства (BYOD),
могут быть подключены к рабочей или учебной учетной записи или к MDM.
Устройствам Windows не требуется личная учетная запись Майкрософт на
устройствах для подключения к рабочим или учебным заведениям.

Все устройства Windows можно подключить к рабочей или учебной учетной

записи. Вы можете подключиться к рабочей или учебной учетной записи с
помощью приложения "Параметры" или любого из многочисленных приложений
универсальной платформы Windows (UWP), таких как универсальные приложения
Office.

Регистрация устройства в Microsoft Entra ID и

регистрация в MDM
Чтобы создать локальную учетную запись и подключить устройство, выполните
следующие действия:
1. Запустите приложение Параметры, а затем выберите Учетные>
записиЗапуск>параметров Учетные>записи.

2. Перейдите в раздел Доступ к рабочей или учебной работе.

3. Выберите Подключиться.
4. Введите имя пользователя Microsoft Entra. Это имя пользователя является
адресом электронной почты, который вы используете для входа в Office 365 и
аналогичные службы.
5. Если клиент является клиентом только облачной синхронизации хэша паролей
или клиентом сквозной проверки подлинности, эта страница изменится,
чтобы отобразить настраиваемую фирменную символику организации, и
может ввести пароль непосредственно на странице. Если клиент является
частью федеративного домена, вы будете перенаправлены на локальный
сервер федерации организации, например AD FS, для проверки подлинности.

В зависимости от ИТ-политики вам также может быть предложено указать

второй фактор проверки подлинности на этом этапе.

Если в клиенте Microsoft Entra настроена автоматическая регистрация,

устройство также регистрируется в MDM во время этого потока.
Дополнительные сведения см. в этой записи блога . Если клиент не настроен
для автоматической регистрации, необходимо пройти поток регистрации во
второй раз, чтобы подключить устройство к MDM.

Вы увидите страницу состояния, на которой отображается ход настройки

устройства.
 6. После завершения потока ваша учетная запись Майкрософт будет
подключена к вашей рабочей или учебной учетной записи.

Справка по подключению личных устройств

Существует несколько случаев, когда устройство не сможет подключиться к работе.

ﾉ Развернуть таблицу
 Сообщение об ошибке Описание

Устройство уже подключено к облаку вашей Устройство уже подключено к

организации. идентификатору Microsoft Entra,
рабочей или учебной учетной
записи или домену AD.

Не удалось найти ваше удостоверение в облаке Введенное имя пользователя не

вашей организации. найдено в клиенте Microsoft Entra.

Ваше устройство уже управляется организацией. Устройство уже управляется MDM

или Microsoft Configuration Manager.

У вас нет прав доступа для выполнения этой Вы не можете зарегистрировать

операции. Обратитесь к администратору. устройство в MDM в качестве
обычного пользователя. У вас
должна быть учетная запись
администратора.

Не удалось автоматически обнаружить конечную Необходимо указать URL-адрес

точку управления, соответствующую указанному сервера для MDM или проверить
имени пользователя. Проверьте имя пользователя и правильность введенного имени
повторите попытку. Если вы знаете URL-адрес пользователя.
конечной точки управления, введите его.

Регистрация только в управлении

устройствами
Все устройства Windows можно подключить к MDM. Вы можете подключиться к
MDM с помощью приложения "Параметры". Чтобы создать локальную учетную
запись и подключить устройство, выполните следующие действия:

1. Запустите приложение "Параметры".

2. Затем перейдите в раздел Учетные записи.

3. Перейдите в раздел Доступ к рабочей или учебной работе.

4. Выберите ссылку Регистрация только в управлении устройствами .

5. Введите рабочий адрес электронной почты.

6. Если устройство находит конечную точку, которая поддерживает только
локальную проверку подлинности, эта страница изменится и запросит пароль.
Если устройство находит конечную точку MDM, которая поддерживает
федеративную проверку подлинности, появится новое окно с запросом
дополнительных сведений о проверке подлинности.

В зависимости от ИТ-политики вам также может быть предложено указать

второй фактор проверки подлинности на этом этапе. Ход регистрации
отображается на экране.
 После завершения потока устройство будет подключено к MDM вашей
организации.

Подключение устройства с Windows для

работы с помощью прямой ссылки
Устройства Windows могут быть подключены к работе с помощью прямой связи.
Пользователи могут выбрать или открыть ссылку в определенном формате из
любой точки Windows и перейти к новому интерфейсу регистрации.

Прямая ссылка, используемая для подключения устройства к работе, использует

следующий формат.

ms-device-enrollment:?mode={mode_name}:

ﾉ Развернуть таблицу
Параметр Описание Поддерживаемое значение
для Windows

mode Описывает, какой режим Управление мобильными

выполняется в приложении устройствами (MDM),
регистрации. добавление рабочей учетной
записи (AWA) и Microsoft Entra
присоединены.

имя_пользователя Указывает адрес электронной почты string

или имя участника-пользователя,
который должен быть
зарегистрирован в MDM.

имя_сервера Указывает URL-адрес сервера MDM, string

используемый для регистрации
устройства.

accesstoken Пользовательский параметр для string

серверов MDM для использования по
мере необходимости. Как правило,
значение этого параметра можно
использовать в качестве маркера для
проверки запроса на регистрацию.

deviceidentifier Пользовательский параметр для Код GUID

серверов MDM для использования по
мере необходимости. Как правило,
значение этого параметра можно
использовать для передачи
уникального идентификатора
устройства.

tenantidentifier Пользовательский параметр для GUID или строка

серверов MDM для использования по
мере необходимости. Как правило,
значение этого параметра можно
использовать для определения
клиента, к которому принадлежит
устройство или пользователь.

собственность Пользовательский параметр для 1, 2 или 3. Если "1" означает,

серверов MDM для использования по что владение неизвестно, "2"
мере необходимости. Как правило, означает, что устройство
значение этого параметра можно принадлежит лично, а "3"
использовать, чтобы определить, означает, что устройство
является ли устройство BYOD или является корпоративным
Corp Owned.
Подключение к MDM с помощью прямой связи

７ Примечание

Прямые ссылки работают только с браузерами Internet Explorer или Microsoft

Edge. Примеры URI, которые можно использовать для подключения к MDM с
помощью глубокой ссылки:

ms-device-enrollment:?mode=mdm
ms-device-enrollment:?
mode=mdm&username= someone@[Link] &servername= [Link]
[Link]

Чтобы подключить устройства к MDM с помощью прямых ссылок, выполните

следующие действия:

1. Создайте ссылку для запуска встроенного приложения регистрации с

помощью URI ms-device-enrollment:?mode=mdm и понятного текста,
например щелкните здесь, чтобы подключить Windows к работе:

Эта ссылка запускает поток, эквивалентный параметру Регистрация в

управлении устройствами.

ИТ-администраторы могут добавить эту ссылку в приветственное

сообщение электронной почты, которое пользователи могут выбрать для
регистрации в MDM.
 ７ Примечание

Убедитесь, что фильтры электронной почты не блокируют глубокие

ссылки.

ИТ-администраторы также могут добавить эту ссылку на внутреннюю

веб-страницу, на которую пользователи ссылаются на инструкции по
регистрации.

2. После того как вы выберете ссылку или запустите ее, Windows запускает
приложение регистрации в специальном режиме, который разрешает только
регистрацию MDM (аналогично параметру Регистрация в управлении
устройствами).

Введите рабочий адрес электронной почты.

3. Если устройство находит конечную точку, которая поддерживает только

локальную проверку подлинности, эта страница изменится и запросит пароль.
Если устройство находит конечную точку MDM, поддерживающую
федеративную проверку подлинности, появится новое окно с запросом
дополнительных сведений о проверке подлинности. В зависимости от ИТ-
политики вам также может быть предложено указать второй фактор проверки
подлинности на этом этапе.

После завершения потока устройство будет подключено к MDM вашей

организации.
Управление подключениями
Чтобы управлять рабочими или учебными подключениями, выберите Параметры
Учетные>>записиДоступ к рабочим или учебным заведениям. Ваши
подключения отображаются на этой странице, и выбор одного из них расширяет
параметры для этого подключения.

Info
Кнопка "Сведения " находится на рабочих или учебных подключениях с
использованием MDM. Эта кнопка включена в следующие сценарии:
 Подключение устройства к домену Microsoft Entra, для которого настроена
автоматическая регистрация в MDM.
Подключение устройства к рабочей или учебной учетной записи, для
которого настроена автоматическая регистрация в MDM.
Подключение устройства к MDM.

При нажатии кнопки "Сведения " откроется новая страница в приложении

"Параметры", на которую будут представлены сведения о подключении MDM. Вы
можете просмотреть сведения о поддержке вашей организации (если это
настроено) на этой странице. Вы также можете запустить сеанс синхронизации,
который заставляет устройство взаимодействовать с сервером MDM и при
необходимости получать любые обновления политик.

При нажатии кнопки "Сведения " отображается список политик и бизнес-

приложений, установленных вашей организацией. Ниже приведен пример снимка
экрана.
"Отключить"
Кнопка Отключить находится во всех рабочих подключениях. Как правило,
нажатие кнопки Отключить удаляет подключение с устройства. Существует
несколько исключений из этой функции:

Устройства, которые применяют политику AllowManualMDMUnenrollment, не

позволяют пользователям удалять регистрации MDM. Эти подключения
должны быть удалены командой отмены регистрации, инициированной
сервером.
На мобильных устройствах нельзя отключиться от Microsoft Entra ID. Эти
подключения можно удалить только путем очистки устройства.

２ Предупреждение

Отключение может привести к потере данных на устройстве.

Сбор журналов диагностики

Журналы диагностики для рабочих подключений можно собирать, перейдя в
раздел Параметры>Учетные> записиДоступ к рабочей или учебной программе,
а затем щелкнув ссылку Экспорт журналов управления в разделе Связанные
параметры. Затем выберите Экспорт и следуйте по пути, отображаемого для
получения файлов журнала управления.

Чтобы получить расширенный диагностический отчет, перейдите в раздел

Параметры>Учетные> записиДоступ к рабочей или учебной среде и нажмите
кнопку Сведения. В нижней части страницы Параметры отображается кнопка для
создания отчета.

Дополнительные сведения см. в разделе Сбор журналов MDM.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Автоматическая регистрация MDM в
Центре администрирования Intune
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Устройства Windows могут быть автоматически зарегистрированы для Intune при

присоединении или регистрации с помощью Microsoft Entra ID. Автоматическую
регистрацию можно настроить в портал Azure.

1. Перейдите к Центр администрирования Microsoft Entra.

2. Выберите Мобильность (MDM и MAM) и найдите приложение Microsoft

Intune.

3. Выберите Microsoft Intune и настройте параметры регистрации. Вы можете

указать параметры, позволяющие всем пользователям регистрировать
устройство, или разрешить некоторым пользователям (и указать группу).

4. Выберите Сохранить, чтобы настроить автоматическую регистрацию MDM

для Microsoft Entra присоединенных устройств и сценариев использования
собственных устройств.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Автоматическая регистрация
устройства Windows с помощью
групповой политики
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Групповую политику можно использовать для активации автоматической

регистрации в службе управления мобильными устройствами (MDM) для
устройств, присоединенных к домену Active Directory (AD).

Групповая политика, созданная в локальной службе AD, активирует регистрацию в

Intune без какого-либо взаимодействия с пользователем. Этот механизм причинно-
следственных действий означает, что вы можете автоматически массово
зарегистрировать большое количество корпоративных устройств, присоединенных
к домену, в Microsoft Intune. Процесс регистрации начинается в фоновом режиме
после входа на устройство с помощью учетной записи Microsoft Entra.

Требования

Устройство, присоединенное к Active Directory, должно работать под

управлением поддерживаемой версии Windows.
Предприятие настроило службу управления мобильными устройствами
(MDM).
Локальная служба Active Directory должна быть интегрирована с
Идентификатором Microsoft Entra (через Microsoft Entra Connect).
Конфигурация точки подключения службы (SCP). Дополнительные сведения
см. в статье Настройка SCP с помощью Microsoft Entra Connect. Сведения о
средах, не публикующих данные SCP в AD, см. в статье Целевое
развертывание гибридного присоединения Microsoft Entra.
Устройство не должно быть зарегистрировано в Intune с помощью
классических агентов (устройства, управляемые с помощью агентов, не
регистрируются с error 0x80180026 помощью ).
Минимальное требование к версии Windows Server основано на требованиях
гибридного присоединения Microsoft Entra. Дополнительные сведения см. в
статье Планирование реализации гибридного присоединения к Microsoft
Entra.

 Совет

Дополнительные сведения см. в следующих разделах.

 Настройка автоматической регистрации присоединенных к домену
устройств Windows с помощью Microsoft Entra ID
Планирование реализации гибридного присоединения к Microsoft Entra
Интеграция Microsoft Entra с MDM

Автоматическая регистрация зависит от наличия службы MDM и регистрации

Microsoft Entra для компьютера. После того как предприятие зарегистрировало ad с
идентификатором Microsoft Entra ID, компьютер с Windows, присоединенный к
домену, автоматически регистрируется Microsoft Entra.

７ Примечание

В Windows 10 версии 1709 протокол регистрации обновлен, чтобы проверить,

присоединено ли устройство к домену. Дополнительные сведения см. в
разделе [MS-MDE2]: Протокол регистрации мобильных устройств версии 2.
Примеры см. в разделе 4.3.1 RequestSecurityToken документации по протоколу
MS-MDE2.

Когда включена групповая политика автоматической регистрации, в фоновом

режиме создается задача, которая инициирует регистрацию MDM. Задача
использует существующую конфигурацию службы MDM из сведений о
пользователе Microsoft Entra. Если требуется многофакторная проверка
подлинности, пользователю будет предложено выполнить проверку подлинности.
После настройки регистрации пользователь может проверить состояние на
странице Параметры.

Начиная с Windows 10 версии 1709, когда та же политика настроена в

групповой политике и MDM, политика групповой политики имеет приоритет
над MDM.
Начиная с Windows 10 версии 1803, новый параметр позволяет изменять
приоритет mdm. Дополнительные сведения см. в разделе Групповая политика
Windows и Политика MDM Intune, кто выигрывает?.

Чтобы эта политика работала, необходимо убедиться, что поставщик службы MDM
разрешает регистрацию MDM, инициированную групповой политикой, для
устройств, присоединенных к домену.

Настройка автоматической регистрации для

группы устройств
Чтобы настроить автоматическую регистрацию с помощью групповой политики,
выполните следующие действия.

1. Создайте объект групповой политики (GPO) и включите конфигурацию>

компьютера групповой политикиАдминистративные
шаблоны>Компоненты> WindowsMDM>Включить автоматическую
регистрацию MDM с использованием учетных данных Microsoft Entra по
умолчанию.
2. Создайте группу безопасности для компьютеров.
3. Связывание объекта групповой политики.
4. Фильтрация с помощью групп безопасности.

Если политика не отображается, получите последнюю версию ADMX для своей

версии Windows. Чтобы устранить эту проблему, используйте следующие
процедуры. Последняя версия [Link] является обратной совместимостью.

1. Скачайте административные шаблоны для нужной версии:

Windows 11 версии 23H2

Windows 11 версии 22H2
Windows 10 версии 22H2

2. Установите пакет на контроллере домена.

3. Перейдите по адресу C:\Program Files (x86)\Microsoft Group Policy и найдите

соответствующий подкаталог в зависимости от установленной версии.

4. Скопируйте папку PolicyDefinitions в

\\[Link]\SYSVOL\[Link]\policies\PolicyDefinitions .

Если эта папка не существует, скопируйте файлы в центральное хранилище

политик для вашего домена.

5. Дождитесь завершения репликации SYSVOL DFSR, чтобы политика была

доступна.

Настройка групповой политики

автоматической регистрации для одного
компьютера
Эта процедура предназначена только для иллюстрации, чтобы показать, как
работает новая политика автоматической регистрации. Это не рекомендуется для
рабочей среды на предприятии.

1. Выполните команду [Link] . Нажмите кнопку Пуск, а затем в текстовом

поле введите gpedit .

2. В разделе Лучшее соответствие выберите Изменить групповую политику ,

чтобы запустить ее.

3. В разделе Политика локального компьютера выберите Административные

шаблоны>Компоненты> WindowsMDM.

4. Дважды щелкните Включить автоматическую регистрацию MDM с

использованием учетных данных Microsoft Entra по умолчанию. Выберите
Включить, выберите Учетные данные пользователя в раскрывающемся
списке Выберите тип учетных данных для использования, а затем нажмите
кнопку ОК.

７ Примечание
 В Windows 10 версии 1903 и более поздних версиях файл [Link] был
обновлен, чтобы включить параметр Учетные данные устройства , чтобы
выбрать учетные данные, используемые для регистрации устройства.
Поведение по умолчанию для более старых выпусков — возврат к
учетным данным пользователя.

Учетные данные устройства поддерживаются только для регистрации

Microsoft Intune в сценариях с совместным управлением или пулами
узлов с несколькими сеансами Виртуального рабочего стола Azure , так
как подписка Intune ориентирована на пользователей. Учетные данные
пользователя поддерживаются для пулов личных узлов Виртуального
рабочего стола Azure.

При обновлении групповой политики на клиенте создается задача, которая

планируется выполняться каждые пять минут в течение одного дня. Задача
называется Расписание, созданное клиентом регистрации для автоматической
регистрации в MDM из Идентификатора Microsoft Entra. Чтобы просмотреть
запланированную задачу, запустите приложение Планировщик задач.

Если требуется двухфакторная проверка подлинности, вам будет предложено

завершить процесс. Ниже приведен пример снимка экрана.

 Совет

Этого можно избежать с помощью политик условного доступа в Microsoft

Entra ID. Дополнительные сведения см. в статье Что такое условный доступ?
Проверка регистрации
Чтобы проверить успешную регистрацию в MDM, перейдите в раздел
Пуск>Параметры>Учетные> записиДоступ к рабочей или учебной программе, а
затем выберите учетную запись домена. Выберите Сведения, чтобы просмотреть
сведения о регистрации MDM.

７ Примечание

Если вы не видите кнопку "Сведения" или сведения о регистрации, возможно,

регистрация завершилась ошибкой. Проверьте состояние в приложении
планировщика задач и ознакомьтесь с разделом Диагностика регистрации
MDM.

Приложение планировщика задач

Нажмите кнопку Пуск, а затем в текстовом поле введите task scheduler . В разделе
Лучшее соответствие выберите Планировщик задач , чтобы запустить его.
В библиотеке планировщика задач откройте Microsoft > Windows и выберите
EnterpriseMgmt.

Чтобы увидеть результат задачи, переместите полосу прокрутки, чтобы увидеть

результат последнего запуска. Журналы отображаются на вкладке Журнал .

Сообщение 0x80180026 является сообщением об ошибке

( MENROLL_E_DEVICE_MANAGEMENT_BLOCKED ), которое может быть вызвано включением
политики Отключить регистрацию MDM .

７ Примечание

Консоль GPEdit не отражает состояние политик, установленных вашей

организацией на вашем устройстве. Он используется только пользователем
для настройки политик.

Связанные статьи
Консоль управления групповыми политиками
Создание и изменение объекта групповой политики
Связывание объекта групповой политики
Фильтрация с помощью групп безопасности
Принудительное применение ссылки объекта групповой политики
Начало работы с облачными собственными конечными точками Windows

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Массовая регистрация с помощью
конструктора конфигураций Windows
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Массовая регистрация — это эффективный способ настройки сервера MDM для

управления большим количеством устройств без необходимости повторного
создания образа устройств. Поставщик служб CSP подготовки можно использовать
для массовой регистрации, за исключением сценария регистрации присоединения
к Microsoft Entra.

Типовые варианты использования

Массовая настройка устройств для крупных организаций для управления
MDM.
Настройте киоски, такие как банкоматы или терминалы pos-терминалов.
Настройка школьных компьютеров.
Настройка промышленного оборудования.
Настройка портативных pos-устройств.

На рабочем столе можно создать учетную запись Active Directory, например

enrollment@[Link] , и предоставить ей возможность только присоединиться к

домену. После присоединения рабочего стола к этой учетной записи

администратора обычные пользователи в домене могут войти в систему, чтобы
использовать ее. Эта учетная запись особенно полезна для получения большого
количества рабочих столов, готовых к использованию в домене.

На настольных и мобильных устройствах можно использовать сертификат

регистрации или имя пользователя и пароль регистрации, например
enroll@[Link] и enrollmentpassword . Эти учетные данные используются в

пакете подготовки, который можно использовать для регистрации нескольких

устройств в службе MDM. После присоединения устройств многие пользователи
могут использовать их.

７ Примечание

Массовое присоединение не поддерживается в присоединении к

Microsoft Entra.
Массовая регистрация не работает в автономной среде Intune.
 Массовая регистрация работает в Microsoft Intune, где ppkg создается из
консоли Configuration Manager.
Чтобы изменить параметры массовой регистрации, войдите в Microsoft
Entra ID, а затем Устройства и щелкните Параметры устройства.
Измените число в разделе Максимальное число устройств на
пользователя.
Массовое создание маркера не поддерживается с федеративными
учетными записями.

Что понадобится
Устройства Windows.

Средство конструктора конфигураций Windows (WCD).

Чтобы получить средство WCD, скачайте из Microsoft Store .

Дополнительные сведения о средстве WCD см. в разделах Конструктор
конфигураций Windows и Начало работы с Windows WCD.

Учетные данные регистрации (учетная запись домена для регистрации,

универсальные учетные данные регистрации для MDM, сертификат
регистрации для MDM.).

Wi-Fi учетные данные, схему имен компьютеров и все остальное, что

требуется вашей организации.

Для присоединения к домену некоторые организации требуют подготовки

пользовательских APNs, прежде чем говорить с конечной точкой регистрации
или пользовательским VPN.

Создание и применение пакета подготовки

для локальной проверки подлинности
С помощью WCD создайте пакет подготовки, используя сведения о регистрации,
необходимые вашей организации. Убедитесь, что у вас есть все параметры
конфигурации.

1. Откройте средство WCD.

2. Выберите Расширенная подготовка.

3. Введите имя проекта и нажмите кнопку Далее.

4. Выберите Все выпуски Windows, так как поставщик служб CSP подготовки
является общим для всех выпусков Windows, а затем нажмите кнопку Далее.

5. Пропустите Импорт пакета подготовки (необязательно) и нажмите кнопку

Готово.

6. Разверните узел Параметры> среды выполненияРабочая область.

7. Выберите Регистрация, введите значение в имени участника-пользователя, а

затем нажмите кнопку Добавить. Имя участника-пользователя — это
уникальный идентификатор для регистрации. Для массовой регистрации это
имя участника-пользователя должно быть учетной записью службы, которая
может регистрировать несколько пользователей, например
enrollment@[Link] .

8. В области навигации слева разверните имя участника-пользователя и

введите сведения для остальных параметров процесса регистрации. Ниже
приведен список доступных параметров.

AuthPolicy — выберите OnPremise.

DiscoveryServiceFullUrl — укажите полный URL-адрес для службы
обнаружения.
 EnrollmentServiceFullUrl — необязательно, и в большинстве случаев его
следует оставить пустым.
PolicyServiceFullUrl — необязательно. В большинстве случаев его следует
оставить пустым.
Секрет — пароль

Подробные описания этих параметров см. в статье Подготовка CSP. Ниже

приведен снимок экрана WCD на этом этапе.

9. Настройте другие параметры, такие как Wi-Fi подключения, чтобы устройство

присоединения к сети перед присоединением к MDM (например, параметры
>среды выполненияConnectivityProfiles>WLANSetting).

10. После добавления всех параметров выберите Сохранить в меню Файл .

11. В главном меню выберите Экспорт>пакета подготовки.

12. Введите значения для пакета и укажите расположение выходных данных
пакета.
13. Выберите Сборка.

14. Примените пакет к некоторым тестируемым устройствам и убедитесь, что они

работают. Дополнительные сведения см. в разделе Применение пакета
подготовки.

15. Примените пакет к устройствам.

Создание и применение пакета подготовки

для проверки подлинности сертификата
С помощью WCD создайте пакет подготовки, используя сведения о регистрации,
необходимые вашей организации. Убедитесь, что у вас есть все параметры
конфигурации.

1. Откройте средство WCD.

2. Выберите Расширенная подготовка.

3. Введите имя проекта и нажмите кнопку Далее.

4. Выберите Общие для всех выпусков Windows, так как подготовка CSP
является общей для всех выпусков Windows.

5. Пропустите Импорт пакета подготовки (необязательно) и нажмите кнопку

Готово.

6. Укажите сертификат:
a. Перейдите в раздел Параметры> среды
выполненияСертификаты>ClientCertificates.
b. Введите имя сертификата и нажмите кнопку Добавить.
c. Введите CertificatePassword.
d. Найдите и выберите сертификат, который следует использовать для
CertificatePath.
e. Задайте для параметра ExportCertificate значение False.
f. Для параметра KeyLocation выберите значение Только программное
обеспечение.
7. Укажите параметры рабочего места.
a. Перейдите к рабочей>регистрации.
b. Введите имя участника-пользователя для регистрации и нажмите кнопку
Добавить. Имя участника-пользователя — это уникальный идентификатор
для регистрации. Для массовой регистрации это имя участника-
пользователя должно быть учетной записью службы, которая может
регистрировать несколько пользователей, например
enrollment@[Link] .

c. В столбце слева разверните имя участника-пользователя и введите

сведения для остальных параметров процесса регистрации. Ниже приведен
список доступных параметров.

AuthPolicy — выберите Сертификат.

DiscoveryServiceFullUrl — укажите полный URL-адрес для службы
обнаружения.
EnrollmentServiceFullUrl — необязательно, и в большинстве случаев
его следует оставить пустым.
PolicyServiceFullUrl — необязательно. В большинстве случаев его
следует оставить пустым.
Секрет — отпечаток сертификата.

Подробные описания этих параметров см. в статье Подготовка CSP.

 8. Настройте другие параметры, такие как подключение Wi-Fi, чтобы устройство
присоединения к сети перед присоединением к MDM (например, параметры
>среды выполненияConnectivityProfiles>WLANSetting).

9. После добавления всех параметров выберите Сохранить в меню Файл .

10. Экспорт и сборка пакета (шаги 10–13 в предыдущем разделе).

11. Примените пакет к некоторым тестируемым устройствам и убедитесь, что они

работают. Дополнительные сведения см. в разделе Применение пакета
подготовки.

12. Примените пакет к устройствам.

Применение пакета подготовки

Применение пакета во время начальной установки
Применение пакета после начальной настройки
Применение пакета напрямую
Примените пакет из приложения "Параметры".

Проверка применения пакета подготовки

1. Перейдите в раздел Параметры Учетные>>записиДоступ к рабочей или
учебной работе.
2. Выберите Добавить или удалить пакет подготовки. Вы увидите свой пакет в
списке.

Логика повтора при сбое

Если модуль подготовки получает сбой из CSP, он повторяет подготовку три
раза подряд.
Если все немедленные попытки завершаются сбоем, запускается отложенная
задача, чтобы попытаться выполнить подготовку еще раз позже. Он будет
повторять четыре раза с затуханием 15 минут -> 1 ч -> 4 часа -> "Следующий
запуск системы". Эти попытки выполняются из контекста SYSTEM.
Он также повторяет подготовку при каждом запуске, если он также
запускается из другого места.
Кроме того, подготовка будет перезапущена в контексте SYSTEM после входа
в систему и система простаит.
Связанные статьи
Подготовка компьютеров с приложениями и сертификатами для
первоначального развертывания
Подготовка компьютеров с общими параметрами для начального
развертывания

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Регистрация устройств с помощью
федеративной проверки подлинности
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В этом разделе представлен пример протокола регистрации мобильных устройств

с использованием политики федеративной проверки подлинности. Если для
политики проверки подлинности задано значение Федеративный, клиент
регистрации использует брокер веб-проверки подлинности для получения
маркера безопасности. Клиент регистрации вызывает API брокера веб-проверки
подлинности в ответе, чтобы начать процесс. Сервер должен создавать страницы
брокера веб-проверки подлинности в соответствии с экраном устройства и
соответствовать существующему пользовательскому интерфейсу регистрации.
Непрозрачный маркер безопасности, возвращаемый брокером в качестве
конечной страницы, используется клиентом регистрации в качестве секрета
безопасности устройства во время вызова запроса сертификата клиента.

Элемент <AuthenticationServiceURL> ответного сообщения обнаружения указывает

начальный URL-адрес страницы брокера веб-проверки подлинности.

Дополнительные сведения о протоколе регистрации мобильных устройств

Майкрософт для Windows см. в разделе [MS-MDE2]: Протокол регистрации
мобильных устройств версии 2.

７ Примечание

Список сценариев регистрации, не поддерживаемых в Windows, см. в статье

Сценарии регистрации не поддерживаются.

Служба обнаружения
Веб-служба обнаружения предоставляет сведения о конфигурации, необходимые
пользователю для регистрации телефона в службе управления. Служба
представляет собой беспокойную веб-службу по протоколу HTTPS (только
проверка подлинности сервера).

７ Примечание
 Администратор службы обнаружения должен создать узел с адресом
enterpriseenrollment.<domain_name>.com .

Поток автоматического обнаружения устройства использует доменное имя адреса

электронной почты, который был отправлен на экран параметров рабочей области
во время входа. Система автоматического обнаружения создает универсальный
код ресурса (URI), который использует это имя узла, добавляя поддомен
enterpriseenrollment в домен адреса электронной почты и добавляя путь
/EnrollmentServer/[Link] . Например, если адрес электронной почты —
sample@[Link] , результирующий URI для первого запроса Get будет:

[Link] .

Первый запрос является стандартным HTTP-запросом GET.

В следующем примере показан запрос через HTTP GET к серверу обнаружения,

указанному user@[Link] в качестве адреса электронной почты.

HTTP

Request Full Url:

[Link]
Content Type: unknown
Header Byte Count: 153
Body Byte Count: 0

HTTP

GET /EnrollmentServer/[Link] HTTP/1.1

User-Agent: Windows Phone 8 Enrollment Client
Host: [Link]
Pragma: no-cache

HTTP

Request Full Url:

[Link]
Content Type: text/html
Header Byte Count: 248
Body Byte Count: 0

HTTP

HTTP/1.1 200 OK
Connection: Keep-Alive
Pragma: no-cache
 Cache-Control: no-cache
Content-Type: text/html
Content-Length: 0

После того как устройство получает ответ от сервера, устройство отправляет

запрос POST в enterpriseenrollment.<domain_name>/EnrollmentServer/[Link] .
После получения другого ответа от сервера (который должен сообщить устройству,
где находится сервер регистрации), следующее сообщение, отправленное с
устройства, будет отправлено на enterpriseenrollment.<domain_name> сервер
регистрации.

Применяется следующая логика:

1. Устройство сначала пытается использовать ПРОТОКОЛ HTTPS. Если

устройство не доверяет сертификату сервера, попытка HTTPS завершается
ошибкой.
2. В случае сбоя устройство пытается проверить, перенаправляется ли оно по
протоколу HTTP:

Если устройство не перенаправляется, пользователю будет предложено

ввести адрес сервера.
Если устройство перенаправляется, пользователю предлагается
разрешить перенаправление.

В следующем примере показан запрос через команду HTTP POST к веб-службе

обнаружения, указанному user@[Link] в качестве адреса электронной почты.

HTTP

[Link]

В следующем примере показан запрос службы обнаружения.

XML

<?xml version="1.0"?>
<s:Envelope xmlns:a="[Link]
xmlns:s="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/Discover
</a:Action>
<a:MessageID>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:MessageID>
 <a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
</a:To>
</s:Header>
<s:Body>
<Discover
xmlns="[Link]
<request xmlns:i="[Link]
<EmailAddress>user@[Link]</EmailAddress>
<OSEdition>3</OSEdition>
<!-- New -->
<RequestVersion>3.0</RequestVersion>
<!-- Updated -->
<DeviceType>WindowsPhone</DeviceType>
<!-- Updated -->
<ApplicationVersion>[Link]</ApplicationVersion>
<AuthPolicies>
<AuthPolicy>OnPremise</AuthPolicy>
<AuthPolicy>Federated</AuthPolicy>
</AuthPolicies>
</request>
</Discover>
</s:Body>
</s:Envelope>

Ответ обнаружения имеет формат XML и содержит следующие поля:

URL-адрес службы регистрации (EnrollmentServiceUrl) — указывает URL-адрес

конечной точки регистрации, предоставляемой службой управления.
Устройство должно вызвать этот URL-адрес после проверки подлинности
пользователя. Это поле является обязательным.
Политика проверки подлинности (AuthPolicy) — указывает, какой тип
проверки подлинности требуется. Для сервера MDM значение OnPremise
является поддерживаемым значением, что означает, что пользователь
проходит проверку подлинности при вызове URL-адреса службы управления.
Это поле является обязательным.
В Windows значение Federated добавляется в качестве другого
поддерживаемого значения. Это добавление позволяет серверу использовать
брокер веб-проверки подлинности для выполнения настраиваемой проверки
подлинности пользователя и условия принятия использования.

７ Примечание
 В ответе HTTP-сервера не должно быть задано Transfer-Encoding значение
Фрагментировано. Оно должно быть отправлено в виде одного сообщения.

Если для политики проверки подлинности задано значение Федеративная, клиент

регистрации использует брокер веб-проверки подлинности (WAB) для получения
маркера безопасности. URL-адрес начальной страницы WAB предоставляется
службой обнаружения в ответном сообщении. Клиент регистрации вызывает API
WAB в ответе, чтобы запустить процесс WAB. WAB-страницы — это веб-страницы,
размещенные на сервере. Сервер должен создать эти страницы, чтобы хорошо
соответствовать экрану устройства и быть максимально согласованными с другими
сборками в пользовательском интерфейсе регистрации MDM. Непрозрачный
маркер безопасности, возвращаемый из WAB в качестве конечной страницы,
используется клиентом регистрации в качестве секрета безопасности устройства во
время вызова запроса на регистрацию сертификата клиента.

７ Примечание

Вместо того, чтобы полагаться на строку агента пользователя, передаваемую

во время проверки подлинности, для получения сведений, таких как версия
ОС, используйте следующие рекомендации:

Анализ версии ОС на основе данных, отправляемых во время запроса на

обнаружение.
Добавьте версию ОС в качестве параметра в AuthenticationServiceURL.
Выполните синтаксический анализ версии ОС из
AuthenticiationServiceURL, когда ОС отправляет ответ для проверки
подлинности.

В xml DiscoveryResponse появился новый XML-тег AuthenticationServiceUrl,

позволяющий серверу указать начальный URL-адрес страницы WAB. Для
федеративной проверки подлинности этот XML-тег должен существовать.

７ Примечание

Клиент регистрации не зависит от потоков протокола для проверки

подлинности и возврата маркера безопасности. Хотя сервер может
запрашивать учетные данные пользователя напрямую или входить в протокол
федерации с другим сервером и службой каталогов, клиент регистрации не
зависит от всего этого. Чтобы остаться не зависящими, все потоки протокола,
 относящиеся к проверке подлинности, в которых участвует клиент
регистрации, являются пассивными, то есть реализованы в браузере.

Ниже приведены явные требования к серверу.

Элемент <DiscoveryResponse>``<AuthenticationServiceUrl> должен

поддерживать ПРОТОКОЛ HTTPS.
Сервер проверки подлинности должен использовать доверенный корневой
сертификат устройства. В противном случае вызов WAP завершается ошибкой.
WP не поддерживает встроенную проверку подлинности Windows (WIA) для
ADFS во время проверки подлинности WAB. ADFS 2012 R2, если используется,
необходимо настроить, чтобы не пытаться использовать WIA для устройства
Windows.

Клиент регистрации отправляет HTTPS-запрос следующим образом:

HTTP

AuthenticationServiceUrl?appru=<appid>&amp;login_hint=<User Principal Name>

<appid> имеет форму ms-app://string

<User Principal Name> — это имя зарегистрированного пользователя,

например user@[Link] в качестве входных данных пользователя на

странице входа в систему. Значение этого атрибута служит подсказкой,
используемой сервером проверки подлинности в рамках проверки
подлинности.

После завершения проверки подлинности сервер проверки подлинности должен

вернуть документ html-формы с действием метода POST appid, определенным в
параметре строки запроса.

７ Примечание

Чтобы сделать приложение совместимым со строгой политикой безопасности

содержимого, обычно необходимо внести некоторые изменения в шаблоны
HTML и клиентский код, добавить заголовок политики и проверить, правильно
ли все работает после развертывания политики.

HTML

HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
 Vary: Accept-Encoding
Content-Length: 556

<!DOCTYPE>
<html>
<head>
<title>Working...</title>
<script>
function formSubmit() {
[Link][0].submit();
}
[Link]=formSubmit;
</script>
</head>
<body>
<!-- appid below in post command must be same as appid in previous
client https request. -->
<form method="post" action="ms-app://appid">
<p><input type="hidden" name="wresult" value="token value"/></p>
<input type="submit"/>
</form>
</body>
</html>

Сервер должен отправить POST на URL-адрес перенаправления формы ms-

app://string (схема URL-адресов ms-app), как указано в действии метода POST.

Значение маркера безопасности — это строка [Link]

[Link]/wss/2004/01/[Link]\#base64binary в

кодировке Base64, содержащаяся в атрибуте <wsse:BinarySecurityToken>

EncodingType. Windows выполняет двоичное кодирование, когда отправляет его
обратно на сервер регистрации, в том виде, в который он просто закодирован в
ФОРМАТЕ HTML. Эта строка непрозрачна для клиента регистрации; клиент не
интерпретирует строку.

В следующем примере показан ответ, полученный от веб-службы обнаружения,

который требует проверки подлинности через WAB.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/DiscoverResponse
</a:Action>
<ActivityId>
d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
 </ActivityId>
<a:RelatesTo>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<DiscoverResponse
xmlns="[Link]
<DiscoverResult>
<AuthPolicy>Federated</AuthPolicy>
<EnrollmentVersion>3.0</EnrollmentVersion>
<EnrollmentPolicyServiceUrl>

[Link]
VC
</EnrollmentPolicyServiceUrl>
<EnrollmentServiceUrl>

[Link]
VC
</EnrollmentServiceUrl>
<AuthenticationServiceUrl>
[Link]
</AuthenticationServiceUrl>
</DiscoverResult>
</DiscoverResponse>
</s:Body>
</s:Envelope>

Веб-служба политики регистрации

Служба политик необязательна. По умолчанию, если политики не указаны,
минимальная длина ключа составляет 2 кб, а хэш-алгоритм — SHA-1.

Эта веб-служба реализует спецификацию протокола политики регистрации

сертификатов X.509 (MS-XCEP), которая позволяет настраивать регистрацию
сертификатов в соответствии с различными требованиями к безопасности
предприятий в разное время (гибкость шифрования). Служба обрабатывает
сообщение GetPolicies от клиента, проверяет подлинность клиента и возвращает
соответствующие политики регистрации в сообщении GetPoliciesResponse.

Для политики федеративной проверки подлинности учетные данные маркера

безопасности предоставляются в сообщении <wsse:BinarySecurityToken> запроса с
помощью элемента [WSS]. Маркер безопасности извлекается, как описано в
разделе ответ обнаружения. Ниже приведены сведения о проверке подлинности.

wsse:Security: клиент регистрации реализует элемент, определенный

<wsse:Security> в разделе [WSS] 5. Элемент <wsse:Security> должен быть
 дочерним элементом <s:Header> элемента .
wsse:BinarySecurityToken: клиент регистрации реализует элемент,
определенный <wsse:BinarySecurityToken> в разделе [WSS] 6.3. Элемент
<wsse:BinarySecurityToken> должен быть включен в качестве дочернего

<wsse:Security> элемента в заголовке SOAP.

Как описано в разделе ответа на обнаружение, включение

<wsse:BinarySecurityToken> элемента непрозрачно для клиента регистрации, и

клиент не интерпретирует строку, а включение элемента согласовывается

сервером проверки подлинности маркеров безопасности (как определено в
<AuthenticationServiceUrl> элементе <DiscoveryResponse> и корпоративном

сервере).

Элемент <wsse:BinarySecurityToken> содержит строку в кодировке base64. Клиент

регистрации использует маркер безопасности, полученный от сервера проверки
подлинности, и base64-кодирует маркер для заполнения
<wsse:BinarySecurityToken> элемента .

wsse:BinarySecurityToken/attributes/ValueType: <wsse:BinarySecurityToken>
атрибут ValueType должен иметь значение
[Link]
ollmentUserToken .

wsse:BinarySecurityToken/attributes/EncodingType: <wsse:BinarySecurityToken>
атрибут EncodingType должен иметь значение [Link]
[Link]/wss/2004/01/[Link]\#base64binary .

В следующем примере показан запрос политики регистрации с полученным

маркером безопасности в качестве учетных данных клиента.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPolicies
 </a:Action>
<a:MessageID>urn:uuid:72048B64-0F19-448F-8C2E-
B4C661860AA0</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
VC
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:BinarySecurityToken
ValueType="[Link]
ent/DeviceEnrollmentUserToken" EncodingType="[Link]
[Link]/wss/2004/01/oasis-200401-wss-wssecurity-secext-
[Link]#base64binary"
xmlns="[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken>
</wsse:Security>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPolicies
xmlns="[Link]
<client>
<lastUpdate xsi:nil="true"/>
<preferredLanguage xsi:nil="true"/>
</client>
<requestFilter xsi:nil="true"/>
</GetPolicies>
</s:Body>
</s:Envelope>

После проверки подлинности пользователя веб-служба получает шаблон

сертификата, с помощью которого пользователь должен зарегистрировать, и
создает политики регистрации на основе свойств шаблона сертификата. Пример
ответа можно найти на сайте MSDN.

MS-XCEP поддерживает гибкие политики регистрации с использованием

различных сложных типов и атрибутов. Для устройства Windows сначала мы будем
поддерживать minimalKeyLength, политики hashAlgorithmOIDReference и
CryptoProviders. HashAlgorithmOIDReference имеет связанные OID и OIDReferenceID
и policySchema в GetPolicesResponse. PolicySchema ссылается на версию шаблона
сертификата. Версия 3 MS-XCEP поддерживает алгоритмы хэширования.

７ Примечание
 В ответе HTTP-сервера не должно быть задано Transfer-Encoding значение
Фрагментировано. Оно должно быть отправлено в виде одного сообщения.

В следующем фрагменте кода показан ответ веб-службы политики.

XML

<s:Envelope
xmlns:u="[Link]
[Link]"
xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPoliciesResponse
</a:Action>
<a:RelatesTo>urn:uuid: 69960163-adad-4a72-82d2-
bb0e5cff5598</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPoliciesResponse

xmlns="[Link]
<response>
<policyID />
<policyFriendlyName xsi:nil="true"
xmlns:xsi="[Link]
<nextUpdateHours xsi:nil="true"
xmlns:xsi="[Link]
<policiesNotChanged xsi:nil="true"
xmlns:xsi="[Link]
<policies>
<policy>
<policyOIDReference>0</policyOIDReference>
<cAs xsi:nil="true" />
<attributes>
<commonName>CEPUnitTest</commonName>
<policySchema>3</policySchema>
<certificateValidity>
<validityPeriodSeconds>1209600</validityPeriodSeconds>
<renewalPeriodSeconds>172800</renewalPeriodSeconds>
</certificateValidity>
<permission>
<enroll>true</enroll>
<autoEnroll>false</autoEnroll>
</permission>
<privateKeyAttributes>
<minimalKeyLength>2048</minimalKeyLength>
<keySpec xsi:nil="true" />
<keyUsageProperty xsi:nil="true" />
 <permissions xsi:nil="true" />
<algorithmOIDReference xsi:nil="true" />
<cryptoProviders xsi:nil="true" />
</privateKeyAttributes>
<revision>
<majorRevision>101</majorRevision>
<minorRevision>0</minorRevision>
</revision>
<supersededPolicies xsi:nil="true" />
<privateKeyFlags xsi:nil="true" />
<subjectNameFlags xsi:nil="true" />
<enrollmentFlags xsi:nil="true" />
<generalFlags xsi:nil="true" />
<hashAlgorithmOIDReference>0</hashAlgorithmOIDReference>
<rARequirements xsi:nil="true" />
<keyArchivalAttributes xsi:nil="true" />
<extensions xsi:nil="true" />
</attributes>
</policy>
</policies>
</response>
<cAs xsi:nil="true" />
<oIDs>
<oID>
<value>[Link].2.29</value>
<group>1</group>
<oIDReferenceID>0</oIDReferenceID>
<defaultName>szOID_OIWSEC_sha1RSASign</defaultName>
</oID>
</oIDs>
</GetPoliciesResponse>
</s:Body>
</s:Envelope>

Веб-служба регистрации
Эта веб-служба реализует протокол MS-WSTEP. Он обрабатывает сообщение
RequestSecurityToken (RST) от клиента, проверяет подлинность клиента,
запрашивает сертификат из ЦС и возвращает его клиенту в
requestSecurityTokenResponse (RSTR). Помимо выданного сертификата, ответ также
содержит конфигурации, необходимые для подготовки DMClient.

RequestSecurityToken (RST) должен иметь учетные данные пользователя и запрос

сертификата. Учетные данные пользователя в конверте RST SOAP такие же, как в
GetPolicies, и могут отличаться в зависимости от того, является ли политика
проверки подлинности OnPremise или Federated. BinarySecurityToken в тексте RST
SOAP содержит запрос сертификата PKCS#10 в кодировке Base64, который
создается клиентом на основе политики регистрации. Клиент мог запросить
политику регистрации с помощью MS-XCEP, прежде чем запрашивать сертификат с
помощью MS-WSTEP. Если запрос на сертификат PKCS#10 принят центром
сертификации (ЦС) (длина ключа, алгоритм хэширования и т. д. соответствуют
шаблону сертификата), клиент может успешно зарегистрировать.

RequestSecurityToken использует пользовательский TokenType

( [Link]
entToken ), так как маркер регистрации больше, чем сертификат X.509 версии 3.

Дополнительные сведения см. в разделе Ответ.

В RST также может быть указано множество элементов AdditionalContext, таких как
DeviceType и Version. Например, на основе этих значений веб-служба может
возвращать конфигурацию dm для конкретного устройства и версии.

７ Примечание

Служба политики и служба регистрации должны находиться на одном сервере;

то есть они должны иметь одно и то же имя узла.

В следующем примере показан запрос веб-службы регистрации для федеративной

проверки подлинности.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
[Link]
</a:Action>
<a:MessageID>urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:MessageID>
<a:ReplyTo>
<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
[Link]
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:BinarySecurityToken
wsse:ValueType="[Link]
rollment/DeviceEnrollmentUserToken"
wsse:EncodingType="[Link]
[Link]#base64binary">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken>
</wsse:Security>
</s:Header>
<s:Body>
<wst:RequestSecurityToken>
<wst:TokenType>

[Link]
nrollmentToken
</wst:TokenType>
<wst:RequestType>
[Link]
</wst:RequestType>
<wsse:BinarySecurityToken

ValueType="[Link]
0"
EncodingType="[Link]
[Link]#base64binary">
DER format PKCS#10 certificate request in Base64 encoding Insterted
Here
</wsse:BinarySecurityToken>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSEdition">
<ac:Value> 4</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="OSVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceName">
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="IMEI">
<ac:Value>49015420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="IMEI">
<ac:Value>30215420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="EnrollmentType">
<ac:Value>Full</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceType">
<ac:Value>CIMClient_Windows</ac:Value>
</ac:ContextItem>
 <ac:ContextItem Name="ApplicationVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID">
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="TargetedUserLoggedIn">
<ac:Value>True</ac:Value>
</ac:ContextItem>
</ac:AdditionalContext>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>

После проверки запроса веб-служба ищет назначенный шаблон сертификата для

клиента, при необходимости обновит его, отправляет запросы PKCS#10 в ЦС,
обрабатывает ответ от ЦС, создает XML-формат подготовки клиента OMA и
возвращает его в requestSecurityTokenResponse (RSTR).

７ Примечание

В ответе HTTP-сервера не должно быть задано Transfer-Encoding значение

Фрагментировано. Оно должно быть отправлено в виде одного сообщения.

Как и в tokenType в RST, RSTR использует пользовательский ValueType в

BinarySecurityToken
( [Link]
sionDoc ), так как токен больше, чем сертификат X.509 версии 3.

XML-код подготовки содержит:

Запрошенные сертификаты (обязательные)

Конфигурация DMClient (обязательно)

Клиент устанавливает сертификат клиента, корневой сертификат предприятия и

промежуточный сертификат ЦС, если он есть. Конфигурация dm включает имя и
адрес сервера DM, какой сертификат клиента следует использовать, а также
расписание обратного вызова DMClient на сервер.

XML-код подготовки регистрации должен содержать не более одного корневого

сертификата и одного промежуточного сертификата ЦС, необходимых для
связывания сертификата клиента MDM. Во время сеанса OMA DM можно
подготовить больше корневых и промежуточных сертификатов ЦС.
При подготовке корневых и промежуточных сертификатов ЦС поддерживаемый
путь к узлу CSP: CertificateStore/Root/System для подготовки корневого сертификата,
CertificateStore/My/User для подготовки промежуточных сертификатов ЦС.

Ниже приведен пример сообщения RSTR и пример XML-кода подготовки клиента

OMA в RSTR. Дополнительные сведения о поставщиках служб конфигурации (CSP),
используемых при подготовке XML, см. в разделе Корпоративные параметры,
политики и управление приложениями.

В следующем примере показан ответ веб-службы регистрации.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]">
<s:Header>
<a:Action s:mustUnderstand="1" >

[Link]
</a:Action>
<a:RelatesTo>urn:uuid:81a5419a-496b-474f-a627-
5cdd33eed8ab</a:RelatesTo>
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2012-08-02T[Link].420Z</u:Created>
<u:Expires>2012-08-02T[Link].420Z</u:Expires>
</u:Timestamp>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityTokenResponseCollection
xmlns="[Link]
<RequestSecurityTokenResponse>
<TokenType>

[Link]
nrollmentToken
</TokenType>
<DispositionMessage
xmlns="[Link]
<RequestedSecurityToken>
<BinarySecurityToken

ValueType="[Link]
ent/DeviceEnrollmentProvisionDoc"
EncodingType="[Link]
[Link]/wss/2004/01/oasis-200401-wss-wssecurity-secext-
[Link]#base64binary"
 xmlns="[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</BinarySecurityToken>
</RequestedSecurityToken>
<RequestID
xmlns="[Link]
stID>
</RequestSecurityTokenResponse>
</RequestSecurityTokenResponseCollection>
</s:Body>
</s:Envelope>

В следующем коде показан пример XML-кода подготовки (представленный в

предыдущем пакете в виде маркера безопасности):

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<characteristic type="Root">
<characteristic type="System">
<characteristic type="Encoded Root Cert Hash Inserted Here">
<parm name="EncodedCertificate" value="B64 encoded cert
insert here" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="CertificateStore">
<characteristic type="My" >
<characteristic type="User">
<characteristic type="Encoded Root Cert Hash Inserted Here">
<parm name="EncodedCertificate"
value="B64EncodedCertInsertedHere" />
</characteristic>
<characteristic type="PrivateKeyContainer"/>
<!-- This tag must be present for XML syntax correctness. -->
</characteristic>
<characteristic type="WSTEP">
<characteristic type="Renew">
<!-If the datatype for ROBOSupport, RenewPeriod, and
RetryInterval tags exist, they must be set explicitly. -->
<parm name="ROBOSupport" value="true" datatype="boolean"/>
<parm name="RenewPeriod" value="60" datatype="integer"/>
<parm name="RetryInterval" value="4" datatype="integer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="TestMDMServer"/>
 <parm name="NAME" value="Microsoft"/>
<parm name="ADDR"
value="[Link]
<parm name="CONNRETRYFREQ" value="6" />
<parm name="INITIALBACKOFFTIME" value="30000" />
<parm name="MAXBACKOFFTIME" value="120000" />
<parm name="BACKCOMPATRETRYDISABLED" />
<parm name="DEFAULTENCODING" value="application/[Link]+wbxml"
/>
<parm name="SSLCLIENTCERTSEARCHCRITERIA"
value="Subject=DC%3dcom%2cDC%3dmicrosoft%2cCN%3dUsers%2cCN%3dAdministrator&a
mp;amp;Stores=My%5CUser"/>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="CLIENT"/>
<parm name="AAUTHTYPE" value="DIGEST"/>
<parm name="AAUTHSECRET" value="password1"/>
<parm name="AAUTHDATA" value="B64encodedBinaryNonceInsertedHere"/>
</characteristic>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="APPSRV"/>
<parm name="AAUTHTYPE" value="BASIC"/>
<parm name="AAUTHNAME" value="testclient"/>
<parm name="AAUTHSECRET" value="password2"/>
</characteristic>
</characteristic>
<characteristic type="DMClient"> <!-- In Windows 10, an enrollment server
should use DMClient CSP XML to configure DM polling schedules. -->
<characteristic type="Provider">
<!-- ProviderID in DMClient CSP must match to PROVIDER-ID in w7
APPLICATION characteristics -->
<characteristic type="TestMDMServer">
<parm name="UPN" value="UserPrincipalName@[Link]"
datatype="string" />
<parm name="EntDeviceName" value="Administrator_Windows"
datatype="string" />
<characteristic type="Poll">
<parm name="NumberOfFirstRetries" value="8"
datatype="integer" />
<parm name="IntervalForFirstSetOfRetries" value="15"
datatype="integer" />
<parm name="NumberOfSecondRetries" value="5"
datatype="integer" />
<parm name="IntervalForSecondSetOfRetries" value="3"
datatype="integer" />
<parm name="NumberOfRemainingScheduledRetries" value="0"
datatype="integer" />
<!-- Windows 10 supports MDM push for real-time
communication. The DM client long term polling schedule's retry waiting
interval should be more than 24 hours (1440) to reduce the impact to data
consumption and battery life. Refer to the DMClient Configuration Service
Provider section for information about polling schedule parameters.-->
<parm name="IntervalForRemainingScheduledRetries"
value="1560" datatype="integer" />
<parm name="PollOnLogin" value="true" datatype="boolean" />
</characteristic>
 </characteristic>
</characteristic>
</characteristic>
<!-- For Windows 10, we removed EnterpriseAppManagement from the
enrollment protocol. -->
</wap-provisioningdoc>

７ Примечание

<Parm name> Элементы и <characteristic type=> в XML-файле W7

APPLICATION CSP чувствительны к регистру и должны быть прописными.

В характеристике приложения w7 учетные данные CLIENT и APPSRV

должны быть предоставлены в формате XML.

Подробные описания этих параметров см. в разделе Параметры

предприятия, политики и управление приложениями этого документа.

Характеристика PrivateKeyContainer является обязательной и должна

присутствовать в XML-коде подготовки регистрации при регистрации.
Другие важные параметры — это элементы параметров PROVIDER-ID,
NAME и ADDR , которые должны содержать уникальный идентификатор
и ИМЯ поставщика dm и адрес, по которому устройство может
подключиться для подготовки конфигурации. Идентификатор и ИМЯ
могут быть произвольными значениями, но они должны быть
уникальными.

Кроме того, важно значение SSLCLIENTCERTSEARCHCRITERIA, которое

используется для выбора сертификата, который будет использоваться для
проверки подлинности клиента. Поиск основан на атрибуте subject
подписанного сертификата пользователя.

CertificateStore/WSTEP включает продление сертификата. Если сервер не

поддерживает его, не устанавливайте его.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет
Отзыв о продукте
Регистрация устройств с помощью
проверки подлинности на основе
сертификатов
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В этом разделе приведен пример протокола регистрации мобильных устройств с

использованием политики проверки подлинности сертификатов. Дополнительные
сведения о протоколе регистрации мобильных устройств Майкрософт для
устройств Windows см. в разделе [MS-MDE2]: Протокол регистрации мобильных
устройств версии 2 .

７ Примечание

Чтобы настроить устройства для использования проверки подлинности

сертификата для регистрации, необходимо создать пакет подготовки.
Дополнительные сведения о пакетах подготовки см. в разделе Сборка и
применение пакета подготовки.

７ Примечание

Список сценариев регистрации, не поддерживаемых в Windows, см. в статье

Сценарии регистрации не поддерживаются.

Служба обнаружения
В следующем примере показан запрос службы обнаружения.

XML

POST /EnrollmentServer/[Link] HTTP/1.1

Content-Type: application/soap+xml; charset=utf-8
User-Agent: Windows Enrollment Client
Host: [Link]
Content-Length: xxx
Cache-Control: no-cache
<?xml version="1.0"?>
<s:Envelope xmlns:a="[Link]
xmlns:s="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
 [Link]
yService/Discover
</a:Action>
<a:MessageID>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
</a:To>
</s:Header>
<s:Body>
<Discover
xmlns="[Link]
<request xmlns:i="[Link]
<EmailAddress>user@[Link]</EmailAddress>
<OSEdition>101</OSEdition> <!--New in Windows 10-->
<OSVersion>[Link]</OSVersion> <!--New in Windows 10-->
<RequestVersion>3.0</RequestVersion> <!--Updated in Windows 10--
>
<ApplicationVersion>[Link]</ApplicationVersion>
<AuthPolicies>Certificate</AuthPolicies> <!--New in Windows 10--
>
</request>
</Discover>
</s:Body>
</s:Envelope>

В следующем примере показан ответ службы обнаружения.

XML

HTTP/1.1 200 OK
Content-Length: 865
Content-Type: application/soap+xml; charset=utf-8
Server: [Link]
Date: Tue, 02 Aug 2012 [Link] GMT
<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
[Link]
yService/DiscoverResponse
</a:Action>
<ActivityId>
d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
</ActivityId>
<a:RelatesTo>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:RelatesTo>
</s:Header>
 <s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<DiscoverResponse

xmlns="[Link]
<DiscoverResult>
<AuthPolicy>Certificate</AuthPolicy>
<EnrollmentVersion>3.0</EnrollmentVersion>
<EnrollmentPolicyServiceUrl>

[Link]
VC
</EnrollmentPolicyServiceUrl>
<EnrollmentServiceUrl>

[Link]
VC
</EnrollmentServiceUrl>
</DiscoverResult>
</DiscoverResponse>
</s:Body>
</s:Envelope>

Веб-служба политики регистрации

В следующем примере показан запрос веб-службы политики.

XML

POST /ENROLLMENTSERVER/[Link] HTTP/1.1

Content-Type: application/soap+xml; charset=utf-8
User-Agent: Windows Enrollment Client
Host: [Link]
Content-Length: xxxx
Cache-Control: no-cache
<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPolicies
</a:Action>
<a:MessageID>urn:uuid:72048B64-0F19-448F-8C2E-
B4C661860AA0</a:MessageID>
<a:ReplyTo>
<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
VC
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:BinarySecurityToken wsse:ValueType="X509v3"
wsse:Id="mytoken" wsse:EncodingType=
[Link]
[Link]#base64binary"
xmlns="[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken>
</wsse:Security>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPolicies

xmlns="[Link]
<client>
<lastUpdate xsi:nil="true"/>
<preferredLanguage xsi:nil="true"/>
</client>
<requestFilter xsi:nil="true"/>
</GetPolicies>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSPlatform">
<ac:Value>WindowsMobile</ac:Value>
<ac:ContextItem Name="OSEdition">
<ac:Value>Core</ac:Value>
<ac:ContextItem Name="OSVersion">
<ac:Value>9.0.9999.0</ac:Value>
<ac:ContextItem Name="DeviceName">
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
<ac:ContextItem Name="MACAddress">
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="IMEI">
<ac:Value>49015420323756</ac:Value>
<ac:ContextItem Name="EnrollmentType">
<ac:Value>Lite</ac:Value>
<ac:ContextItem Name="DeviceType">
<ac:Value>WindowsPhone</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="ApplicationVersion">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID">
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
</ac:AdditionalContext>
 </s:Body>
</s:Envelope>

В следующем фрагменте кода показан ответ веб-службы политики.

XML

HTTP/1.1 200 OK
Date: Fri, 03 Aug 2012 [Link] GMT
Server: <server name here>
Content-Type: application/soap+xml
Content-Length: xxxx

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<s:Envelope
xmlns:u="[Link]
[Link]"
xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPoliciesResponse
</a:Action>
<ActivityId CorrelationId="08d2997e-e8ac-4c97-a4ce-d263e62186ab"

xmlns="[Link]
d4335d7c-e192-402d-b0e7-f5d550467e3c</ActivityId>
<a:RelatesTo>urn:uuid: 69960163-adad-4a72-82d2-
bb0e5cff5598</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPoliciesResponse

xmlns="[Link]
<response>
<policyFriendlyName xsi:nil="true"
xmlns:xsi="[Link]
<nextUpdateHours xsi:nil="true"
xmlns:xsi="[Link]
<policiesNotChanged xsi:nil="true"
xmlns:xsi="[Link]
<policies>
<policy>
<policyOIDReference>0</policyOIDReference>
<cAs xsi:nil="true" />
<attributes>
<policySchema>3</policySchema>
<privateKeyAttributes>
<minimalKeyLength>2048</minimalKeyLength>
<keySpec xsi:nil="true" />
 <keyUsageProperty xsi:nil="true" />
<permissions xsi:nil="true" />
<algorithmOIDReference xsi:nil="true" />
<cryptoProviders xsi:nil="true" />
</privateKeyAttributes>
<supersededPolicies xsi:nil="true" />
<privateKeyFlags xsi:nil="true" />
<subjectNameFlags xsi:nil="true" />
<enrollmentFlags xsi:nil="true" />
<generalFlags xsi:nil="true" />

<hashAlgorithmOIDReference>0</hashAlgorithmOIDReference>
<rARequirements xsi:nil="true" />
<keyArchivalAttributes xsi:nil="true" />
<extensions xsi:nil="true" />
</attributes>
</policy>
</policies>
</response>
<cAs xsi:nil="true" />
<oIDs>
<oID>
<value>[Link].2.29</value>
<group>1</group>
<oIDReferenceID>0</oIDReferenceID>
<defaultName>szOID_OIWSEC_sha1RSASign</defaultName>
</oID>
</oIDs>
</GetPoliciesResponse>
</s:Body>
</s:Envelope>

Веб-служба регистрации
В следующем примере показан запрос веб-службы регистрации.

XML

POST /EnrollmentServer/[Link] HTTP/1.1

Content-Type: application/soap+xml; charset=utf-8
User-Agent: Windows Enrollment Client
Host: [Link]
Content-Length: 3242
Cache-Control: no-cache

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
 xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
</a:Action>
<a:MessageID>urn:uuid:0d5a1441-5891-453b-becf-
a2e5f6ea3749</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
[Link]
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsu:Timestamp>
<wsu:Created>2014-10-16T[Link]Z</wsu:Created> <!-- Start time
in UTC -->
<wsu:Expires>2014-10-16T[Link]Z </wsu:Expires> <!-- Expiration
time in UTC -->
</wsu:Timestamp>
<wsse:BinarySecurityToken wsse:ValueType=
[Link]
nrollmentUserToken
wsse:EncodingType=
[Link]
[Link]#base64binary"
xmlns=
[Link]
[Link]
wsu:Id="29801C2F-F26B-46AD-984B-AFAEFB545FF8">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken> <!-X509v3 Exported Public Cert, B64
Encoded, includes ID reference value to reference -->
<ds:Signature xmlns:ds="[Link]
<ds:SignedInfo xmlns:SOAP-
ENV="[Link]
xmlns:ds="[Link]
xmlns:wsu="[Link]
200401-wss-wssecurity-utility- [Link]">

<ds:SignatureMethodAlgorithm="[Link]
<ds:Reference URI="#envelop">
<ds:DigestMethod
Algorithm="[Link]
<ds:DigestValue>MessageDigestValue</ds:DigestValue>
<!-- Digest value of message using digest method -->
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>SignedMessageBlob/ds:SignatureValue>
<!-- Digest value of message signed with the user's private
key using RSA-SHA256 -->
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="29801C2F-F26B-46AD-984B-AFAEFB545FF8"
ValueType="[Link]
[Link]/wss/2004/01/
oasis-200401-wss-x509-token-profile-
1.0#X509"/>
<!-- References BinarySecurityToken that contains public
key to verify signature -->
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
</s:Header>
<s:Body>
<wst:RequestSecurityToken>
<wst:TokenType>

[Link]
nrollmentToken
</wst:TokenType>
<wst:RequestType>
[Link]
trust/200512/Issue</wst:RequestType>
<wsse:BinarySecurityToken

ValueType="[Link]
0"
EncodingType="[Link]
[Link]#base64binary">
DER format PKCS#10 certificate request in Base64 encoding
Insterted Here
</wsse:BinarySecurityToken>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSEdition"> <!--New in Windows 10-->
<ac:Value></ac:Value>
<ac:ContextItem Name="OSVersion"> <!--New in Windows 10-->
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="DeviceName"> <!--New in Windows 10-->
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
<ac:ContextItem Name="MAC"> <!--New in Windows 10 -->
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="MAC"> <!--New in Windows 10 -->
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="IMEI"> <!--New in Windows 10-->
<ac:Value>49015420323756</ac:Value>
<ac:ContextItem Name="EnrollmentType"> <!--New in Windows 10-->
<ac:Value>Full</ac:Value>
</ac:ContextItem>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID"> <!--From Handheld 8.1 -->
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
<ac:ContextItem Name="EnrollmentData">
 <ac:Value>3J4KLJ9SDJFAL93JLAKHJSDFJHAO83HAKSHFLAHSKFNHNPA2934342</ac:Value>
<ac:ContextItem Name="TargetedUserLoggedIn">
<ac:Value>True</ac:Value>
</ac:AdditionalContext>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>

В следующем примере показан ответ веб-службы регистрации.

XML

HTTP/1.1 200 OK
Cache-Control: private
Content-Length: 10231
Content-Type: application/soap+xml; charset=utf-8
Server: Microsoft-IIS/7.0
Date: Fri, 03 Aug 2012 [Link] GMT

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]">
<s:Header>
<Action s:mustUnderstand="1" >

[Link]
</Action>
<a:RelatesTo>urn:uuid:81a5419a-496b-474f-a627-
5cdd33eed8ab</a:RelatesTo>
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2012-08-02T[Link].420Z</u:Created>
<u:Expires>2012-08-02T[Link].420Z</u:Expires>
</u:Timestamp>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityTokenResponseCollection
xmlns="[Link]
<RequestSecurityTokenResponse>
<TokenType>

[Link]
nrollmentToken
</TokenType>
<RequestedSecurityToken>
<BinarySecurityToken
ValueType=
 "[Link]
EnrollmentProvisionDoc"
EncodingType=
"[Link]
[Link]#base64binary"
xmlns=
"[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</BinarySecurityToken>
</RequestedSecurityToken>
<RequestID
xmlns="[Link]
</RequestID>
</RequestSecurityTokenResponse>
</RequestSecurityTokenResponseCollection>
</s:Body>
</s:Envelope>

В следующем примере показан закодированный XML-код подготовки.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<characteristic type="Root">
<characteristic type="System">
<characteristic type="031336C933CC7E228B88880D78824FB2909A0A2F">
<parm name="EncodedCertificate" value="B64 encoded cert
insert here" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="CertificateStore">
<characteristic type="My" >
<characteristic type="User">
<characteristic type="F9A4F20FC50D990FDD0E3DB9AFCBF401818D5462">
<parm name="EncodedCertificate"
value="B64EncodedCertInsertedHere" />
</characteristic>
<characteristic type="PrivateKeyContainer"/>
<!-- This tag must be present for XML syntax correctness. -->
</characteristic>
<characteristic type="WSTEP">
<characteristic type="Renew">
<!--If the datatype for ROBOSupport, RenewPeriod, and
RetryInterval tags exist, they must be set explicitly. -->
<parm name="ROBOSupport" value="true" datatype="boolean"/>
<parm name="RenewPeriod" value="60" datatype="integer"/>
<parm name="RetryInterval" value="4" datatype="integer"/>
</characteristic>
 </characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="TestMDMServer"/>
<parm name="NAME" value="Microsoft"/>
<parm name="ADDR"
value="[Link]
<parm name="CONNRETRYFREQ" value="6" />
<parm name="INITIALBACKOFFTIME" value="30000" />
<parm name="MAXBACKOFFTIME" value="120000" />
<parm name="BACKCOMPATRETRYDISABLED" />
<parm name="DEFAULTENCODING" value="application/[Link]+wbxml"
/>
<parm name="SSLCLIENTCERTSEARCHCRITERIA" value=

"Subject=DC%3dcom%2cDC%3dmicrosoft%2cCN%3dUsers%2cCN%3dAdministrator&amp;amp
;Stores=My%5CUser"/>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="CLIENT"/>
<parm name="AAUTHTYPE" value="DIGEST"/>
<parm name="AAUTHSECRET" value="password1"/>
<parm name="AAUTHDATA" value="B64encodedBinaryNonceInsertedHere"/>
</characteristic>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="APPSRV"/>
<parm name="AAUTHTYPE" value="BASIC"/>
<parm name="AAUTHNAME" value="testclient"/>
<parm name="AAUTHSECRET" value="password2"/>
</characteristic>
</characteristic>
<characteristic type="DMClient"> <!-- In Windows 10, an enrollment server
should use DMClient CSP XML to configure DM polling schedules. -->
<characteristic type="Provider">
<!-- ProviderID in DMClient CSP must match to PROVIDER-ID in w7 APPLICATION
characteristics -->
<characteristic type="TestMDMServer">
<parm name="UPN" value="UserPrincipalName" datatype="string" />
<characteristic type="Poll">
<parm name="NumberOfFirstRetries" value="8"
datatype="integer" />
<parm name="IntervalForFirstSetOfRetries" value="15"
datatype="integer" />
<parm name="NumberOfSecondRetries" value="5"
datatype="integer" />
<parm name="IntervalForSecondSetOfRetries" value="3"
datatype="integer" />
<parm name="NumberOfRemainingScheduledRetries" value="0"
datatype="integer" />
<!-- Windows 10 supports MDM push for real-time communication. The DM client
long term polling schedule's retry waiting interval should be more than 24
hours (1440) to reduce the impact to data consumption and battery life.
Refer to the DMClient Configuration Service Provider section for information
about polling schedule parameters.-->
 <parm name="IntervalForRemainingScheduledRetries" value="1560"
datatype="integer" />
<parm name="PollOnLogin" value="true" datatype="boolean" />
</characteristic>
<parm name="EntDeviceName" value="Administrator_Windows"
datatype="string" />
</characteristic>
</characteristic>
</characteristic>
<!-- For Windows 10, we have removed EnterpriseAppManagement from the
enrollment
protocol. This configuration service provider is being deprecated
for Windows 10. -->
</wap-provisioningdoc>

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Регистрация устройств с помощью
локальной проверки подлинности
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В этом разделе приведен пример протокола регистрации мобильных устройств с

использованием локальной политики проверки подлинности. Дополнительные
сведения о протоколе регистрации мобильных устройств Майкрософт для Windows
см. в разделе [MS-MDE2]: Протокол регистрации мобильных устройств версии 2 .

７ Примечание

Список сценариев регистрации, не поддерживаемых в Windows, см. в статье

Сценарии регистрации не поддерживаются.

Служба обнаружения
Веб-служба обнаружения предоставляет сведения о конфигурации, необходимые
пользователю для регистрации устройства в службе управления. Служба
представляет собой беспокойную веб-службу по протоколу HTTPS (только
проверка подлинности сервера).

７ Примечание

Администратор службы обнаружения должен создать узел с адресом

enterpriseenrollment.<domain_name>.com .

Поток автоматического обнаружения устройства использует доменное имя адреса

электронной почты, который был отправлен на экран параметров рабочей области
во время входа. Система автоматического обнаружения создает универсальный
код ресурса (URI), который использует это имя узла, добавляя поддомен
enterpriseenrollment в домен адреса электронной почты и добавляя путь
/EnrollmentServer/[Link] . Например, если адрес электронной почты —

sample@[Link] , результирующий URI для первого запроса Get будет:

[Link] .

Первый запрос является стандартным HTTP-запросом GET.

В следующем примере показан запрос через HTTP GET к серверу обнаружения,
указанному user@[Link] в качестве адреса электронной почты.

HTTP

Request Full Url:

[Link]
Content Type: unknown
Header Byte Count: 153
Body Byte Count: 0

HTTP

GET /EnrollmentServer/[Link] HTTP/1.1

User-Agent: Windows Phone 8 Enrollment Client
Host: [Link]
Pragma: no-cache

HTTP

Request Full Url:

[Link]
Content Type: text/html
Header Byte Count: 248
Body Byte Count: 0

HTTP

HTTP/1.1 200 OK
Connection: Keep-Alive
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 0

После того как устройство получает ответ от сервера, устройство отправляет

запрос POST в enterpriseenrollment.<domain_name>/EnrollmentServer/[Link] .
После получения другого ответа от сервера (который должен сообщить устройству,
где находится сервер регистрации), следующее сообщение, отправленное с
устройства, будет отправлено на enterpriseenrollment.<domain_name> сервер
регистрации.

Применяется следующая логика:

1. Устройство сначала пытается использовать ПРОТОКОЛ HTTPS. Если

устройство не доверяет сертификату сервера, попытка HTTPS завершается
 ошибкой.
2. В случае сбоя устройство пытается проверить, перенаправляется ли оно по
протоколу HTTP:

Если устройство не перенаправляется, пользователю будет предложено

ввести адрес сервера.
Если устройство перенаправляется, пользователю предлагается
разрешить перенаправление.

В следующем примере показан запрос через команду HTTP POST к веб-службе

обнаружения, указанному user@[Link] в качестве адреса электронной почты:

HTTP

[Link]

В следующем примере показан запрос службы обнаружения.

XML

<?xml version="1.0"?>
<s:Envelope xmlns:a="[Link]
xmlns:s="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/Discover
</a:Action>
<a:MessageID>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
</a:To>
</s:Header>
<s:Body>
<Discover
xmlns="[Link]
<request xmlns:i="[Link]
<EmailAddress>user@[Link]</EmailAddress>
<OSEdition>3</OSEdition> <!--New -->
<RequestVersion>3.0</RequestVersion> <!-- Updated -->
<DeviceType>WindowsPhone</DeviceType> <!--Updated -->
<ApplicationVersion>[Link]</ApplicationVersion>
<AuthPolicies>
<AuthPolicy>OnPremise</AuthPolicy>
 </AuthPolicies>
</request>
</Discover>
</s:Body>
</s:Envelope>

Если домен и имя пользователя указаны пользователем вместо адреса

электронной почты, <тег EmailAddress> должен содержать домен\имя
пользователя. В этом случае пользователю необходимо ввести адрес сервера
напрямую.

<EmailAddress>contoso\user</EmailAddress> Response

Ответ обнаружения имеет формат XML и содержит следующие поля:

URL-адрес службы регистрации (EnrollmentServiceUrl) — указывает URL-адрес

конечной точки регистрации, предоставляемой службой управления.
Устройство должно вызвать этот URL-адрес после проверки подлинности
пользователя. Это поле является обязательным.
Политика проверки подлинности (AuthPolicy) — указывает, какой тип
проверки подлинности требуется. Для сервера MDM значение OnPremise
является поддерживаемым значением, что означает, что пользователь
проходит проверку подлинности при вызове URL-адреса службы управления.
Это поле является обязательным.
Федеративный добавляется в качестве другого поддерживаемого значения.
Это позволяет серверу использовать брокер веб-проверки подлинности для
выполнения настраиваемой проверки подлинности пользователей и принятия
условий использования.

７ Примечание

Ответ HTTP-сервера не должен быть фрагментирован; Оно должно быть

отправлено в виде одного сообщения.

В следующем примере показан ответ, полученный от веб-службы обнаружения для

проверки подлинности OnPremise:

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
 [Link]
yService/DiscoverResponse
</a:Action>
<ActivityId>
d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
</ActivityId>
<a:RelatesTo>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<DiscoverResponse

xmlns="[Link]
<DiscoverResult>
<AuthPolicy>OnPremise</AuthPolicy>
<EnrollmentVersion>3.0</EnrollmentVersion>
<EnrollmentPolicyServiceUrl>

[Link]
VC
</EnrollmentPolicyServiceUrl>
<EnrollmentServiceUrl>

[Link]
VC
</EnrollmentServiceUrl>
</DiscoverResult>
</DiscoverResponse>
</s:Body>
</s:Envelope>

Веб-служба политики регистрации

Для политики проверки подлинности OnPremise usernameToken в GetPolicies
содержит учетные данные пользователя, значение которых основано на политике
проверки подлинности при обнаружении. В следующем примере показан запрос
веб-службы политики и используется user@[Link] в качестве имени
пользователя и mypassword пароля.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
 <s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPolicies
</a:Action>
<a:MessageID>urn:uuid:72048B64-0F19-448F-8C2E-
B4C661860AA0</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
VC
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:UsernameToken u:Id="uuid-cc1ccc1f-2fba-4bcf-b063-
ffc0cac77917-4">
<wsse:Username>user@[Link]</wsse:Username>
<wsse:Password wsse:Type="[Link]
[Link]/wss/2004/01/oasis-200401-wss-username-token-profile-
1.0#PasswordText">mypassword</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPolicies

xmlns="[Link]
<client>
<lastUpdate xsi:nil="true"/>
<preferredLanguage xsi:nil="true"/>
</client>
<requestFilter xsi:nil="true"/>
</GetPolicies>
</s:Body>
</s:Envelope>

После проверки подлинности пользователя веб-служба получает шаблон

сертификата, с помощью которого пользователь должен зарегистрировать, и
создает политики регистрации на основе свойств шаблона сертификата. Пример
ответа можно найти на сайте MSDN.

MS-XCEP поддерживает гибкие политики регистрации, использующие различные

сложные типы и атрибуты, которые включают minimalKeyLength, политики
hashAlgorithmOIDReference и CryptoProviders. HashAlgorithmOIDReference имеет
связанные OID и OIDReferenceID и policySchema в GetPolicesResponse. PolicySchema
ссылается на версию шаблона сертификата. Версия 3 MS-XCEP поддерживает
алгоритмы хэширования.

７ Примечание

Ответ HTTP-сервера не должен быть фрагментирован; Оно должно быть

отправлено в виде одного сообщения.

В следующем фрагменте кода показан ответ веб-службы политики.

XML

<s:Envelope
xmlns:u="[Link]
[Link]"
xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPoliciesResponse
</a:Action>
<a:RelatesTo>urn:uuid: 69960163-adad-4a72-82d2-
bb0e5cff5598</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPoliciesResponse

xmlns="[Link]
<response>
<policyID />
<policyFriendlyName xsi:nil="true"
xmlns:xsi="[Link]
<nextUpdateHours xsi:nil="true"
xmlns:xsi="[Link]
<policiesNotChanged xsi:nil="true"
xmlns:xsi="[Link]
<policies>
<policy>
<policyOIDReference>0</policyOIDReference>
<cAs xsi:nil="true" />
<attributes>
<commonName>CEPUnitTest</commonName>
<policySchema>3</policySchema>
<certificateValidity>
<validityPeriodSeconds>1209600</validityPeriodSeconds>
<renewalPeriodSeconds>172800</renewalPeriodSeconds>
</certificateValidity>
<permission>
 <enroll>true</enroll>
<autoEnroll>false</autoEnroll>
</permission>
<privateKeyAttributes>
<minimalKeyLength>2048</minimalKeyLength>
<keySpec xsi:nil="true" />
<keyUsageProperty xsi:nil="true" />
<permissions xsi:nil="true" />
<algorithmOIDReference xsi:nil="true" />
<cryptoProviders xsi:nil="true" />
</privateKeyAttributes>
<revision>
<majorRevision>101</majorRevision>
<minorRevision>0</minorRevision>
</revision>
<supersededPolicies xsi:nil="true" />
<privateKeyFlags xsi:nil="true" />
<subjectNameFlags xsi:nil="true" />
<enrollmentFlags xsi:nil="true" />
<generalFlags xsi:nil="true" />
<hashAlgorithmOIDReference>0</hashAlgorithmOIDReference>
<rARequirements xsi:nil="true" />
<keyArchivalAttributes xsi:nil="true" />
<extensions xsi:nil="true" />
</attributes>
</policy>
</policies>
</response>
<cAs xsi:nil="true" />
<oIDs>
<oID>
<value>[Link].2.29</value>
<group>1</group>
<oIDReferenceID>0</oIDReferenceID>
<defaultName>szOID_OIWSEC_sha1RSASign</defaultName>
</oID>
</oIDs>
</GetPoliciesResponse>
</s:Body>
</s:Envelope>

Веб-служба регистрации
Эта веб-служба реализует протокол MS-WSTEP. Он обрабатывает сообщение
RequestSecurityToken (RST) от клиента, проверяет подлинность клиента,
запрашивает сертификат из ЦС и возвращает его клиенту в
requestSecurityTokenResponse (RSTR). Помимо выданного сертификата, ответ также
содержит конфигурации, необходимые для подготовки клиента dm.
RequestSecurityToken (RST) должен иметь учетные данные пользователя и запрос
сертификата. Учетные данные пользователя в конверте RST SOAP такие же, как в
GetPolicies, и могут отличаться в зависимости от того, является ли политика
проверки подлинности OnPremise или Federated. BinarySecurityToken в тексте RST
SOAP содержит запрос сертификата PKCS#10 в кодировке Base64, который
создается клиентом на основе политики регистрации. Клиент мог запросить
политику регистрации с помощью MS-XCEP, прежде чем запрашивать сертификат с
помощью MS-WSTEP. Если запрос на сертификат PKCS#10 принят центром
сертификации (ЦС) (длина ключа, алгоритм хэширования и т. д. соответствуют
шаблону сертификата), клиент может успешно зарегистрировать.

RequestSecurityToken использует пользовательский TokenType

( [Link]
entToken ), так как маркер регистрации больше, чем сертификат X.509 версии 3.

Дополнительные сведения см. в разделе Ответ.

RST также может указывать ряд элементов AdditionalContext, таких как DeviceType и
Version. Например, на основе этих значений веб-служба может возвращать
конфигурацию dm для конкретного устройства и версии.

７ Примечание

Служба политики и служба регистрации должны находиться на одном сервере;

то есть они должны иметь одно и то же имя узла.

В следующем примере показан запрос веб-службы регистрации для проверки

подлинности OnPremise.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
</a:Action>
<a:MessageID>urn:uuid:0d5a1441-5891-453b-becf-
a2e5f6ea3749</a:MessageID>
<a:ReplyTo>
<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
[Link]
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:UsernameToken u:Id="uuid-cc1ccc1f-2fba-4bcf-b063-
ffc0cac77917-4">
<wsse:Username>user@[Link]</wsse:Username>
<wsse:Password wsse:Type=
"[Link]
username-token-profile-1.0#PasswordText">mypassword
</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
</s:Header>
<s:Body>
<wst:RequestSecurityToken>
<wst:TokenType>

[Link]
nrollmentToken
</wst:TokenType>
<wst:RequestType>
[Link]
trust/200512/Issue</wst:RequestType>
<wsse:BinarySecurityToken

ValueType="[Link]
0"
EncodingType="[Link]
[Link]#base64binary">
DER format PKCS#10 certificate request in Base64 encoding
Insterted Here
</wsse:BinarySecurityToken>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSEdition">
<ac:Value> 4</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="OSVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceName">
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
 <ac:ContextItem Name="IMEI">
<ac:Value>49015420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="IMEI">
<ac:Value>30215420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="EnrollmentType">
<ac:Value>Full</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceType">
<ac:Value>CIMClient_Windows</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="ApplicationVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID">
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="TargetedUserLoggedIn">
<ac:Value>True</ac:Value>
</ac:ContextItem>
</ac:AdditionalContext>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>

В следующем примере показан ответ веб-службы регистрации.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]">
<s:Header>
<a:Action s:mustUnderstand="1" >

[Link]
</a:Action>
<a:RelatesTo>urn:uuid:81a5419a-496b-474f-a627-
5cdd33eed8ab</a:RelatesTo>
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2012-08-02T[Link].420Z</u:Created>
<u:Expires>2012-08-02T[Link].420Z</u:Expires>
</u:Timestamp>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityTokenResponseCollection
xmlns="[Link]
 <RequestSecurityTokenResponse>
<TokenType>

[Link]
nrollmentToken
</TokenType>
<DispositionMessage
xmlns="[Link]
<RequestedSecurityToken>
<BinarySecurityToken
ValueType=

"[Link]
EnrollmentProvisionDoc"
EncodingType=
"[Link]
[Link]#base64binary"
xmlns=
"[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</BinarySecurityToken>
</RequestedSecurityToken>
<RequestID
xmlns="[Link]
</RequestID>
</RequestSecurityTokenResponse>
</RequestSecurityTokenResponseCollection>
</s:Body>
</s:Envelope>

В следующем примере показан закодированный XML-код подготовки.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<characteristic type="Root">
<characteristic type="System">
<characteristic type="031336C933CC7E228B88880D78824FB2909A0A2F">
<parm name="EncodedCertificate" value="B64 encoded cert
insert here" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="CertificateStore">
<characteristic type="My" >
<characteristic type="User">
<characteristic type="F9A4F20FC50D990FDD0E3DB9AFCBF401818D5462">
<parm name="EncodedCertificate"
value="B64EncodedCertInsertedHere" />
</characteristic>
 <characteristic type="PrivateKeyContainer"/>
<!-- This tag must be present for XML syntax correctness. -->
</characteristic>
<characteristic type="WSTEP">
<characteristic type="Renew">
<!--If the datatype for ROBOSupport, RenewPeriod, and
RetryInterval tags exist, they must be set explicitly. -->
<parm name="ROBOSupport" value="true" datatype="boolean"/>
<parm name="RenewPeriod" value="60" datatype="integer"/>
<parm name="RetryInterval" value="4" datatype="integer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="TestMDMServer"/>
<parm name="NAME" value="Microsoft"/>
<parm name="ADDR"
value="[Link]
<parm name="CONNRETRYFREQ" value="6" />
<parm name="INITIALBACKOFFTIME" value="30000" />
<parm name="MAXBACKOFFTIME" value="120000" />
<parm name="BACKCOMPATRETRYDISABLED" />
<parm name="DEFAULTENCODING" value="application/[Link]+wbxml"
/>
<parm name="SSLCLIENTCERTSEARCHCRITERIA" value=

"Subject=DC%3dcom%2cDC%3dmicrosoft%2cCN%3dUsers%2cCN%3dAdministrator&amp;amp
;Stores=My%5CUser"/>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="CLIENT"/>
<parm name="AAUTHTYPE" value="DIGEST"/>
<parm name="AAUTHSECRET" value="password1"/>
<parm name="AAUTHDATA" value="B64encodedBinaryNonceInsertedHere"/>
</characteristic>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="APPSRV"/>
<parm name="AAUTHTYPE" value="BASIC"/>
<parm name="AAUTHNAME" value="testclient"/>
<parm name="AAUTHSECRET" value="password2"/>
</characteristic>
</characteristic>
<characteristic type="DMClient"> <!-- In Windows 10, an enrollment server
should use DMClient CSP XML to configure DM polling schedules. -->
<characteristic type="Provider">
<!-- ProviderID in DMClient CSP must match to PROVIDER-ID in w7 APPLICATION
characteristics -->
<characteristic type="TestMDMServer">
<characteristic type="Poll">
<parm name="NumberOfFirstRetries" value="8" datatype="integer" />
<parm name="IntervalForFirstSetOfRetries" value="15"
datatype="integer" />
<parm name="NumberOfSecondRetries" value="5" datatype="integer" />
<parm name="IntervalForSecondSetOfRetries" value="3"
 datatype="integer" />
<parm name="NumberOfRemainingScheduledRetries" value="0"
datatype="integer" />
<!-- Windows 10 supports MDM push for real-time communication. The DM client
long term polling schedule's retry waiting interval should be more than 24
hours (1440) to reduce the impact to data consumption and battery life.
Refer to the DMClient Configuration Service Provider section for information
about polling schedule parameters.-->
<parm name="IntervalForRemainingScheduledRetries" value="1560"
datatype="integer" />
<parm name="PollOnLogin" value="true" datatype="boolean" />
</characteristic>
<parm name="EntDeviceName" value="Administrator_Windows"
datatype="string" />
</characteristic>
</characteristic>
</characteristic>
<!-- For Windows 10, we removed EnterpriseAppManagement from the
enrollment
protocol. This configuration service provider is being deprecated
for Windows 10. -->
</wap-provisioningdoc>

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление корпоративными
параметрами и политиками
Статья • 17.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Фактическое взаимодействие управления между устройством и сервером

осуществляется через DMClient. DMClient взаимодействует с корпоративным
сервером управления с помощью синтаксиса DM версии 1.2 SyncML. Полное
описание протокола OMA DM версии 1.2 можно найти на веб-сайте OMA .

Параметры ENTERPRISE MDM предоставляются через различные поставщики служб

конфигурации в DMClient. Список доступных поставщиков служб конфигурации см
. в справочнике по поставщику служб конфигурации.

В настоящее время Windows поддерживает один сервер MDM. DmClient,

настроенный в процессе регистрации, получает доступ к параметрам, связанным с
предприятием. В процессе регистрации планировщик задач настраивается для
вызова DMClient для периодического опроса сервера MDM.

На следующей схеме показан рабочий поток между сервером и клиентом.

Рабочий процесс управления

Этот протокол определяет обмен данными между клиентом и сервером на основе
HTTPS с DM SyncML XML в качестве полезных данных пакета, который содержит
запросы на управление и результаты выполнения. Запрос конфигурации решается
через управляемый объект (MO). Параметры, поддерживаемые управляемым
объектом, представлены в концептуальной структуре дерева. Это логическое
представление настраиваемых параметров устройства упрощает то, как сервер
обращается к параметрам устройства, изолируя сведения о реализации из
структуры концептуального дерева.

Чтобы упростить обмен данными с удаленным сервером для корпоративного

управления, Windows поддерживает взаимную проверку подлинности на основе
сертификатов через зашифрованный HTTP-канал TLS/SSL между DMClient и
службой управления. Сертификаты сервера и клиента подготавливаются в
процессе регистрации.

Конфигурация DMClient, принудительное применение политики компании,

управление бизнес-приложениями и инвентаризация устройств предоставляются
или выражаются через поставщиков служб конфигурации (CSP). Поставщики служб
конфигурации — это термин Windows для управляемых объектов. DmClient
взаимодействует с сервером и отправляет запрос конфигурации в поставщики
служб конфигурации. Сервер должен знать только логические локальные URI,
определенные этими узлами CSP, чтобы использовать XML-код протокола DM для
управления устройством.

Ниже приведена сводка задач dm, поддерживаемых для управления

предприятием:

Управление политиками компании. Политики компании поддерживаются

через CSP политики, который позволяет предприятию управлять различными
параметрами. Она позволяет службе управления настраивать политики,
связанные с блокировкой устройств, отключать или включать карту памяти и
запрашивать состояние шифрования устройства. CSP RemoteWipe позволяет
ИТ-специалистам удаленно полностью очистить внутреннее хранилище
данных пользователей.
Управление корпоративными приложениями. Эта задача решается с
помощью CSP Enterprise ModernApp Management и нескольких политик,
связанных с ApplicationManagement. Он используется для установки
корпоративного токена, запроса установленных имен и версий бизнес-
приложений и т. д. Этот поставщик служб CSP доступен только корпоративной
службе.
Управление сертификатами. Для установки сертификатов используются CSP
CertificateStore, RootCACertificate CSP и ClientCertificateInstall CSP.
Базовые данные инвентаризации устройств и управления активами.
Некоторые основные сведения об устройстве можно получить с помощью
поставщика служб CSP Для DevInfo, CSP DevDetail и поставщика служб CSP
DeviceStatus. Они предоставляют основные сведения об устройстве, такие как
 имя OEM, модель устройства, версия оборудования, версия ОС, типы
процессоров и т. д. Эти сведения предназначены для управления ресурсами и
нацеливания на устройства. Поставщик служб CSP NodeCache позволяет
устройству отправлять на сервер только разностные параметры
инвентаризации, чтобы сократить использование данных по воздуху.
Поставщик служб CSP NodeCache доступен только корпоративной службе.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление корпоративными
приложениями
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В этой статье рассматривается одна из ключевых возможностей Windows Mobile

Управление устройствами (MDM): возможность управления жизненным циклом
приложений на всех устройствах Windows. Сюда входят приложения Магазина и
приложения, не относящиеся к Store, которыми можно управлять в собственном
коде с помощью MDM.

Используя Windows MDM для управления жизненным циклом приложений,

администраторы могут развертывать обновления и управлять ими, удалять
устаревшие или неиспользуемые приложения и обеспечивать установку на всех
устройствах необходимых приложений в соответствии с потребностями
организации. Эта функция упрощает процесс управления приложениями и
экономит время и усилия для ИТ-специалистов.

Цели управления приложениями

Windows предоставляет серверам управления возможность:

Развертывание автономных приложений и лицензий Магазина

Развертывание бизнес-приложений (бизнес-приложений) (приложений, не
относящихся к Store)
Инвентаризация всех приложений для пользователя (приложения Магазина и
приложений, не относящихся к Store)
Инвентаризация всех приложений для устройства (приложения Магазина и
приложений, не относящихся к Store)
Удаление всех приложений для пользователя (приложения Магазина и
приложений, не относящихся к Store)
Подготовка приложений, чтобы они устанавливались для всех пользователей
устройства под управлением классических выпусков Windows (Домашняя, Pro,
Корпоративная и Для образовательных учреждений)
Удаление подготовленного приложения на устройстве под управлением
классических выпусков Windows

Приложения инвентаризации
Windows позволяет выполнять инвентаризацию всех приложений, развернутых для
пользователя, и инвентаризацию всех приложений для всех пользователей
устройства Windows. Поставщик службы конфигурации
EnterpriseModernAppManagement (CSP) выполняет инвентаризацию упакованных
приложений и не включает традиционные приложения Win32, установленные
через MSI или исполняемые файлы. При инвентаризации приложений они
разделяются на основе следующих классификаций приложений:

Магазин: приложения, приобретенные из Microsoft Store.

nonStore: приложения, которые не были приобретены из Microsoft Store.
Система: приложения, которые являются частью операционной системы и не
могут быть удалены. Эта классификация доступна только для чтения и может
быть только инвентаризации.

Каждое приложение определяется одним именем семейства пакетов и одним или

несколькими полными именами пакетов, а приложения группируются по их
происхождению. Поставщик служб CSP EnterpriseModernAppManagement
отображает эти классификации как узлы.

Инвентаризацию можно выполнять рекурсивно на любом уровне от узла

AppManagement до полного имени пакета. Вы также можете выбрать
инвентаризацию только определенных атрибутов. Инвентаризация относится к
полному имени пакета и содержит список пакетов и пакетов ресурсов, как это
применимо, под именем семейства пакетов.

Дополнительные сведения о каждом узле см. в подробных описаниях,

представленных в поставщике CSP EnterpriseModernAppManagement.

Инвентаризация приложений
CSP EnterpriseModernAppManagement можно использовать для запроса всех
приложений, установленных для пользователя или устройства. Запрос возвращает
все приложения, даже если они были установлены с помощью MDM или других
методов. Инвентаризация может выполняться на уровне пользователя или
устройства. Инвентаризация на уровне устройства возвращает сведения для всех
пользователей на устройстве.

Полная инвентаризация устройства может быть ресурсоемкой в зависимости от

оборудования и количества установленных приложений. Возвращаемые данные
также могут быть большими. Вы можете выполнить фрагментацию этих запросов,
чтобы уменьшить влияние на клиенты и сетевой трафик.

Пример запроса для всех приложений на устройстве.

 XML

<!-- Get all apps under AppManagement -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagemen
t?list=StructData</LocURI>
</Target>
</Item>
</Get>

Пример запроса для конкретного приложения для пользователя.

XML

<!-- Get all information of a specific app for a user -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/
AppStore/{PackageFamilyName}?list=StructData</LocURI>
</Target>
</Item>
</Get>

Инвентаризация лицензий на хранение

CSP EnterpriseModernAppManagement можно использовать для запроса всех
лицензий приложений, установленных для пользователя или устройства. Запрос
возвращает все лицензии приложений, события, если они были установлены с
помощью MDM или другими методами. Инвентаризация может выполняться на
уровне пользователя или устройства. Инвентаризация на уровне устройства
возвращает сведения для всех пользователей на устройстве.

Подробные описания каждого узла см. в разделе EnterpriseModernAppManagement

CSP.

７ Примечание

LicenseID в CSP — это идентификатор содержимого для лицензии.

 Ниже приведен пример запроса для всех лицензий приложений на
устройстве.

XML

<!-- Get all app licenses for the device -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/
StoreLicenses?list=StructData</LocURI>
</Target>
</Item>
</Get>

Ниже приведен пример запроса для всех лицензий приложений для

пользователя.

XML

<!-- Get a specific app license for a user -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/St
oreLicenses/{license id}?list=StructData</LocURI>
</Target>
</Item>
</Get>

Включение устройства для установки

приложений, отличных от Store
Существует два основных типа приложений, которые можно развернуть:

Приложения Магазина.
Корпоративные подписанные приложения.

Чтобы развернуть корпоративные подписанные приложения, необходимо

включить параметр на устройстве, чтобы разрешить доверенные приложения.
Приложения могут быть подписаны утвержденным корпорацией Майкрософт
корневым каталогом (например, Symantec), корпоративным развернутым
корневым каталогом или самозаверяющими приложениями. В этом разделе
описаны действия по настройке устройства для развертывания приложений, не
являющихся магазинами.

Разблокировка устройства для приложений, не

относящихся к Store
Чтобы развернуть приложения, которые не из Microsoft Store, необходимо
настроить политику ApplicationManagement/AllowAllTrustedApps . Эта политика
разрешает установку приложений, не относящихся к Store, на устройстве, если на
устройстве есть цепочка с сертификатом. Приложение может быть подписано
корневым сертификатом на устройстве (например, Symantec Enterprise), корневым
сертификатом предприятия или сертификатом однорангового доверия,
развернутым на устройстве. Дополнительные сведения о развертывании
пользовательской лицензии см. в разделе Развертывание автономной лицензии
для пользователя.

Политика AllowAllTrustedApps позволяет устанавливать приложения, которым

доверяет сертификат в доверенном Люди на устройстве или корневой сертификат
в доверенном корневом каталоге устройства. Политика не настроена по
умолчанию, что означает, что можно установить только приложения из Microsoft
Store. Если сервер управления неявно устанавливает значение off, параметр
отключается на панели параметров на устройстве.

Вот пример.

XML

<!-- Get policy (Default)-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowAllTrustedApp
s?list=StructData</LocURI>
</Target>
</Item>
</Get>
<!-- Update policy -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApp
 s</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Replace>

Разблокировка устройства в режиме разработчика

Для разработки приложений на устройствах Windows больше не требуется
специальная лицензия. Вы можете включить отладку и развертывание неупакетных
приложений с помощью политики ApplicationManagement/AllowDeveloperUnlock в
CSP политики.

Политика AllowDeveloperUnlock включает режим разработки на устройстве.

Параметр AllowDeveloperUnlock не настроен по умолчанию, что означает, что
можно установить только приложения Microsoft Store. Если сервер управления
явно устанавливает значение off, параметр отключен на панели параметров на
устройстве.

Для развертывания приложений на устройствах Windows требуется цепочка с

сертификатом на устройстве. Приложение может быть подписано корневым
сертификатом на устройстве (например, Symantec Enterprise), корневым
сертификатом предприятия или сертификатом однорангового доверия,
развернутым на устройстве.

Вот пример.

XML

<!-- Get policy (Default)-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowDeveloperUnlo
ck?list=StructData</LocURI>
</Target>
</Item>
</Get>
<!-- Update policy -->
<Replace>
<CmdID>2</CmdID>
<Item>
 <Target>

<LocURI>./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowDeveloperUnlo
ck</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Replace>

Установка приложений
Приложения можно установить для определенного пользователя или для всех
пользователей устройства. Приложения устанавливаются непосредственно из
Microsoft Store. Кроме того, они устанавливаются из расположения узла, например
из локального диска, пути UNC или расположения HTTPS. Используйте узел
AppInstallation поставщика CSP EnterpriseModernAppManagement для установки
приложений.

Развертывание приложений для пользователей из

Магазина
Чтобы развернуть приложение для пользователя непосредственно из Microsoft
Store, сервер управления выполняет команду Add and Exec в узле AppInstallation
поставщика CSP EnterpriseModernAppManagement. Эта функция поддерживается
только в контексте пользователя и не поддерживается в контексте устройства.

Если вы приобрели приложение в Магазине для бизнеса и оно указано для веб-
лицензии, приложение и лицензия должны быть приобретены непосредственно в
Microsoft Store.

７ Примечание

Microsoft Store для бизнеса и Microsoft Store для образования стираются.

Дополнительные сведения см. в разделе Microsoft Store для бизнеса и 31
марта 2023 г.

Ниже приведены требования к этому сценарию.

 Приложение назначается пользователю, Microsoft Entra удостоверение в
Магазине для бизнеса. Вы можете назначить непосредственно в Store для
бизнеса или через сервер управления.
Для устройства требуется подключение к Microsoft Store.
Службы Microsoft Store должны быть включены на устройстве.
Пользовательский интерфейс microsoft Store может быть отключен
администратором предприятия.
Пользователь должен войти со своим Microsoft Entra удостоверением.

Вот пример.

XML

<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallation/{Pa
ckageFamilyName}/StoreInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application id="{ProductID}" flags="0" skuid=" " />
</Data>
</Item>
</Exec>

Ниже приведены изменения предыдущего выпуска:

1. Ссылка {CatID} должна быть обновлена до {ProductID} . Это значение

приобретается в рамках средства управления Store для бизнеса.
2. Значение флагов может быть равно 0 или 1.

0. Средство управления вызывает синхронизацию Store для бизнеса,

чтобы назначить пользователю место приложения.
1. Средство управления не вызывает обратно в синхронизацию Store для
бизнеса, чтобы назначить пользователю место приложения. CSP
претендует на место, если оно доступно.

3. — skuid это новый обязательный параметр. Это значение приобретается в

рамках синхронизации средств управления из Магазина для бизнеса.
Развертывание автономной лицензии для
пользователя
Если вы приобрели приложение в Магазине для бизнеса, лицензия на приложение
должна быть развернута на устройстве. Лицензия приложения должна быть
развернута только при начальной установке приложения. Во время обновления
для пользователя развертывается только приложение.

В команде SyncML необходимо указать следующие сведения Exec :

Идентификатор лицензии. Этот идентификатор указан в LocURI.

Идентификатор лицензии для автономной лицензии называется
идентификатором содержимого в файле лицензии. Эти сведения можно
получить из скачивания лицензии в кодировке Base 64 из Магазина для
бизнеса.
Содержимое лицензии. Это содержимое указывается в разделе данных.
Содержимое лицензии — это большой двоичный объект в кодировке Base 64
лицензии.

Ниже приведен пример автономной установки лицензий.

XML

<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/StoreLi
censes/{LicenseID}/AddLicense</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data><License Content="{LicenseBlob}"></Data>
</Item>
</Exec>

Развертывание приложений для пользователя из

размещенного расположения
Если вы приобрели приложение в Магазине для бизнеса и оно указано для
автономной лицензии или приложение не является приложением Магазина,
приложение должно быть развернуто из размещенного расположения.
Ниже приведены требования к этому сценарию.

Расположением приложения может быть локальная файловая система

(C:\StagedApps\[Link]), UNC-путь (\\server\share\[Link]) или
расположение HTTPS ( [Link] ).
Пользователь должен иметь разрешение на доступ к расположению
содержимого. Для HTTP можно использовать проверку подлинности сервера
или проверку подлинности на основе сертификата, связанного с
регистрацией. Расположения HTTP поддерживаются, но не рекомендуется из-
за отсутствия требований к проверке подлинности.
Устройству не требуется подключение к Microsoft Store, службам хранилища
или включен пользовательский интерфейс Microsoft Store.
Пользователь должен войти в систему, но связь с Microsoft Entra
удостоверением не требуется.

７ Примечание

Необходимо разблокировать устройство для развертывания приложений,

отличных отStore, или необходимо развернуть лицензию приложения перед
развертыванием автономных приложений. Дополнительные сведения см. в
разделе Развертывание автономной лицензии для пользователя.

Команда Add для имени семейства пакетов необходима, чтобы обеспечить

надлежащее удаление приложения при отмене регистрации.

Ниже приведен пример установки бизнес-приложения.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}</LocURI>
</Target>
</Item>
</Add>
<!-- Install appx -->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>
 <LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data><Application PackageUri="\\server\share\[Link]"
/></Data>
</Item>
</Exec>

Ниже приведен пример установки приложения с зависимостями.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Install appx with deployment options and framework dependencies-->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application PackageUri="\\server\share\[Link]"
DeploymentOptions="0" >
<Dependencies>
<Dependency
PackageUri="\\server\share\[Link]" />
<Dependency
PackageUri="\\server2\share\[Link]" />
</Dependencies>
</Application>
</Data>
</Item>
</Exec>
Ниже приведен пример установки приложения с зависимостями и
дополнительными пакетами.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Install appx with deployment options and framework dependencies-->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application PackageUri="\\server\share\[Link]"
DeploymentOptions="0" >
<Dependencies>
<Dependency
PackageUri="\\server\share\[Link]" />
<Dependency
PackageUri="\\server2\share\[Link]" />
</Dependencies>
<OptionalPackages>
<Package
PackageUri="\\server\share\[Link]"
PackageFamilyName="/{PackageFamilyName}" />
<Package
PackageUri="\\server2\share\[Link]"
PackageFamilyName="/{PackageFamilyName}" />
</OptionalPackages>
</Application>
</Data>
</Item>
</Exec>
Подготовка приложений для всех пользователей
устройства
Подготовка позволяет подготовить приложение к устройству, и все пользователи
устройства могут зарегистрировать приложение при следующем входе. Эта
функция поддерживается только для приложения, приобретенного в Магазине для
бизнеса, и приложение указано для автономной лицензии или приложение не в
Магазине. Приложение должно предлагаться из размещенного расположения.
Приложение устанавливается как локальная система. Для установки в локальную
общую папку "локальная система" устройства должна иметь доступ к общей папке.

Ниже приведены требования к этому сценарию.

Расположением приложения может быть локальная файловая система

(C:\StagedApps\[Link]), UNC-путь (\\server\share\[Link]) или
расположение HTTPS ( [Link] ).
Пользователь должен иметь разрешение на доступ к расположению
содержимого. Для HTTP можно использовать проверку подлинности сервера
или проверку подлинности на основе сертификата, связанного с
регистрацией. Расположения HTTP поддерживаются, но не рекомендуется из-
за отсутствия требований к проверке подлинности.
Для устройства не требуется подключение к Microsoft Store или службам
хранилища.
Устройству не требуется Microsoft Entra удостоверение или членство в домене.
Для приложения, отличного отStore, устройство должно быть
разблокировано.
Для автономных приложений Магазина перед развертыванием приложений
необходимо развернуть необходимые лицензии.

Чтобы подготовить приложение для всех пользователей устройства из

размещенного расположения, сервер управления выполняет команду Add и Exec в
узле AppInstallation в контексте устройства. Команда Add для имени семейства
пакетов необходима, чтобы обеспечить надлежащее удаление приложения при
отмене регистрации.

７ Примечание

При удалении подготовленного приложения оно не будет удалено из

пользователей, которые уже установили приложение.

Ниже приведен пример установки приложения.

 XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Provision appx to device -->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data><Application PackageUri="\\server\share\[Link]"
/></Data>
</Item>
</Exec>

Команда HostedInstall Exec содержит узел данных, для которых требуется

внедренный XML-код. Ниже приведены требования к XML-коду данных:
Узел приложения имеет обязательный параметр PackageURI, который
может быть локальным расположением файла, UNC или расположением
HTTPS.
При необходимости для установки вместе с пакетом можно указать
зависимости. Этот действие необязательно.

Параметр DeploymentOptions доступен только в контексте пользователя.

Ниже приведен пример установки приложения с зависимостями.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>
 <LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Provision appx with framework dependencies-->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application PackageUri="\\server\share\[Link]" />
<Dependencies>
<Dependency
PackageUri="\\server\share\[Link]" />
<Dependency
PackageUri="\\server2\share\[Link]"/>
</Dependencies>
</Application>
</Data>
</Item>
</Exec>

Получение состояния установки приложений

После завершения установки приложения отправляется уведомление Windows. Вы
также можете запросить состояние с помощью узла AppInstallation. Ниже приведен
список сведений, которые можно получить в запросе:

Состояние — указывает состояние установки приложения.

NOT_INSTALLED (0) — узел был добавлен, но выполнение не было
завершено.
УСТАНОВКА (1) — выполнение начато, но развертывание не завершено.
Если развертывание завершается независимо от успешного выполнения,
это значение обновляется.
FAILED (2) — сбой установки. Сведения об ошибке можно найти в разделах
LastError и LastErrorDescription.
INSTALL (3) — после успешной установки этот узел очищается. Если
действие очистки не завершено, это состояние может появиться ненадолго.
LastError — последняя ошибка, сообщаемая сервером развертывания
приложений.
 LastErrorDescription — описывает последнюю ошибку, сообщаемую сервером
развертывания приложений.
Состояние — целое число, указывающее ход установки приложения. В случае
расположения HTTPS это состояние показывает предполагаемый ход загрузки.
Состояние недоступно для подготовки и используется только для
пользовательских установок. Для подготовки значение всегда равно 0.

При успешной установке приложения узел очищается и больше не отображается.

Состояние приложения можно сообщить в узле AppManagement.

Ниже приведен пример запроса для конкретной установки приложения.

XML

<!-- Get all app status under AppInstallation for a specific app-->
<Get>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}?list=StructData</LocURI>
</Target>
</Item>
</Get>

Ниже приведен пример запроса для всех установок приложений.

XML

<!-- Get all app status under AppInstallation-->

<Get>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n?list=StructData</LocURI>
</Target>
</Item>
</Get>

Оповещение о завершении установки

Установка приложений может занять некоторое время. Таким образом, они
выполняются асинхронно. После выполнения команды Exec клиент отправляет на
сервер управления уведомление с состоянием, независимо от того, сбой или успех.
Ниже приведен пример оповещения.

XML

<Alert>
<CmdID>4</CmdID>
<Data>1226</Data>
<Item>
<Source>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallation/{Pa
ckageFamilyName}/HostedInstall</LocURI>
</Source>
<Meta>
<Type xmlns="syncml:metinf">Reversed-Domain-
Name:[Link]</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Alert>

Для пользовательской установки используйте ./User путь, а для подготовки

приложений — ./Device путь.

Значение поля данных 0 (ноль) указывает на успешное выполнение. В противном

случае это код ошибки. Если произошел сбой, дополнительные сведения можно
получить в узле AppInstallation.

７ Примечание

В настоящее время оповещение об установке приложения Магазина

недоступно.

Удаление приложений
Вы можете удалять приложения пользователей с устройств Windows. Чтобы
удалить приложение, удалите его из узла AppManagement поставщика служб CSP. В
узле AppManagement пакеты упорядочены на основе их источника в соответствии
со следующими узлами:

AppStore — эти приложения предназначены для Microsoft Store. Приложения

можно установить непосредственно из Магазина или доставить на
предприятие из Магазина для бизнеса.
nonStore — это приложения, которые не были приобретены из Microsoft Store.
 Система. Эти приложения являются частью ОС. Вы не можете удалить эти
приложения.

Чтобы удалить приложение, удалите его под узлом-источником, именем семейства

пакетов и полным именем пакета. Чтобы удалить XAP, используйте идентификатор
продукта вместо имени семейства пакетов и полного имени пакета.

Ниже приведен пример удаления всех версий приложения для пользователя.

XML

<!-- Uninstall App for a Package Family-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/AppSt
ore/{PackageFamilyName}</LocURI>
</Target>
</Item>
</Delete>

Ниже приведен пример удаления определенной версии приложения для

пользователя.

XML

<!-- Uninstall App for a specific package full name-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/AppSt
ore/{PackageFamilyName}/{PackageFullName}</LocURI>
</Target>
</Item>
</Delete>

Удаленные подготовленные приложения с устройства

Подготовленные приложения можно удалить с устройства для определенной
версии или для всех версий семейства пакетов. При удалении подготовленного
приложения оно становится недоступным для будущих пользователей устройства.
Пользователи, вошедшие в систему с зарегистрированным приложением, по-
прежнему имеют доступ к приложению. Если вы хотите удалить приложение для
этих пользователей, необходимо явно удалить приложение для этих пользователей.

７ Примечание

Вы можете удалить только приложение с инвентарным значением

IsProvisioned = 1.

Удаление подготовленного приложения происходит в контексте устройства.

Ниже приведен пример удаления подготовленного приложения с устройства.

XML

<!- Remove Provisioned App for a Package Family-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagemen
t/AppStore/{PackageFamilyName}</LocURI>
</Target>
</Item>
</Delete>

Ниже приведен пример удаления определенной версии подготовленного

приложения с устройства:

XML

<!-- Remove Provisioned App for a specific package full name-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagemen
t/AppStore/{PackageFamilyName}/{PackageFullName}</LocURI>
</Target>
</Item>
</Delete>

Удаление лицензии приложения Магазина

Вы можете удалить лицензии приложений с устройства для каждого приложения
на основе идентификатора содержимого.

Ниже приведен пример удаления лицензии приложения для пользователя.

XML

<!-- Remove App License for a User-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/St
oreLicenses/{license id}</LocURI>
</Target>
</Item>
</Delete>

Ниже приведен пример удаления лицензии приложения для подготовленного

пакета (контекст устройства).

XML

<!-- Remove App License for a provisioned package (device) -->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/
StoreLicenses/{license id}</LocURI>
</Target>
</Item>
</Delete>

Оповещение об удалении приложения

Удаление приложения может занять некоторое время. Таким образом, удаление
выполняется асинхронно. После выполнения команды Exec клиент отправляет на
сервер управления уведомление с состоянием, независимо от того, сбой или успех.

Для удаления на основе пользователя используйте ./User в LocURI, а для

подготовки — ./Device в LocURI.

Вот пример. Существует только одно удаление для размещенных приложений и

приложений магазина.
 XML

<Alert>
<Data>1226</Data>
<Item>
<Source>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/{Pack
ageFamilyName}</LocURI>
</Source>
<Meta>
<Type xmlns="syncml:metinf">Reversed-Domain-
Name:[Link]</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Alert>

Обновление приложений
Приложения, установленные на устройстве, можно обновить с помощью сервера
управления. Приложения можно обновлять непосредственно из магазина или
устанавливать из размещенного расположения.

Обновление приложений непосредственно из

Магазина
Чтобы обновить приложение из Microsoft Store, устройство должно связаться со
службами магазина.

Ниже приведен пример проверки обновлений.

XML

<!- Initiate a update scan for a user-->

<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/
UpdateScan</LocURI>
</Target>
</Item>
</Exec>
 Ниже приведен пример проверка состояния.

XML

<!- Get last error related to the update scan-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/
LastScanError</LocURI>
</Target>
</Item>
</Get>

Обновление приложений из размещенного

расположения
Обновление существующего приложения выполняется так же, как и начальная
установка. Дополнительные сведения см. в статье Развертывание приложений для
пользователя из размещенного расположения.

Обновление подготовленных приложений

Подготовленное приложение автоматически обновляется при отправке
обновления приложения пользователю. Вы также можете обновить
подготовленное приложение, используя тот же процесс, что и начальная
подготовка. Дополнительные сведения о первоначальной подготовке см. в разделе
Подготовка приложений для всех пользователей устройства.

Запрет автоматического обновления приложения

Вы можете запретить автоматическое обновление определенных приложений. Эта
функция позволяет включить автоматическое обновление для приложений, при
этом определенные приложения исключены, как определено ИТ-
администратором.

Отключение обновлений применяется только к обновлениям из Microsoft Store на

уровне устройства. Эта функция недоступна на уровне пользователя. Вы по-
прежнему можете обновить приложение, если автономные пакеты отправляются
из размещенного расположения установки.
Вот пример.

XML

<!- Prevent app from being automatically updated-->

<Replace>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/App
Store/{PackageFamilyName}/DoNotUpdate</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type xmlns="syncml:metinf">text/plain</Type>
</Meta>
<Data>1</Data></Item>
</Replace>

Дополнительные сценарии управления

приложениями
В следующих подразделах содержатся сведения о дополнительных конфигурациях
параметров.

Включение данных общего пользовательского

приложения
Универсальное приложение для Windows может совместно использовать данные
приложения между пользователями устройства. Возможность совместного
использования данных может быть задана на уровне семейства пакетов или на
каждом устройстве.

７ Примечание

Это применимо только к устройствам с несколькими пользователями.

Политика ApplicationManagement/AllowSharedUserAppData позволяет пакетам

приложений обмениваться данными между пакетами приложений при наличии
нескольких пользователей. Если эта политика включена, приложения могут
обмениваться данными между пакетами в их семействе пакетов. Данные можно
совместно использовать через папку ShareLocal для этого семейства пакетов и
локального компьютера. Эта папка доступна через API [Link].

Если отключить эту политику, приложения не смогут совместно использовать

данные приложения пользователей между несколькими пользователями. Однако
предварительно созданные общие данные сохраняются. Чтобы очистить
предварительно подписанные общие данные, используйте DISM ( /Get-
ProvisionedAppxPackage для обнаружения наличия общих данных и /Remove-

SharedAppxData их удаления).

Допустимые значения: 0 (выкл., значение по умолчанию) и 1 (вкл.).

Вот пример.

XML

<!-- Get policy (Default)-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowSharedUserApp
Data?list=StructData</LocURI>
</Target>
</Item>
</Get>
<!-- Update policy -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowSharedUserApp
Data</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Replace>

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление мобильными
устройствами (MDM) при работе с
обновлениями для устройств
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

 Совет

Если вы не являетесь разработчиком или администратором, более полезные

сведения см. в статье Центр обновления Windows: вопросы и ответы .

Благодаря компьютерам, планшетам, телефонам и устройствам IoT решения для

управления мобильными устройствами (MDM) становятся распространенными в
качестве облегченной технологии управления устройствами. В Windows мы
вкладываем значительные средства в расширение возможностей управления,
доступных для MDM. Одной из основных функций, которые мы добавляем,
является возможность MDM поддерживать устройства в курсе последних
обновлений Майкрософт.

В частности, Windows предоставляет API для включения MDM для выполнения:

Убедиться, что компьютеры не обновляются путем настройки политики

автоматического обновления.
Протестируйте обновления на ограниченном наборе компьютеров путем
настройки утвержденных обновлений для конкретных устройств. Затем
сделайте развертывание на уровне организации.
Получите состояние соответствия требованиям управляемых устройств. ИТ-
специалисты могут понять, каким компьютерам еще требуется исправление
безопасности или насколько актуальна конкретный компьютер.
Настройка политик автоматического обновления, чтобы обеспечить
обновление устройств.
Получения сведений о соответствии устройств требованиям (список
необходимых, но еще не установленных обновлений).
Ввод списка утвержденных обновлений для каждого устройства. Этот список
позволяет убедиться, что устройства устанавливают только утвержденные и
протестированные обновления.
Утверждение лицензионных соглашений с конечным пользователем (EULA)
для конечного пользователя для автоматического развертывания обновлений
даже для обновлений с EULA.
В этой статье независимые издатели программного обеспечения (ISV)
предоставляют сведения, необходимые для реализации управления обновлениями
в Windows. Дополнительные сведения см. в разделе CSP политики — обновление.

７ Примечание

API OMA DM для указания утвержденных обновлений и получения состояния

соответствия ссылаются на обновления с помощью идентификатора
обновления. Идентификатор обновления — это глобальный уникальный
идентификатор, который идентифицирует определенное обновление. MDM
будет отображать ит-понятные сведения об обновлении, а не необработанный
GUID, включая название обновления, описание, базу знаний, тип обновления,
например обновление для системы безопасности или пакет обновления.
Дополнительные сведения см. в разделе [MS-WSUSSS]: Windows Update
Services: протокол Server-Server.

На следующей схеме представлен концептуальный обзор принципа работы.

Схему можно разделить на три области:

Служба управления устройствами синхронизирует сведения об обновлении

(название, описание, применимость) из Центра обновления Майкрософт с
помощью протокола синхронизации сервер-сервер (верхняя часть схемы).
Служба управления устройствами настраивает политики автоматического
обновления, получает сведения о соответствии обновлений требованиям и
настраивает утверждения через OMA DM (левая часть схемы).
Устройство получает обновления от Центра обновления Майкрософт с
помощью протокола клиента и сервера. Он загружает и устанавливает только
 обновления, которые применяются к устройству и утверждены ИТ-
специалистами (правая часть схемы).

Получение метаданных обновления с

помощью протокола синхронизации сервер-
сервер
Каталог Центра обновления Майкрософт содержит множество обновлений,
которые не нужны устройствам под управлением MDM. Он включает обновления
для устаревшего программного обеспечения, например обновления серверов,
настольных операционных систем нижнего уровня и устаревших приложений, а
также большое количество драйверов. Мы рекомендуем MDM использовать
протокол синхронизации сервер-сервер для получения метаданных обновлений
для обновлений, сообщаемых клиентом.

В этом разделе описана эта настройка. На следующей схеме показан процесс

протокола синхронизации сервер-сервер.


MSDN предоставляет много сведений о протоколе синхронизации сервер-сервер.
В частности:

Это протокол на основе SOAP, и вы можете получить WSDL в веб-службе

синхронизации сервера. WSDL можно использовать для создания
вызывающих прокси-серверов для многих сред программирования, чтобы
упростить разработку.
Примеры кода можно найти в примерах протокола. В примере кода показаны
доступные для использования необработанные команды SOAP. Хотя еще
проще выполнить вызов из языка программирования, например .NET (вызов
созданных WSDL прокси-серверов). Заглушка, созданная WSDL-файлом
синхронизации сервера, создает неправильный URL-адрес привязки. Нужно
задать следующий URL-адрес привязки:
[Link]
asmx .

Некоторые важные моменты:

Протокол содержит этап авторизации (вызов GetAuthConfig,

GetAuthorizationCookie и GetCookie). В примерах протокола код Пример 1.
Авторизация показывает, как делается авторизация. Хотя это называется
этапом авторизации, протокол полностью открыт (для выполнения этого
этапа протокола учетные данные не нужны). Эту последовательность вызовов
требуется выполнить, чтобы получить файл cookie для основной части
протокола синхронизации. Для оптимизации вы можете кэшировать файл
cookie и вновь вызывать эту последовательность только после истечения
срока действия файла cookie.
Протокол позволяет MDM синхронизировать метаданные обновления для
определенного обновления путем вызова GetUpdateData. Дополнительные
сведения см. в разделе getUpdateData в MSDN. LocURI для получения
применимых обновлений с номерами редакций:
<LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI> . Так

как не все обновления доступны с помощью синхронизации S2S, убедитесь,

что вы обрабатываете ошибки SOAP.
Для мобильных устройств можно синхронизировать метаданные для
определенного обновления, вызвав GetUpdateData. Или, для локального
решения, можно использовать службы Windows Server Update Services (WSUS)
и вручную импортировать мобильные обновления с сайта каталога Центра
обновления Майкрософт. Дополнительные сведения см. в разделе Схема
процесса и снимки экрана процесса синхронизации сервера.
 ７ Примечание

Со временем Центр обновления Майкрософт изменяет метаданные для

данного обновления, например путем обновления описательных сведений,
исправления ошибок в правилах применимости, внесения изменений в
локализацию и т. д. При каждом изменении, которое не влияет на само
обновление, создается новая редакция обновления. Соединения UpdateID
(GUID) и RevisionNumber (int) для создания ключа удостоверения для редакции
обновления. MDM не содержит исправлений для ИТ-специалистов. Вместо
этого для каждого Идентификатора обновления (GUID) MDM хранит
метаданные для более поздней редакции этого обновления, которая является
самой высокой редакцией.

Примеры XML-структуры и описания элементов

метаданных обновления
Отклик вызова GetUpdateData возвращает массив ServerSyncUpdateData,
содержащий метаданные обновления в элементе XmlUpdateBlob. Схема XML
обновления доступна в примерах протокола. Ниже описаны некоторые ключевые
элементы:

UpdateID — уникальный идентификатор обновления.

RevisionNumber — номер редакции обновления на случай изменения
обновления.
CreationDate — дата создания этого обновления.
UpdateType — тип обновления, который может включать следующее:
Detectoid — если это удостоверение обновления представляет логику
совместимости
Category — этот элемент может представлять любой из следующих
элементов:
Категория продукта, к которой относится обновление. Например,
Windows, MS Office и так далее.
Классификация, к которой относится обновление. Например, драйверы,
безопасность и так далее.
Программное обеспечение . Если обновление является обновлением
программного обеспечения.
Драйвер — если обновление является обновлением драйвера.
LocalizedProperties — представляет язык, на который доступно обновление,
название и описание обновления. Содержит следующие поля:
Язык — идентификатор кода языка (LCID). Например, en или es.
 Заголовок — заголовок обновления. Например, "Windows SharePoint
Services 3.0 с пакетом обновления 3 (SP3) x64 Edition (KB2526305)"
Описание — описание обновления. Например, "Windows SharePoint
Services 3.0 с пакетом обновления 3 (KB2526305) предоставляет последние
обновления для Windows SharePoint Services 3.0. После установки может
потребоваться перезапустить компьютер. После установки этого элемента
его невозможно удалить".
KBArticleID — номер статьи базы знаний для этого обновления с подробными
сведениями о конкретном обновлении. Например,
[Link] .

Рекомендуемый поток для использования протокола

синхронизации сервер-сервер
В этом разделе описан возможный алгоритм использования протокола
синхронизации сервер-сервер для получения метаданных обновления в MDM.

Общая информация:

При наличии мультитенантного MDM метаданные обновления могут

храниться в общей секции, так как они являются общими для всех клиентов.
Затем можно реализовать службу синхронизации метаданных. Служба
периодически вызывает синхронизацию сервер-сервер, чтобы получить
метаданные для обновлений, о которых заботится ИТ.
Компонент MDM, использующий OMA DM для управления устройствами
(описано в следующем разделе), должен отправлять службе синхронизации
метаданных список необходимых обновлений, которые она получает от
каждого клиента, если эти обновления являются новыми для устройства.

В следующей процедуре описан базовый алгоритм для службы синхронизации

метаданных:

1. Создайте пустой список необходимых идентификаторов обновления для сбоя.

Этот список обновляется компонентом службы MDM, который использует
OMA DM. Рекомендуется не добавлять обновления определений в этот
список, так как они временные. Например, Defender может выпускать новые
обновления определений много раз в день, каждое из которых является
накопительным.
2. Периодическая синхронизация (рекомендуется каждые 2 часа — не более
одного раза в час).
a. Реализуйте этап авторизации протокола, чтобы получить файл cookie, если
у вас еще нет файла cookie. См. Пример 1. Авторизация в примерах
 протокола.
b. Реализуйте часть метаданных протокола. См . пример 2. Синхронизация
метаданных и развертываний в примерах протокола) и вызовите Метод
GetUpdateData для всех обновлений в списке "Необходимые
идентификаторы обновлений для сбоя", если метаданные обновления еще
не были извлечены в базу данных.

Если обновление является более новой версией существующего

обновления (с тем же updateID, но более высоким номером
редакции), замените предыдущие метаданные обновления новыми.
Удалите обновления из списка "ИД необходимых обновлений для
сбоя" после их получения.

Эти действия позволяют получить сведения о наборе обновлений Майкрософт,

которыми ИТ-специалисты должны управлять, поэтому эти сведения можно
использовать в различных сценариях управления обновлениями. Например, во
время утверждения обновлений можно получить сведения, чтобы ИТ-специалисты
могли видеть, какие обновления они утверждают. Или для отчетов о соответствии
требованиям, чтобы узнать, какие обновления необходимы, но еще не
установлены.

Управление обновлениями с помощью OMA

DM
Служба MDM может управлять обновлениями с помощью OMA DM. Подробные
сведения об использовании и интеграции MDM с протоколом OMA DM Windows, а
также регистрации устройств для управления MDM описаны в разделе Управление
мобильными устройствами. В этом разделе основное внимание уделяется
расширениям этой интеграции для поддержки управления обновлениями.
Ключевые аспекты управления обновлениями включают следующие сведения:

Настройка политик автоматического обновления, чтобы обеспечить

обновление устройств.
Получения сведений о соответствии устройств требованиям (список
необходимых, но еще не установленных обновлений).
Укажите список утвержденных обновлений для каждого устройства. Этот
список позволяет убедиться, что устройства устанавливают только
утвержденные и протестированные обновления.
Утверждение EULA для конечного пользователя, чтобы развертывание
обновлений можно было автоматизировать даже для обновлений с EUL.
В следующем списке описана рекомендуемая модель применения обновлений.

1. Наличие тестовой группы и общей группы.

2. В группе Тест разрешите потоку всех обновлений.
3. В группе Все задайте отсрочку обновления качества на семь дней, а затем
автоматически утверждаются обновления качества через семь дней. Отсрочки
обновлений качества исключают обновления определений, поэтому
обновления определений автоматически утверждаются, когда они доступны.
Совпадите расписание обновлений определений с расписанием отсрочки
обновлений качества, установив для параметра
Update/DeferQualityUpdatesPeriodInDays значение семь. Разрешите
обновлениям проходить через семь дней или путем приостановки при
возникновении каких-либо проблем.

Обновления настраиваются с помощью CSP политики обновления.

Снимок экрана: пользовательский интерфейс

управления обновлениями
На следующих снимках экрана консоли администрирования показан список
заголовков обновлений, состояния утверждения и других полей метаданных.

Пример SyncML
Настройка автоматического обновления (Майкрософт) для уведомления и
отсрочки.

XML

<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Replace xmlns="">
<CmdID>1</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>3</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
</Target>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Блок-схема процесса и снимки экрана
процесса синхронизации сервера
На следующей схеме и снимках экрана показана блок-схема процесса обновления
устройства с помощью Windows Server Update Services и каталога Центра
обновления Майкрософт.
Связанные статьи
Поставщик CSP политики — обновление
Поставщик служб конфигурации политики

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Блокировка конфигурации
защищенного ядра компьютера
Статья • 08.07.2024 • Применяется к: ✅ Windows 11

В корпоративной организации ИТ-администраторы применяют политики на своих

корпоративных устройствах, чтобы обеспечить соответствие устройств
требованиям и защитить ОС, не позволяя пользователям изменять конфигурации и
создавать смещение конфигураций. Смещение конфигурации происходит, когда
пользователи с правами локального администратора изменяют параметры и не
синхронизируют устройство с политиками безопасности. Устройства в
несоответствуемом состоянии могут быть уязвимы до следующей синхронизации и
сброса конфигурации с помощью MDM. Windows 11 с блокировкой конфигурации
позволяет ИТ-администраторам предотвратить смещение конфигурации и
сохранить конфигурацию ОС в нужном состоянии. При блокировке конфигурации
ОС отслеживает ключи реестра, настраивающие каждую функцию, и при
обнаружении смещения возвращается к требуемому ИТ-специалистами состоянию
за считанные секунды.

Блокировка конфигурации с защищенными ядрами (блокировка конфигурации) —

это новая функция защищенного ядра (SCPC), которая предотвращает смещение
конфигурации от функций защищенного ядра компьютера, вызванное
непреднамеренной неправильной настройкой. Короче говоря, это гарантирует, что
устройство, предназначенное для защищенного ядра, остается защищенным.

Подведем итоги: блокировка конфигурации:

Позволяет ИТ-службам "блокировать" функции защищенного ядра

компьютера при управлении с помощью MDM
Обнаруживает исправления смещения в течение нескольких секунд
Не предотвращает вредоносные атаки

Требования к выпуску и лицензированию

Windows
В следующей таблице перечислены выпуски Windows, поддерживающие
блокировку конфигурации secured-core:

ﾉ Развернуть таблицу
 Windows Windows Windows Pro для Windows для
Pro Корпоративная образовательных образовательных
учреждений/SE учреждений

Да Да Да Да

Лицензии на блокировку защищенной конфигурации предоставляются

следующими лицензиями:

ﾉ Развернуть таблицу

Windows Pro/Pro Windows Windows Windows для Windows для

для Корпоративная Корпоративная образовательных образовательных
образовательных E3 E5 учреждений A3 учреждений A5
учреждений/SE

Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор

лицензирования Windows.

Поток конфигурации
После того как компьютеры с защищенными ядрами достигнут рабочего стола,
блокировка конфигурации предотвратит смещение конфигурации, определив,
является ли устройство защищенным ядром. Если устройство не является
защищенным компьютером, блокировка не применяется. Если устройство является
компьютером с защищенными ядрами, блокировка конфигурации блокирует
политики, перечисленные в списке заблокированных политик.

Включение блокировки конфигурации с

помощью Microsoft Intune
Блокировка конфигурации не включена по умолчанию или не включена ОС во
время загрузки. Скорее, вам нужно включить его.

Ниже приведены действия по включению блокировки конфигурации с помощью

Microsoft Intune.

1. Убедитесь, что устройство, включающее блокировку конфигурации,

зарегистрировано в Microsoft Intune.
2. В Центре администрирования Intune выберите Устройства>Профили>
конфигурацииСоздать профиль.

3. Выберите следующее и нажмите кнопку Создать:

Платформа: Windows 10 and later

Тип профиля: Templates
Имя шаблона: Пользовательское

4. Присвойте своему профилю имя.

5. Когда вы перейдете к шагу Параметры конфигурации, выберите "Добавить" и

добавьте следующие сведения:

OMA-URI:
./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock

Тип данных: Integer

Значение: 1

Чтобы отключить блокировку конфигурации, измените значение на 0.

6. Выберите устройства, чтобы включить блокировку конфигурации. Если вы
используете тестовый клиент, можно выбрать "+ Добавить все устройства".

7. Вам не нужно задавать какие-либо правила применимости для тестовых

целей.

8. Проверьте конфигурацию и выберите "Создать", если все правильно.

9. После синхронизации устройства с сервером Microsoft Intune можно

проверить, успешно ли включена блокировка конфигурации.
Настройка функций защищенного ядра
компьютера
Блокировка конфигурации предназначена для обеспечения непреднамеренно
неправильной настройки защищенного компьютера. Вы сохраните возможность
включения или отключения функций SCPC, например защиты встроенного ПО. Эти
изменения можно внести с помощью групповых политик или служб MDM, таких
как Microsoft Intune.
Вопросы и ответы
Можно ли отключить блокировку конфигурации? Да. С помощью MDM
можно полностью отключить блокировку конфигурации или переключить ее
во временный режим разблокировки для действий службы технической
поддержки.

Список заблокированных политик

ﾉ Развернуть таблицу

Поставщики служб конфигурации

BitLocker

PassportForWork

WindowsDefenderApplicationGuard

ApplicationControl

ﾉ Развернуть таблицу

Политики MDM Поддерживается

групповой
политикой

DataProtection/AllowDirectMemoryAccess Нет
Политики MDM Поддерживается
групповой
политикой

DataProtection/LegacySelectiveWipeID Нет

DeviceGuard/ConfigureSystemGuardLaunch Да

DeviceGuard/EnableVirtualizationBasedSecurity Да

DeviceGuard/LsaCfgFlags Да

DeviceGuard/RequirePlatformSecurityFeatures Да

DeviceInstallation/AllowInstallationOfMatchingDeviceIDs Да

DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs Да

DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses Да

DeviceInstallation/PreventDeviceMetadataFromNetwork Да

DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtPolicySettings Да

DeviceInstallation/PreventInstallationOfMatchingDeviceIDs Да

DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs Да

DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses Да

DmaGuard/DeviceEnumerationPolicy Да

WindowsDefenderSecurityCenter/CompanyName Да

WindowsDefenderSecurityCenter/DisableAccountProtectionUI Да

WindowsDefenderSecurityCenter/DisableAppBrowserUI Да

WindowsDefenderSecurityCenter/DisableClearTpmButton Да

WindowsDefenderSecurityCenter/DisableDeviceSecurityUI Да

WindowsDefenderSecurityCenter/DisableEnhancedNotifications Да

WindowsDefenderSecurityCenter/DisableFamilyUI Да

WindowsDefenderSecurityCenter/DisableHealthUI Да

WindowsDefenderSecurityCenter/DisableNetworkUI Да

WindowsDefenderSecurityCenter/DisableNotifications Да

WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning Да
 Политики MDM Поддерживается
групповой
политикой

WindowsDefenderSecurityCenter/DisableVirusUI Да

WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride Да

WindowsDefenderSecurityCenter/email Да

WindowsDefenderSecurityCenter/EnableCustomizedToasts Да

WindowsDefenderSecurityCenter/EnableInAppCustomization Да

WindowsDefenderSecurityCenter/HideRansomwareDataRecovery Да

WindowsDefenderSecurityCenter/HideSecureBoot Да

WindowsDefenderSecurityCenter/HideTPMTroubleshooting Да

WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl Да

WindowsDefenderSecurityCenter/Phone Да

WindowsDefenderSecurityCenter/URL-адрес Да

SmartScreen/EnableAppInstallControl Да

SmartScreen/EnableSmartScreenInShell Да

SmartScreen/PreventOverrideForFilesInShell Да

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Продление сертификата
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Срок действия зарегистрированного сертификата клиента истекает по истечении

определенного периода использования. Дата окончания срока действия
сертификата указывается сервером. Чтобы обеспечить непрерывный доступ к
корпоративным приложениям, Windows поддерживает процесс продления
сертификата, инициированного пользователем. Пользователю будет предложено
ввести текущий пароль для корпоративной учетной записи. Клиент регистрации
получает новый сертификат клиента с сервера регистрации и удаляет старый
сертификат. Клиент создает новую пару закрытых и открытых ключей, создает
запрос PKCS#7 и подписывает запрос PKCS#7 с помощью существующего
сертификата. В Windows также поддерживается автоматическое продление
сертификата клиента MDM.

７ Примечание

Убедитесь, что EntDMID в поставщике службы конфигурации DMClient задан

перед активацией запроса на продление сертификата.

Автоматический запрос на продление

сертификата
Windows поддерживает автоматическое продление сертификата, также известное
как Продление от имени (ROBO), которое не требует взаимодействия с
пользователем. Для автоматического продления клиент регистрации использует
существующий сертификат клиента MDM для обеспечения безопасности
транспортного уровня клиента (TLS). Маркер безопасности пользователя не
требуется в заголовке SOAP. В результате сервер регистрации сертификатов MDM
требуется для поддержки протокола TLS клиента для проверки подлинности
клиента на основе сертификата для автоматического продления сертификата.

７ Примечание

Продление сертификата регистрации через ROBO поддерживается только в

Microsoft PKI.
Автоматическое продление сертификата — это единственный поддерживаемый
метод продления сертификата клиента MDM для устройства, зарегистрированного
с помощью проверки подлинности WAB. Это означает, что параметру AuthPolicy
присвоено значение Федеративная. Это также означает, что если сервер
поддерживает проверку подлинности WAB, сервер регистрации сертификатов
MDM должен также поддерживать протокол TLS клиента для продления
сертификата MDM.

Для устройств Windows на этапе регистрации сертификата клиента MDM или во

время раздела управления MDM сервер регистрации или сервер MDM может
настроить устройство для поддержки автоматического продления сертификата
клиента MDM с помощью узла ROBOSupport сертификата CertificateStore CSP в url-
адресе CertificateStore/My/WSTEP/Renew .

При автоматическом продлении содержимое сообщения PKCS#7 не кодируется

отдельно в кодировке Base64. При продлении сертификата вручную требуется
кодировка Base64 для содержимого сообщений PKCS#7.

В процессе автоматического продления сертификата, если устройство не доверяет

корневому сертификату, проверка подлинности завершается ошибкой.
Используйте один из предварительно установленных корневых сертификатов
устройства или настройте корневой сертификат через сеанс интеллектуальной
аналитики с помощью поставщика сертификатов CertificateStore.

В процессе автоматического продления сертификата устройство отклоняет http-

запрос перенаправления с сервера. Он не отклоняет запрос, если используется тот
же URL-адрес перенаправления, который пользователь принял во время
начальной регистрации MDM.

В следующем примере показаны сведения об автоматическом запросе на

продление.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link] xmlns:u=
"[Link]
[Link]">
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
ion>
<a:MessageID>urn:uuid:61a17f2c-42e9-4a45-9c85-
f15c1c8baee8</a:MessageID>
<a:ReplyTo>
<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2011-07-11T[Link].579Z</u:Created>
<u:Expires>2011-07-11T[Link].579Z</u:Expires>
</u:Timestamp>
<o:UsernameToken u:Id="uuid-2a734df6-b227-4e60-82a8-ed53c574b718-
5">
<o:Username>user@[Link]</o:Username>
<o:Password o:Type=
"[Link]
username-token-profile-1.0#PasswordText">
</o:Password>
</o:UsernameToken>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityToken xmlns="[Link]
trust/200512">
<TokenType>

[Link]
nrollmentToken
</TokenType>
<RequestType>[Link]
trust/200512/Renew</RequestType>
<BinarySecurityToken
ValueType="[Link]
[Link]#PKCS7"
EncodingType="[Link]
[Link]#base64binary"
xmlns="[Link]
[Link]">
BinarySecurityTokenInsertedHere
</BinarySecurityToken>
<AdditionalContext
xmlns="[Link]
<ContextItem Name="DeviceType">
<Value>WindowsPhone</Value>
</ContextItem>
<ContextItem Name="ApplicationVersion">
<Value>5.0.7616.0</Value>
</ContextItem>
</AdditionalContext>
</RequestSecurityToken>
</s:Body>
</s:Envelope>
Настройка расписания продления
сертификата
В Windows период продления можно задать только на этапе регистрации MDM.
Windows поддерживает период продления сертификата и повторную попытку
обновления. Они настраиваются как сервером регистрации MDM, так и более
поздним сервером управления MDM с помощью узлов CertificateStore CSP
RenewPeriod и RenewInterval. Устройство может повторить автоматическое
продление сертификата несколько раз, пока срок действия сертификата не истечет.
Для продления сертификата вручную устройство Windows напоминает
пользователю диалоговое окно при каждой попытке продления до истечения
срока действия сертификата.

Дополнительные сведения о параметрах см. в разделе Поставщик службы

конфигурации CertificateStore.

В отличие от продления сертификата вручную, устройство не выполняет

автоматическое продление сертификата клиента MDM, если срок действия
сертификата уже истек. Чтобы убедиться, что у устройства достаточно времени для
автоматического продления, рекомендуется установить период продления за пару
месяцев (40–60 дней) до истечения срока действия сертификата. И задайте
интервал повтора продления каждые несколько дней, например каждые 4–5 дней,
а не каждые семь дней (еженедельно). Это изменение увеличивает вероятность
того, что устройство попытается подключиться в разные дни недели.

Ответ на продление сертификата

Если параметр RequestType имеет значение Продлить, веб-служба проверяет
следующее (в дополнение к первоначальной регистрации):

Сигнатура PKCS#7 BinarySecurityToken является правильной

Сертификат клиента находится в периоде продления
Сертификат выдается службой регистрации.
Инициатор запроса совпадает с инициатором запроса для начальной
регистрации.
Для стандартного запроса клиента клиент не блокируется.

После завершения проверки веб-служба извлекает содержимое PKCS#10 из

binarySecurityToken PKCS#7. Остальные данные совпадают с первоначальной
регистрацией, за исключением того, что в XML-файле подготовки требуется только
новый сертификат, выданный ЦС.
 ７ Примечание

Ответ HTTP-сервера не должен быть фрагментирован; Оно должно быть

отправлено в виде одного сообщения.

В следующем примере показаны сведения об ответе на продление сертификата.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<!-- Root certificate provision is only needed here if it is not in the
device already -->
<characteristic type="Root">
<characteristic type="System">
<characteristic type="EncodedRootCertHashInsertedHere ">
<parm name="EncodedCertificate"
value="EncodedCertInsertedHere" />
</characteristic>
</characteristic>
</characteristic>
<characteristic type="My" >
<characteristic type="User">
<characteristic type="EncodedClientCertHashInsertedHere">
<parm name="EncodedCertificate"
value="EncodedCertInsertedHere" />
<characteristic type="PrivateKeyContainer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="PROVIDER-ID" value="TestMDMServer"/>
</characteristic>
</wap-provisioningdoc>

７ Примечание

Клиент получает новый сертификат, а не обновляет первоначальный

сертификат. Администратор определяет, какой шаблон сертификата должен
использовать клиент. Во время продления шаблоны могут отличаться от
времени начальной регистрации.

Поставщики служб конфигурации,

поддерживаемые во время регистрации
MDM и продления сертификата
Следующие поставщики служб конфигурации поддерживаются в процессе
регистрации MDM и продления сертификата.

CertificateStore
ПРИЛОЖЕНИЕ w7
DMClient
EnterpriseAppManagement

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Как поставщики управления
мобильными устройствами
поддерживают управление eSIM в
Windows
Статья • 17.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Решение для управления профилями eSIM размещает поставщик управления

мобильными устройствами (MDM) в передней и в центре. Вся идея заключается в
том, чтобы использовать уже существующее решение, с которым клиенты знакомы
и с которыми управляют устройствами.

Mdm ожидает, что он использует тот же механизм синхронизации, что и политики

устройств для отправки любой политики в профиль eSIM и используют группы и
пользователи одинаково. Таким образом, скачивание профиля eSIM и установка
происходят в фоновом режиме, не затрагивая конечного пользователя.
Аналогичным образом ИТ-администратор будет использовать тот же метод
управления профилями eSIM (назначение или отмена назначения и т. д.) так же, как
и управление устройствами в настоящее время.

Если вы являетесь поставщиком управления мобильными устройствами (MDM) и

хотите поддерживать управление eSIM в Windows, выполните следующие действия.

Подключение к Идентификатору Microsoft Entra

Обратитесь к операторам мобильной связи напрямую или обратитесь к

поставщикам оркестраторов. Windows предоставляет поставщикам MDM
возможность управлять профилями eSIM для корпоративных вариантов
использования. Тем не менее, Windows не ограничивает, как партнеры
экосистемы предлагают эту службу своим партнерам и (или) клиентам. Таким
образом, возможность управления профилями eSIM поддерживается путем
интеграции с Windows OMA-DM. Эта характеристика позволяет удаленно
управлять профилями eSIM в соответствии с политиками компании.

Как поставщик MDM, если вы хотите интегрировать или подключиться к

мобильному оператору на основе 1:1, обратитесь к ним и узнайте больше о
его подключении. Если вы хотите интегрировать и работать только с одним
поставщиком MDM, обратитесь к нему напрямую. Если вы хотите предложить
управление eSIM клиентам, использующим разные поставщики MDM,
обратитесь к поставщику оркестратора. Поставщики orchestrator выступают в
 качестве прокси-сервера, обрабатывающего подключение MDM, и как
подключение мобильного оператора. Их роль заключается в том, чтобы
сделать процесс максимально безболезненным и масштабируемым для всех
сторон.

Возможные поставщики оркестраторов, с которых вы можете связаться:

Шлюз прав устройств HPE
IDEMIA — Центр интеллектуального подключения
Nokia IMPACT Mobile Device Manager

Оценка типа решения, которое вы хотите предоставить своим клиентам

Пакетное/автономное решение

ИТ-администратор может вручную импортировать неструктурированный

файл со списком кодов активации eSIM и подготовить eSIM на устройствах с
поддержкой LTE.

Оператор не имеет видимости состояния профилей eSIM

Решение в режиме реального времени

MDM автоматически синхронизируется с серверной системой оператора для

управления пулом подписок и eSIM с помощью компонента решения
поставщика SIM-карты. ИТ-администратор может просматривать пул
подписок и подготавливать eSIM в режиме реального времени.

Оператор уведомляется о состоянии каждого профиля eSIM и имеет

представление о том, какие устройства используются

７ Примечание

Конечные пользователи не замечают тип решения. Выбор между ними

делается между MDM и оператором мобильной связи.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление щелкните, чтобы сделать
Статья • 29.03.2025 • Применяется к: ✅ Copilot+ PCs

Ищете информацию для потребителей? См . раздел Щелкните, чтобы сделать:

дополнительные сведения о том, что есть на экране .

Нажатие кнопки "Сделать" (предварительная версия) помогает пользователям

быстрее выполнять задачи, определяя текст и изображения, которые в настоящее
время находятся на экране, чтобы они могли выполнять с ними действия. В этой
статье содержатся сведения о переходе по ссылке и управлении ими в
коммерческой среде.

７ Примечание

Политика управления click to Do теперь доступна в предварительной

версии для компьютеров Copilot+ через программу предварительной
оценки Windows. Дополнительные сведения см. в блоге программы
предварительной оценки Windows .
Коммерческие устройства на рынке определяются как устройства с
номером SKU enterprise (ENT) или education (EDU) или любым
устройством SKU уровня "Премиум", управляемым ИТ-администратором
(с помощью Microsoft Endpoint Manager или другого решения для
управления конечными точками), с ключом корпоративной лицензии или
присоединенным к домену. Коммерческие устройства, которые находятся
в режиме автоматического запуска (OOBE), определяются как устройства
с номером SKU ENT или EDU или любым устройством SKU уровня
"Премиум", которое имеет ключ корпоративной лицензии или Microsoft
Entra присоединено.
Кнопка "Сделать" оптимизирована для выбранных языков: английский,
китайский (упрощенное письмо), французский, немецкий, японский и
испанский. Применяются ограничения на основе содержимого и
хранилища. Дополнительные сведения см. в статье
[Link] .

Что такое click to Do?

При нажатии кнопки "Сделать" (предварительная версия) анализируется
содержимое экрана, а затем пользователи могут выбрать текст или изображение, с
которыми они хотят выполнить действия. Пользователи могут открыть click to Do с
помощью клавиши + Windows Q илищелчка мышиWindows + . Другие точки
входа для Click to Do включают ножницы, результаты поиска и меню "Пуск".

Анализ снимков экрана всегда выполняется локально на устройстве. Анализ

начинается только после того, как пользователи активно взаимодействуют с click to
Do и заканчивается при выходе из команды Click to Do. Нажмите кнопку Сделать
идентифицирует только текст и изображения, а не содержимое этих текстов или
изображений. Он не анализирует содержимое, например в свернутых
приложениях, которые отсутствуют на экране.

Доступ к содержимому предоставляется только в том случае, если пользователи

решили выполнить действие , например Поиск в Интернете. Если параметр Click to
Do активен, курсор будет синим и белым. Курсор также изменяет фигуру в
зависимости от типа информации под ним. Что пользователи могут делать с
изменениями информации в зависимости от типа содержимого Click to Do.
Например, пользователи могут выполнять действия с текстом, например
копировать, суммировать или перезаписывать его, а также делиться им. Для
изображений пользователи могут выполнять такие действия, как копирование,
сохранение или размытие фона с помощью Фотографии (Майкрософт).

Системные требования
Для нажатия кнопки "Сделать" выполняются следующие минимальные требования:

Copilot+ PC
NPU 40 TOPs (единица нейронной обработки )
16 ГБ ОЗУ
8 логических процессоров
Емкость хранилища 256 ГБ

Более интеллектуальные текстовые действия доступны только на компьютерах

Copilot+ на платформе Snapdragon сегодня, когда ваш язык установлен на
английский с поддержкой AMD и Процессоров Copilot+ на платформе Intel в
ближайшее время.

Настройка политики для click to Do

При активации нажмите кнопку "Сделать" делает снимок экрана пользователя и
анализирует его для отображения действий. Нажмите кнопку Сделать, когда
пользователи выходят из нее, и он не может делать снимки экрана при закрытии.
Анализ снимка экрана всегда выполняется локально на устройстве. По умолчанию
параметр Click to Do включен для пользователей.

Приведенный ниже параметр политики позволяет определить, доступен ли

параметр Click to Do для пользователей на их устройстве:

ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/DisableClickToDo

./User/Vendor/MSFT/Policy/Config/WindowsAI/DisableClickToDo

Групповая > Конфигурация компьютера Административные шаблоны > Компоненты >

политика Windows Windows AI >Disable Click to Do

User Configuration > Административные шаблоны > Компоненты > Windows

ИИ >Отключить Щелкните, чтобы сделать

Если политика включена, компонент Click to Do и точки входа будут

недоступны для пользователей.
Если политика отключена или не настроена, для пользователей на устройстве
будет доступна кнопка Click to Do (Щелкните, чтобы сделать).
 ） Важно!

Эта политика не влияет на кнопку "Щелкните, чтобы сделать" в Недавнее.

Дополнительные сведения см. в разделе Управление Недавнее.

Щелкните, чтобы выполнить рекомендации

по обеспечению конфиденциальности
Если вы решили отправить сведения из команды Click to Do в приложение,
например Paint, click to Do временно сохранит эти сведения, чтобы завершить
передачу. Щелкните Сделать, чтобы создать временный файл в следующем
расположении:

C:\Users\{username}\AppData\Local\Temp

Временные файлы также могут быть сохранены при выборе отправки отзыва. Эти
временные файлы не сохраняются долго. После выполнения запрошенного
действия не сохраняется содержимое с экрана, но собираются некоторые
диагностические данные , чтобы обеспечить безопасность, актуальность и
работоспособность click to Do.

Щелкните, чтобы выполнить более интеллектуальные текстовые действия, включая

суммирование, перезапись (случайный),перезапись (формальный),перезапись
(уточнение) и создание маркированного списка , на основе новой модели малого
языка, которая называется Phi Silica. Phi Silica использует NPU и языковую модель,
выполняемую локально на компьютерах Copilot+. Phi Silica поставляется в папку
"Входящие" с Windows на компьютерах Copilot+.

Когда пользователь щелкает текстовые действия Click to Do , выбранный текст и

выбранное действие отправляются в Phi Silica в рамках запроса. Phi Silica
интеллектуально перезаписывает выбранный текст в зависимости от запроса
пользователя и передает ответ из модели. Phi Silica обеспечивает ответы быстро и
эффективно, используя мало энергии. Дополнительные сведения см. в разделе Phi
Silica, небольшой, но могучий SLM на устройстве .

В соответствии с обязательствами корпорации Майкрософт по обеспечению

конфиденциальности и безопасности данных все сохраненные образы и
обработанные данные хранятся на устройстве и обрабатываются локально. Однако
нажмите кнопку Сделать, чтобы выбрать, хотите ли вы получить дополнительные
сведения о выбранном содержимом в Интернете. При выборе одного из
следующих действий Нажмите, чтобы сделать, выбранное содержимое
отправляется интернет-поставщику с локального устройства для выполнения
запроса:

Поиск в Интернете: отправляет выбранное содержимое в Bing с помощью

Microsoft Edge
Открыть веб-сайт: открывает выбранный веб-сайт в браузере по умолчанию.
Визуальный поиск с помощью Bing: отправляет выбранное содержимое в
визуальный поиск Bing с помощью браузера по умолчанию

Приверженность корпорации Майкрософт

ответственному использованию ИИ и
конфиденциальности
Корпорация Майкрософт работает над ответственным продвижением ИИ с 2017
года, когда мы впервые определили принципы ИИ, а затем введены в
эксплуатацию наш подход с помощью Standard ответственного ИИ.
Конфиденциальность и безопасность являются основными принципами при
разработке и развертывании систем ИИ. Мы работаем над тем, чтобы помочь
клиентам ответственно использовать наши продукты ИИ, делиться нашими
учебными данными и строить партнерские отношения на основе доверия.
Дополнительные сведения о наших усилиях по ответственному использованию ИИ,
принципах, которыми мы руководствуемся, а также о средствах и возможностях,
которые мы создали для обеспечения ответственной разработки технологий ИИ,
см. в разделе Ответственный ИИ .

Чтобы понять, как работает каждая функция ИИ, важно понимать ее возможности
и ограничения. Вы должны понимать варианты, доступные в функции ИИ, и
ответственность, связанную с этими вариантами.

Щелкните Сделать, чтобы выбрать действия, которые можно выполнить, и вы

можете выбрать приложения, которые будут поставщиком (если применимо) для
этих действий. После выбора действия и поставщика для действия результаты этого
действия берут на себя поставщик. Например, в разделе Щелкнуть до сделать
можно выбрать действие Удалить фон с помощью Paint, что означает, что вы
выбрали Paint в качестве поставщика действия. После выбора действия в
контекстном меню Click to Do запускается приложение Paint, и выбранное
изображение обрабатывается Paint.

Щелкните , чтобы использовать оптическое распознавание символов (OCR) на

компьютере, чтобы обнаруживать текстовые сущности на снимках экрана.
Дополнительные сведения об распознавании текста см. в статье Заметка о
прозрачности и варианты использования OCR.

Щелкните , чтобы выполнить интеллектуальные текстовые действия с

использованием модели небольшого языка Под названием Phi Silica.
Дополнительные сведения о Phi Silica см. в статье Начало работы с Phi Silica в
Windows App SDK. Сведения о принципах ответственного ИИ, определяющих
развертывание Phi Silica, и мерах безопасности при использовании моделей
генеративного языка см. в статье Ответственное создание иИ в Windows.

Чтобы убедиться, что технология является эффективной и справедливой при

соблюдении рекомендаций Корпорации Майкрософт по ответственному ИИ,
щелкните , чтобы убедиться в том, что эти модели прошли оценку справедливости
и справедливости.

Дополнительные ссылки
Политика CSP — WindowsAI
Ответственный ИИ

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление Недавнее
Статья • 22.11.2024 • Применяется к: ✅ Copilot+ PCs

Ищете информацию для потребителей? См. раздел Отзыв шагов с помощью

Недавнее .

Недавнее (предварительная версия) позволяет пользователям выполнять поиск

локально сохраненных и локально проанализированных моментальных снимков экрана
с помощью естественного языка. По умолчанию Недавнее отключена и удалена на
управляемых устройствах. ИТ-администраторы могут выбрать, если они хотят разрешить
использование Недавнее в своих организациях, и пользователи не смогут включить его
на своем управляемом устройстве, если политика Разрешить Недавнее отключена. ИТ-
администраторы сами по себе не могут приступить к сохранению моментальных
снимков для конечных пользователей. Недавнее — это интерфейс, который требует
согласия пользователя на сохранение моментальных снимков. Пользователи могут
включить или отключить сохранение моментальных снимков для себя в любое время.
ИТ-администраторы могут задавать только политики, которые предоставляют
пользователям возможность сохранять моментальные снимки и настраивать
определенные политики для Недавнее.

В этой статье содержатся сведения о Недавнее и способах управления ими в

коммерческой среде.

７ Примечание

Недавнее теперь доступна в предварительной версии для компьютеров

Copilot+ в рамках программы предварительной оценки Windows.
Дополнительные сведения см. в разделе Предварительный просмотр
Недавнее с помощью click to Do on Copilot+ ПК с участниками программы
предварительной оценки Windows в канале разработки .
Коммерческие устройства на рынке определяются как устройства с номером
SKU enterprise (ENT) или education (EDU) или любым устройством SKU уровня
"Премиум", управляемым ИТ-администратором (с помощью Microsoft Endpoint
Manager или другого решения для управления конечными точками), с ключом
корпоративной лицензии или присоединенным к домену. Коммерческие
устройства, которые находятся в режиме автоматического запуска (OOBE),
определяются как устройства с номером SKU ENT или EDU или любым
устройством SKU уровня "Премиум", которое имеет ключ корпоративной
лицензии или Microsoft Entra присоединено.
 Недавнее оптимизировано для различных языков: английский, китайский
(упрощенное письмо), французский, немецкий, японский и испанский.
Применяются ограничения на основе содержимого и хранилища.
Дополнительные сведения см. в статье [Link] .

Что такое Недавнее?

Недавнее (предварительная версия) позволяет выполнять поиск по времени, чтобы
найти нужное содержимое. Просто опишите, как вы его помните, и Недавнее извлекает
момент, когда вы его видели. Моментальные снимки периодически создаются, когда
содержимое на экране отличается от предыдущего snapshot. Моментальные снимки
экрана упорядочены в временная шкала. Моментальные снимки хранятся локально и
локально анализируются на компьютере. анализ Недавнее позволяет искать
содержимое, включая изображения и текст, с помощью естественного языка.

Когда Недавнее открывает выбранную snapshot, она включает функцию Click to

Do(Щелкните, чтобы сделать), которая выполняется поверх сохраненного snapshot.
Нажмите кнопку Сделать, чтобы проанализировать, что находится в snapshot, и
позволяет взаимодействовать с отдельными элементами в snapshot. Например, можно
скопировать текст из snapshot или отправить изображения из snapshot в приложение,
поддерживающее jpeg файлы.

архитектура безопасности и конфиденциальности

Недавнее
Конфиденциальность и безопасность встроены в структуру Недавнее. С помощью
компьютеров Copilot+ вы получаете мощный ИИ, который работает локально на
устройстве. Для сохранения и анализа моментальных снимков не требуются и не
используются подключения к Интернету или облаку. Моментальные снимки не
отправляются в корпорацию Майкрософт. Недавнее обработка ИИ выполняется
локально, а моментальные снимки безопасно хранятся только на локальном устройстве.

Недавнее не предоставляет доступ к моментальным снимкам другим пользователям,

которые вошли в Windows на том же устройстве, и ИТ-администраторы не могут
получить доступ к моментальным снимкам или просмотреть их на устройствах конечных
пользователей. Корпорация Майкрософт не может получить доступ к моментальным
снимкам или просмотреть их. Недавнее требует от пользователей подтверждения своей
идентификации с помощью Windows Hello перед запуском и доступом к
моментальным снимкам. Для запуска и использования Недавнее Windows Hello должен
быть включен по крайней мере один параметр биометрического входа( распознавание
лиц или отпечатков пальцев). Прежде чем моментальные снимки начнут сохраняться на
устройстве, пользователям необходимо открыть Недавнее и пройти проверку
подлинности. Недавнее использует преимущества JIT-расшифровки, защищенной Hello
расширенной безопасностью входа (ESS). Моментальные снимки и все связанные с ними
сведения в векторной базе данных всегда шифруются. Ключи шифрования защищаются
с помощью доверенного платформенного модуля (TPM), который привязан к Windows
Hello удостоверению ESS пользователя и может использоваться операциями в
безопасной среде, называемой анклавом безопасности на основе виртуализации
(анклав VBS). Это означает, что другие пользователи не могут получить доступ к этим
ключам и, следовательно, не могут расшифровать эти сведения. Шифрование устройства
или BitLocker включены по умолчанию на Windows 11. Дополнительные сведения см. в
статье Недавнее архитектуры безопасности и конфиденциальности в блоге о
взаимодействии с Windows .

При использовании Недавнее параметр фильтрации конфиденциальной информации

включен по умолчанию, чтобы обеспечить конфиденциальность данных. Эта функция
работает непосредственно на вашем устройстве, используя NPU и подсистему
классификации Майкрософт (MCE) — ту же технологию, которая используется Microsoft
Purview для обнаружения и маркировки конфиденциальной информации. Если этот
параметр включен, моментальные снимки не будут сохраняться при обнаружении
потенциально конфиденциальной информации. Самое главное, что конфиденциальная
информация всегда остается на устройстве, независимо от того, включена или
отключена фильтрация конфиденциальной информации . Дополнительные сведения о
типах потенциально конфиденциальной информации см. в статье Справочник по
фильтрации конфиденциальной информации в Недавнее.

В соответствии с обязательствами корпорации Майкрософт по обеспечению

конфиденциальности и безопасности данных все сохраненные образы и обработанные
данные хранятся на устройстве и обрабатываются локально. Тем не менее, щелкните,
чтобы сделать, пользователи могут выбрать, если они хотят выполнять дополнительные
действия со своим содержимым.

Нажмите кнопку Сделать, чтобы пользователи пользовались дополнительными

сведениями о выбранном содержимом в Интернете. Когда пользователи выбирают
одно из следующих действий Click to Do, выбранное содержимое отправляется
интернет-поставщику с локального устройства для выполнения запроса:

Поиск в Интернете: отправляет выбранное содержимое в поисковую систему по

умолчанию браузера по умолчанию.
Открыть веб-сайт: открывает выбранный веб-сайт в браузере по умолчанию.
Визуальный поиск с помощью Bing: отправляет выбранное содержимое в
визуальный поиск Bing с помощью браузера по умолчанию.

Если вы решили отправить сведения из команды Click to Do в приложение, например

Paint, click to Do временно сохранит эти сведения, чтобы завершить передачу. Щелкните
Сделать, чтобы создать временный файл в следующем расположении:

C:\Users\[username]\AppData\Local\Temp

Временные файлы также могут быть сохранены при выборе отправки отзыва. Эти
временные файлы не сохраняются долго. После выполнения запрошенного действия не
сохраняется содержимое с экрана, но собираются некоторые основные данные
телеметрии, чтобы обеспечить безопасность, актуальность и работоспособность click to
Do.

Системные требования
Недавнее предъявляет следующие минимальные требования:

Copilot+ PC , соответствующий стандарту Secured-Core

NPU 40 TOPs (единица нейронной обработки )
16 ГБ ОЗУ
8 логических процессоров
Емкость хранилища 256 ГБ
Чтобы включить Недавнее, необходимо не менее 50 ГБ свободного места.
Сохранение моментальных снимков автоматически приостанавливается, когда
на устройстве будет меньше 25 ГБ дискового пространства
Пользователям необходимо включить шифрование устройств или BitLocker
Для проверки подлинности пользователям необходимо зарегистрироваться в
Windows Hello расширенной безопасности входа с включенным по крайней мере
одним параметром биометрического входа.

Поддерживаемые браузеры
Пользователям требуется поддерживаемый браузер для Недавнее, чтобы фильтровать
веб-сайты и автоматически фильтровать частные действия браузера. Поддерживаемые
браузеры и их возможности:

Microsoft Edge: фильтрует указанные веб-сайты и фильтрует частные действия

браузера
Firefox: фильтрует указанные веб-сайты и фильтрует действия частного браузера.
Опера: отфильтрованные указанные веб-сайты и фильтрация частных действий
браузера
Google Chrome: фильтрует указанные веб-сайты и фильтрует частные действия
браузера
браузеры на основе Chromium (124 или более поздней версии): для браузеров на
основе Chromium, которые отсутствуют в списке, фильтрует только частные
действия браузера, не фильтрует определенные веб-сайты.

Настройка политик для Недавнее

По умолчанию Недавнее удаляется на коммерчески управляемых устройствах. Если вы
хотите разрешить Недавнее быть доступными для пользователей в вашей организации и
разрешить им сохранять моментальные снимки, необходимо настроить политики
Разрешить Недавнее для включения и Отключить сохранение моментальных снимков
для Windows. Политики для Недавнее относятся к следующим общим областям:

Разрешить политики Недавнее и моментальных снимков

Политики хранилища
Политики фильтрации приложений и веб-сайтов

Разрешить политики Недавнее и моментальных снимков

Параметр политики Разрешить включение Недавнее позволяет определить, доступен
ли дополнительный компонент Недавнее для конечных пользователей для включения
на устройстве. По умолчанию Недавнее отключена и удалена для управляемых
устройств. Недавнее недоступны на управляемых устройствах по умолчанию, и
отдельные пользователи не могут включить Недавнее самостоятельно. Если отключить
эту политику, компонент Недавнее будет отключен, а биты для Недавнее будут удалены с
устройства. Если моментальные снимки ранее были сохранены на устройстве, они будут
удалены при отключении этой политики. Для удаления Недавнее требуется перезагрузка
устройства. Если политика включена, пользователи будут иметь Недавнее на своем
устройстве. В зависимости от состояния политики DisableAIDataAnalysis (Отключить
сохранение моментальных снимков для использования с Недавнее), конечные
пользователи смогут выбрать, хотите ли они сохранять моментальные снимки экрана и
использовать Недавнее для поиска того, что они видели на своем устройстве.
 ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/AllowRecallEnablement

Групповая > Конфигурация компьютера Административные шаблоны > Компоненты >

политика Windows ИИ >Windows Позволяют включить Недавнее

Политика Отключить сохранение моментальных снимков для Windows позволяет

предоставить пользователям возможность сохранять моментальные снимки экрана для
использования с Недавнее. Администраторы не могут включить сохранение
моментальных снимков от имени своих пользователей. Для включения сохранения
моментальных снимков требуется согласие отдельного пользователя. По умолчанию
моментальные снимки не сохраняются для использования с Недавнее. Если
моментальные снимки ранее были сохранены на устройстве, они будут удалены при
включении этой политики. Если эта политика отключена, пользователи смогут сохранять
моментальные снимки экрана и использовать Недавнее для поиска того, что они видели
на своем устройстве.

ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/DisableAIDataAnalysis

./User/Vendor/MSFT/Policy/Config/WindowsAI/DisableAIDataAnalysis

Групповая > Конфигурация компьютера Административные шаблоны > Компоненты >

политика Windows ИИ > Windows Отключить сохранение моментальных снимков
дляконфигурации > пользователей Windows

Административные шаблоны > Компоненты > Windows ИИ >Windows Отключить

сохранение моментальных снимков для Windows

Политики хранилища
Вы можете определить, сколько места на диске Недавнее можно использовать,
используя политику Задать максимальное хранилище для моментальных снимков,
используемых Недавнее. Можно задать максимальный объем дискового пространства
для моментальных снимков: 10, 25, 50, 75, 100 или 150 ГБ. При достижении предельного
объема хранилища сначала удаляются самые старые моментальные снимки. Если этот
параметр не настроен, ОС настраивает выделение хранилища для моментальных
снимков в зависимости от емкости хранилища устройства. 25 ГБ выделяется, если
емкость хранилища устройства составляет 256 ГБ. 75 ГБ выделяется, если емкость
хранилища устройства составляет 512 ГБ. 150 ГБ выделяется, если емкость хранилища
устройства составляет 1 ТБ или более.

ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/SetMaximumStorageSpaceForRecallSnapshots

./User/Vendor/MSFT/Policy/Config/WindowsAI/SetMaximumStorageSpaceForRecallSnapshots

Групповая Конфигурация > компьютера Административные шаблоны > Компоненты > Windows ИИ
политика >Windows Set maximum storage for snapshots used by Недавнее

User Configuration > Административные шаблоны > Компоненты > Windows ИИ

>Установить максимальное хранилище моментальных снимков, используемых
Недавнее

Вы можете определить, как долго моментальные снимки могут храниться на устройстве,

используя политику Задать максимальную продолжительность хранения
моментальных снимков, используемых Недавнее. Можно настроить максимальную
продолжительность хранения 30, 60, 90 или 180 дней. Если политика не настроена,
моментальные снимки не удаляются, пока не будет достигнуто максимальное выделение
хранилища, а затем сначала удаляются самые старые моментальные снимки.

ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/SetMaximumStorageDurationForRecallSnapshots

./User/Vendor/MSFT/Policy/Config/WindowsAI/SetMaximumStorageDurationForRecallSnapshots

Групповая Конфигурация > компьютера Административные шаблоны > Компоненты > Windows ИИ >
политика Windows Set maximum storage for snapshots by Недавнее

Пользователь Административные > шаблоны > Windows Компоненты > Windows AI >Задать
максимальную длительность хранения моментальных снимков, используемых Недавнее

Политики фильтрации приложений и веб-сайтов

Вы можете отфильтровать сохранение приложений и веб-сайтов в моментальных
снимках. Пользователи могут добавлять в эти списки фильтров на странице параметров
моментальных снимков Недавнее &. Некоторые клиенты подключения к удаленному
рабочему столу фильтруются по умолчанию по моментальным снимкам.
Дополнительные сведения см. в разделе Клиенты подключения к удаленному рабочему
столу, отфильтрованные по моментальным снимкам .
Чтобы отфильтровать сохранение веб-сайтов в моментальных снимках, используйте
политику Настройка списка URI для фильтрации по моментальным снимкам для
Недавнее. Определите список с помощью точки с запятой для разделения URI.
Убедитесь, что вы включили схему URL-адресов, например http:// , file:// ,
[Link] . Сайты, локальные для поддерживаемого браузера, например edge:// , или

chrome:// , фильтруются по умолчанию. Например:

[Link]

７ Примечание

При использовании поддерживаемых веб-браузеров действия при частном

просмотре фильтруются по умолчанию.
Имейте в виду, что веб-сайты фильтруются, когда они находятся на переднем
плане или находятся на открытой вкладке поддерживаемого браузера. Части
отфильтрованные веб-сайты по-прежнему могут отображаться в
моментальных снимках, таких как внедренное содержимое, журнал браузера
или открытая вкладка, которая не находится на переднем плане.
Фильтрация не запрещает браузерам, поставщикам интернет-услуг (ISP), веб-
сайтам, организациям и другим пользователям знать, что к веб-сайту был
получен доступ, и создавать историю.
Изменения этой политики вступают в силу после перезапуска устройства.

ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/SetDenyUriListForRecall

./User/Vendor/MSFT/Policy/Config/WindowsAI/SetDenyUriListForRecall

Групповая > Конфигурация компьютера Административные шаблоны > Компоненты >

политика Windows ИИ >>Windows Задайте список URI для фильтрации по моментальным
снимкам для Недавнее

Пользователь конфигурации > Административные шаблоны > Компоненты >

Windows ИИ >>Windows Задайте список URI для фильтрации по моментальным
снимкам для Недавнее

Задайте список приложений для фильтрации по моментальным снимкам для

Недавнее политика позволяет фильтровать приложения от сохранения в моментальных
снимках. Определите список с помощью точки с запятой для разделения приложений.
Список может включать идентификаторы модели пользователя приложения (AUMID)
или имя исполняемого файла. Например: [Link];Microsoft.
WindowsNotepad_8wekyb3d8bbwe!App;[Link]

７ Примечание

Как и другие приложения для Windows, такие как ножницы, Недавнее не будет
хранить содержимое управления цифровыми правами (DRM).
Изменения этой политики вступают в силу после перезапуска устройства.

ﾉ Развернуть таблицу

Параметр

CSP ./Device/Vendor/MSFT/Policy/Config/WindowsAI/SetDenyAppListForRecall

./User/Vendor/MSFT/Policy/Config/WindowsAI/SetDenyAppListForRecall

Групповая > Конфигурация компьютера Административные шаблоны > Компоненты >

политика Windows ИИ > Windows Задайте список приложений для фильтрации по
моментальным снимкам для Недавнее

Пользователь конфигурации > Административные шаблоны > Компоненты >

Windows ИИ > Windows Задайте список приложений для фильтрации по
моментальным снимкам для Недавнее

Клиенты подключения к удаленному рабочему столу,

отфильтрованные по моментальным снимкам
Моментальные снимки не сохраняются при использовании клиентов подключения к
удаленному рабочему столу. По моментальным снимкам фильтруются следующие
клиенты подключения к удаленному рабочему столу:

Подключение к удаленному рабочему столу ([Link])

[Link]
Удаленный рабочий стол (Майкрософт) из Microsoft Store сохраняется в
моментальных снимках. Чтобы предотвратить сохранение приложения в
моментальных снимках, добавьте его в список фильтрации приложений.
Виртуальный рабочий стол Azure (MSI)
Приложения Виртуального рабочего стола Azure из Microsoft Store сохраняются
в моментальных снимках. Чтобы предотвратить сохранение этих приложений в
моментальных снимках, добавьте их в список фильтрации приложений.
Удаленные приложения, интегрированные локально (RAIL) окна
Windows App из Microsoft Store сохраняется в моментальных снимках. Чтобы
предотвратить сохранение приложения в моментальных снимках, добавьте его в
 список фильтрации приложений.

Сведения для разработчиков

Если вы разработчик и хотите запустить Недавнее, можно вызвать ms-recall URI
протокола. При вызове этого URI открывается Недавнее и принимает snapshot экрана,
что является поведением по умолчанию при запуске Недавнее. Дополнительные
сведения об использовании Недавнее в приложении для Windows см. в Недавнее
обзоре документации по API ИИ Для Windows.

Приверженность корпорации Майкрософт

ответственному использованию ИИ
Корпорация Майкрософт ведет ответственное путешествие по искусственному
интеллекту с 2017 года, когда мы определили наши принципы и подход к
использованию этой технологии таким образом, чтобы руководствовалось этическими
принципами, которые ставят людей на первое место. Дополнительные сведения об
ответственном подходе к ИИ, этических принципах, которыми мы руководствуемся, а
также о средствах и возможностях, которые мы создали для обеспечения ответственной
разработки технологий ИИ, см. в статье Ответственное использование ИИ .

Недавнее использует оптическое распознавание символов (OCR), локальное на

компьютере, для анализа моментальных снимков и упрощения поиска. Дополнительные
сведения об распознавании текста см. в статье Заметка о прозрачности и варианты
использования OCR. Дополнительные сведения о конфиденциальности и безопасности
см. в статье Конфиденциальность и контроль над Недавнее интерфейсом .

Дополнительные ссылки
Политика CSP — WindowsAI
Обновление архитектуры безопасности и конфиденциальности Недавнее
Выполните шаги с помощью Недавнее
Конфиденциальность и контроль над интерфейсом Недавнее
Щелкните , чтобы сделать в Недавнее
Предварительный просмотр Недавнее с помощью click to Do на компьютерах
Copilot+ с участниками программы предварительной оценки Windows в Канале
разработки

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Справочник по фильтрации
конфиденциальной информации в
Недавнее
Статья • 22.11.2024 • Применяется к: ✅ Copilot+ PCs

В этой статье содержатся сведения о типах потенциально конфиденциальной

информации, которые Недавнее обнаружить при включении параметра
Фильтрация конфиденциальной информации.

Типы потенциально конфиденциальной

информации
Ниже приведены типы потенциально конфиденциальной информации, которые
Недавнее обнаруживать и фильтровать:

ABA Routing Number

Argentina National Identity (DNI) Number
Аргентина Уникальный ключ налоговой идентификации (CUIT/CUIL)
Австралия Номер
банковского счета Австралия Водитель номер лицензии
Австралия номер
налогового файла Австрия Водительский номер
удостоверения Австрия Идентификационный
номер Австрии номер
социального страхования Австрия налоговый идентификационный номер
Австрии Добавленная стоимость Налог
документ Azure DB Аутентификация Ключ
подключения к базе данных Azure IAAS и строка
подключения Azure SQL Строка
подключения Azure IoT к кэшу Azure Redis Строка
подключения Azure SAS
Секреты Azure (generic)
Служебная шина Azure строка подключения Ключ

учетной записи хранения Azure Бельгия Номер водительского удостоверения

Бельгия Национальный номер
бельгии Дополнительный налоговый номер
Бразилия CPF номер
юридического лица Бразилии (CNPJ)
Бразилия Национальный идентификатор личности (RG)
Болгария Водительские права Номер
Болгарии Единый гражданский номер
Канады Номер банковского счета
Канада Водительские лицензии Канада Номер
социального страхования
Чили Номер
удостоверения личности Китай резидент удостоверения личности (PRC) Номер
Колумбия Национальный идентификатор
Кредитная карта
Номер Хорватия Номер водительских прав
Хорватия Идентификационный номер
Хорватия Персональный идентификационный номер (OIB) Кипр
Номер водительских прав номер
лицензии Кипр удостоверения личности
Кипр Налоговый идентификационный номер
Чешский номер водительской лицензии
Чешский персональный идентификационный номер
DEA номер
дании номер водительского удостоверения Дания
персональный идентификационный номер Эквадор Уникальный
идентификационный номер
Эстония Водительские лицензии Номер
личного идентификации Эстония Номер личной идентификации
ЕС Номер
удостоверений ЕС Номер водительских удостоверений
ЕС Национальный идентификационный
номер
ЕС SSN или эквивалентный номер
Номер налогового файла
ЕС Финляндия Номер водительских удостоверений
Финляндия Национальный идентификатор
Франция CNI
Франция Номер водительского удостоверения
Франция INSEE
Франция идентификационный номер налогоплательщика (numéro SPI.)
Номер налога
на добавленную стоимость Франция Общий пароль
Немецкий номер водительских прав
Германия Номер удостоверения
личности Германия Налоговый идентификационный номер
Германии Добавленная стоимость Номер налога
Греция Номер водительского удостоверения
Греция Национальный id card
Греция социального страхования номер (AMKA)
Греческий налоговый номер
идентификации Гонконг (HKID) номер
венгерского социального страхования (TAJ)
Венгерский номер налога с добавленной стоимостью
Номер водительских прав
Венгрии Личный идентификационный номер Венгрии Налоговый
идентификационный номер

IBAN
Индия Номер водительских удостоверений
Индия Номер
постоянного счета Индия Номер постоянного счета
Индия Уникальный идентификационный номер (Aadhaar) Индия
Избиратель id card
Индонезия Номер водительских удостоверений
Индонезия (KTP) Номер
водительских удостоверений
Ирландия Персональный номер государственной службы (PPS) Номер
удостоверений Израиль Банковский номер
счета Израиль Национальный идентификационный номер
Италия Номер водительских прав
Италия Фискальный код
Италия Налог на добавленную
стоимость Япония Банковский номер
счета Япония Номер водительского удостоверения
Япония Номер карты
проживания Япония Номер регистрации
резидента Япония Номер социального страхования
Японский номер - Корпоративный
японский мой номер - Личный
номер латвийских водительских прав Номер
латвии личный код
Номер водительских удостоверений
Литвы Персональный код
Люксембург Номер водительских прав
Люксембург Национальный идентификационный номер (физические лица)
Люксембург Национальный идентификационный номер (не физические лица)
Малайзия ID Card Номер
удостоверения мальтийского водительского удостоверения Номер
удостоверения Мальта Номер
налогового идентификатора
Мексики Уникальный код реестра населения (CURP)
Нидерланды Гражданина (BSN) Номер
Нидерланды Водительские лицензии номер
Нидерландов Налоговый идентификационный номер
Нидерландов Добавленная стоимость Номер налога
Новая Зеландия Номер банковского счета
Новая Зеландия Номер водительских прав
Новая Зеландия Внутренний доход Номер
дохода Newzealand Социальное обеспечение Номер
Норвегия Идентификационный номер
Филиппины Национальный идентификатор
Филиппины Номер паспорта
Филиппин единый многоцелевой идентификационный номер
Польша Номер водительских прав
Польша Удостоверение личности
Польша Национальный идентификатор (PESEL)
Польша налоговый идентификационный номер
Польский REGON Номер
Португалии
Номер водительских прав Португалия Номер
налогового идентификационный номер
Катарский идентификационный номер
карты Румыния Номер водительских прав
Румыния персональный числовой код (CNP)
Саудовская Аравия Национальный идентификатор
Сингапур водительских удостоверений номер
Сингапур Национальный регистрационный идентификационный номер (NRIC)
Номер
водительских прав
Словакия Личный номер
Словения Номер водительских прав
Словения Налоговый идентификационный номер
Словения Уникальный мастер-гражданин Номер южной Африки
идентификационный номер

Южной Кореи Номер водительских прав

Южная Корея Номер регистрации
резидента Испания DNI
Испания Номер водительских удостоверений
Испания SSN
Испания Налоговый идентификационный номер
Швеция Водительский номер Швеции
Национальный идентификатор
Швеция Налоговый идентификационный номер
SWIFT Code
Swiss SSN AHV Номер
Тайваня Резидент сертификат (ARC/TARC)
Тайваньский национальный идентификатор
тайский гражданин ИД
турецкий национальный идентификатор
U.K. Водительский номер
U.K. Избирательный номер
U.K. NHS Номер
U.K. NINO
U.K. Уникальный справочный номер
налогоплательщика Номер банковского счета США Номер
водительского удостоверения
США Индивидуальный идентификационный номер налогоплательщика США (ITIN)
США номер
социального страхования ОАЭ номер удостоверения личности

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление функциями ИИ в Блокноте
Статья • 09.05.2025 • Применяется к: ✅ Windows 11

Ищете информацию для потребителей? См . статью Улучшение написания текста с

помощью ИИ в Блокноте .

Блокнот в Windows включает функции ИИ на платформе Copilot, которые помогают

уточнить и сократить текст с помощью GPT. По умолчанию эти функции ИИ включены на
управляемых устройствах. ИТ-администраторы могут выбрать, если они хотят разрешить
использование этих функций в своих организациях.

В этой статье содержатся сведения об управлении функциями ИИ для Блокнота в

коммерческой среде.

Скачивание административного шаблона

Блокнота (ADMX)
Административный шаблон Блокнота (ADMX) можно скачать из Центра загрузки
Майкрософт. Параметры групповой политики, содержащиеся в ADMX-файле,
предназначены для всех пользователей на уровне компьютера.

Параметры политики

DisableAIFeaturesInNotepad
Этот параметр политики позволяет управлять отключением функций ИИ в приложении
"Блокнот Windows".

Если эта политика включена, пользователи не смогут получить доступ к функциям

ИИ в приложении Блокнот.
Если эта политика отключена или не настроена, пользователи могут получить доступ
к функциям ИИ в приложении Блокнот.

Поддерживаемые версии

Windows 11 версии 22H2 или более поздней.

Блокнот версии 11.2503.16.0 или более поздней.

Настройка политик
Чтобы настроить политики Блокнота, можно использовать:

Microsoft Intune
Групповая политика
Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше

всего соответствует вашим потребностям.

Intune

Чтобы настроить устройства с помощью Microsoft Intune, импортируйте файлы

административного шаблона Блокнота (ADMX), а затем создайте пользовательский
профиль конфигурации на основе импортированных ADMX-файлов.

７ Примечание

Административный шаблон Блокнота (ADMX) зависит от файла

административного шаблона Windows
( C:\Windows\PolicyDefinitions\[Link] ), поэтому обязательно импортируйте
его.
Обновлен интерфейс Windows и
Microsoft 365 Copilot Chat
Статья • 28.01.2025 • Применяется к: ✅ Windows 11, version 22H2 or later

Ищете информацию для потребителей? См . раздел Добро пожаловать в

Copilot в Windows . Ищете дополнительные сведения о Microsoft 365 Copilot
Chat взаимодействиях? См. раздел Общие сведения о различных интерфейсах
Microsoft 365 Copilot Chat .

Улучшенная защита данных с помощью

корпоративной защиты данных
Интерфейс Copilot в Windows меняется, чтобы повысить безопасность данных,
конфиденциальность, соответствие требованиям и упростить взаимодействие с
пользователем для пользователей, вошедшего в систему с помощью рабочей или
учебной учетной записи Microsoft Entra. Microsoft 365 Copilot Chat доступна без
дополнительных затрат и перенаправляет пользователей на новый упрощенный
интерфейс, предназначенный для работы и образования. Защита корпоративных
данных (EDP) относится к элементам управления и обязательствам в соответствии с
дополнительными условиями защиты данных и условиями продукта, которые
применяются к данным клиентов для пользователей Microsoft 365 Copilot и
Microsoft 365 Copilot Chat. Это означает, что безопасность, конфиденциальность,
средства контроля соответствия требованиям и обязательства, доступные для
Microsoft 365 Copilot, будут распространяться на Microsoft 365 Copilot Chat
запросов и ответов. Запросы и ответы защищены теми же условиями и
обязательствами, которыми доверяют наши клиенты. Это улучшение по сравнению
с предыдущим обещанием по защите коммерческих данных (CDP). Это обновление
развертывается сейчас. Дополнительные сведения см. в разделе обновления
Microsoft 365 Copilot Chat и часто задаваемые вопросы о защите корпоративных
данных.

） Важно!

Чтобы упростить взаимодействие с пользователем, для пользователей

выполняются обновления точек входа Copilot в Windows. Copilot в Windows
(предварительная версия) будет удалена из Windows. Интерфейс будет
 немного отличаться в зависимости от того, согласилась ли ваша организация
использовать Copilot в Windows (предварительная версия) или нет.

Copilot в Windows (предварительная версия)

не включена
Если ваша организация не включила Copilot в Windows (предварительная версия),
ваши существующие предпочтения будут соблюдены. Ни Microsoft 365 Copilot Chat,
ни приложение Microsoft 365 Copilot (ранее приложение Microsoft 365) не
закреплены на панели задач. Чтобы подготовиться к окончательному удалению
политики Copilot в Windows, администраторы должны задать параметры
закрепления в Центр администрирования Microsoft 365.

７ Примечание

Хотя по умолчанию мы не будем закреплять какое-либо приложение на

панели задач, ИТ-служба может использовать политики для принудительного
закрепления предпочитаемых приложений.

Copilot в Windows (предварительная версия)

включена
Если вы ранее активировали Copilot в Windows (в предварительной версии) для
ваших сотрудников, мы хотим поблагодарить вас за ваш энтузиазм. Чтобы
обеспечить лучший интерфейс Copilot для ваших пользователей и повысить
эффективность и производительность, мы не будем автоматически закреплять
приложение Microsoft 365 Copilot на панели задач в Windows. Вместо этого мы
гарантируем, что вы можете контролировать, как вы включаете интерфейс Copilot
в вашей организации. Мы по-прежнему сосредоточены на расширении
возможностей ИТ для эффективного управления опытом ИИ и внедрения этих
возможностей в соответствии с потребностями вашей организации.

Если вы уже активировали Copilot в Windows (предварительная версия) и хотите,

чтобы пользователи имели непрерывный доступ к Copilot на панели задач после
обновления, используйте параметры конфигурации, чтобы закрепить приложение
Microsoft 365 Copilot на панели задач, так как значок Copilot в Windows
(предварительная версия) будет удален с панели задач.
Пользователи, выполняя вход на новые
компьютеры с помощью учетных записей
Microsoft Entra
При входе пользователей на новые компьютеры с рабочими или учебными
учетными записями происходит следующее:

Приложение Microsoft 365 Copilot закреплено на панели задач. Это

приложение поставляется с предустановленным с Windows и включает
удобный доступ к приложениям Office, таким как Word, PowerPoint и т. д.
Пользователи с лицензией Microsoft 365 Copilot Microsoft 365 Copilot Chat
закреплены по умолчанию в приложении Microsoft 365 Copilot.
В приложении Microsoft 365 Copilot значок Microsoft 365 Copilot Chat
находится рядом с кнопкой "Домой".
Microsoft 365 Copilot Chat ( web чат заземления) не совпадает с Microsoft 365
Copilot ( web и work область), которая является отдельной лицензией
надстройки.
Microsoft 365 Copilot Chat доступна без дополнительных затрат для
клиентов с Microsoft Entra учетной записью. Microsoft 365 Copilot Chat
является точкой входа для Copilot на работе. В то время как чат Copilot
помогает пользователям использовать свои беседы в веб-данных, Microsoft
365 Copilot позволяет пользователям включать в беседы как веб-, так и
рабочие данные, к которым у них есть доступ, переключаясь между
режимами работы и веб-режимами в бизнес-чате.
Пользователи с лицензией на Microsoft 365 Copilot могут переключаться
между возможностями чата на основе веб-платформы Microsoft 365 Copilot
Chat и возможностями чата с рабочей областью Microsoft 365 Copilot.
Клиентов, у которых нет лицензии на Microsoft 365 Copilot, просят закрепить
Microsoft 365 Copilot Chat, чтобы обеспечить им простой доступ к Copilot.
Чтобы задать поведение по умолчанию, администраторы должны задать
параметры закрепления панели задач в Центр администрирования Microsoft
365.
Если администраторы решили не закреплять Copilot и указать, что
пользователей можно попросить, пользователям будет предложено
закрепить его самостоятельно в приложении Microsoft 365 Copilot, Outlook и
Teams.
Если администраторы решили не закреплять Microsoft 365 Copilot Chat и
указать, что пользователи не могут запрашиваться, Microsoft 365 Copilot Chat
не будут доступны через приложение Microsoft 365 Copilot, Outlook или Teams.
Пользователи имеют доступ к Microsoft 365 Copilot Chat из
 <[Link]/copilot>, если этот URL-адрес не заблокирован ИТ-
администратором.
Если администраторы не делают выбора, пользователям будет предложено
закрепить Microsoft 365 Copilot Chat самостоятельно для удобства доступа.

Когда это произойдет?

Обновление Microsoft 365 Copilot Chat, чтобы обеспечить защиту корпоративных
данных, развертывается сейчас. Переход к Microsoft 365 Copilot Chat ожидается в
ближайшее время. Изменения будут развернуты на управляемых компьютерах,
начиная с выпуска предварительной версии за сентябрь 2024 г. и ежемесячного
обновления системы безопасности за октябрь 2024 г. для всех поддерживаемых
версий Windows 11. Эти изменения будут применены к компьютерам Windows 10
через месяц. Это обновление заменяет текущий интерфейс Copilot в Windows.

Приложение Copilot будет автоматически активировано после установки

перечисленных выше обновлений Windows, если вы ранее не включили групповую
политику для предотвращения установки Copilot. Политика AppLocker доступна для
управления этим интерфейсом Copilot перед установкой указанных выше
обновлений Windows или любых последующих обновлений Windows.

Обратите внимание, что приложение Copilot, которое является пользовательским

интерфейсом, не поддерживает проверку подлинности Microsoft Entra, и
пользователи, пытающиеся войти в приложение с помощью учетной записи
Microsoft Entra, будут перенаправлены [Link] в браузере
по умолчанию. Для пользователей, проверяющих подлинность с помощью учетной
записи Microsoft Entra, они должны получить доступ к Copilot через приложение
Microsoft 365 Copilot в качестве точки входа. Мы рекомендуем закрепить Copilot на
панели навигации приложения Microsoft 365 Copilot, чтобы обеспечить простой
доступ.

Сведения о политике для предыдущих

Copilot в Windows (предварительная версия)
Администраторы должны настроить параметры закрепления, чтобы разрешить
доступ к Microsoft 365 Copilot Chat в приложении Microsoft 365 Copilot в Центр
администрирования Microsoft 365.

Следующая политика для управления Copilot в Windows (предварительная версия)

будет удалена в будущем и считается устаревшей политикой:
 ﾉ Развернуть таблицу

Параметр

CSP ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot

Групповая > Конфигурация пользователей Административные шаблоны > Компоненты

политика > Windows Windows Copilot >Отключить Windows Copilot

Удаление или запрет установки приложения

Copilot
Вы можете удалить или удалить приложение Copilot с устройства с помощью
одного из следующих методов:

1. Корпоративные пользователи могут удалить приложение Copilot , которое

является пользовательским интерфейсом, перейдя в раздел
Параметры>Приложения>Установленные приложения. Выберите три точки,
отображаемые в правой части приложения, и выберите Удалить в
раскрывающемся списке.

2. Если вы являетесь ИТ-администратором, вы можете запретить установку

приложения или удалить приложение Copilot, используя один из следующих
способов:
a. Запретить установку приложения Copilot:

Настройте политику AppLocker перед установкой обновления Windows. С

помощью AppLocker можно контролировать, какие приложения и файлы
могут запускать пользователи. Примечание. Политика AppLocker следует
использовать вместо параметра выключить устаревшую политику
Windows Copilot и ее эквивалента MDM TurnOffWindowsCopilot. Политика
может быть в ближайшее время устаревать.
Политику Applocker можно настроить, выполнив один из методов,
перечисленных в разделе Изменение политики AppLocker, и добавив в
политику следующий текст:
Publisher: CN=MICROSOFT CORPORATION, O=MICROSOFT CORPORATION,
L=REDMOND, S=WASHINGTON, C=US
Package name: MICROSOFT. Версия пакета COPILOT
: * (и выше)

a. Удалите приложение Copilot с помощью скрипта PowerShell:

 i. Откройте окно Windows PowerShell. Это можно сделать, открыв меню
Пуск, введя PowerShell и выбрав Windows PowerShell в результатах.
ii. После открытия окна PowerShell введите следующие команды:

PowerShell

# Get the package full name of the Copilot app

$packageFullName = Get-AppxPackage -Name "[Link]" |
Select-Object -ExpandProperty PackageFullName
# Remove the Copilot app
Remove-AppxPackage -Package $packageFullName

Последствия для аппаратного ключа Copilot

Приложение Microsoft 365 Copilot теперь доступно только для пользователей-
потребителей, которые выполняют проверку подлинности с помощью учетной
записи Майкрософт, и не будет работать для коммерческих пользователей,
проверяющих подлинность с помощью учетной записи Microsoft Entra. С учетом
этого изменения ИТ-администраторы должны принять меры, чтобы пользователи,
проверяющие подлинность с помощью учетной записи Microsoft Entra, по-
прежнему могли получить доступ к Copilot с помощью ключа Copilot.
Пользователи, пытающиеся войти в приложение Copilot с помощью учетной
записи Microsoft Entra, будут перенаправлены в браузерную версию Microsoft 365
Copilot Chat для работы ([Link] ).

Для оптимального взаимодействия корпоративные клиенты должны перейти к

политикам клиентов Windows, таким как политики групповая политика или
поставщиков служб конфигурации (CSP), чтобы обновить целевой объект ключа до
Microsoft 365 Copilot приложения, чтобы пользователи могли получить доступ к
Copilot в приложении Microsoft 365 Copilot. Конечные пользователи также могут
настроить это на странице Параметры .

Приложение Microsoft 365 Copilot предустановлено на всех компьютерах Windows

11. Если ваша организация удалила приложение Microsoft 365 Copilot, мы
рекомендуем переустановить его из Microsoft Store или предпочтительного
решения для управления приложениями, чтобы ключ Copilot можно было
повторно сопоставить с приложением Microsoft 365 Copilot. Мы также
рекомендуем закрепить Microsoft 365 Copilot Chat на панели навигации
приложения Microsoft 365 Copilot.

Чтобы избежать путаницы у пользователей относительно того, какую точку входа

для Microsoft 365 Copilot Chat использовать, рекомендуется удалить приложение
Copilot.

Используйте приведенную ниже таблицу, чтобы определить взаимодействие с

управляемой организацией.

ﾉ Развернуть таблицу

Конфигурация Опыт работы с Copilot Вызовы ключа Copilot

Copilot не включен в Нет ни Copilot в Windows Поиск Windows

среде (предварительная версия), ни
приложение Microsoft 365
Copilot.

Включенный + Copilot в Windows приложение Microsoft 365

copilotне проходит (предварительная версия) Copilot
проверку подлинности удаляется и заменяется
с помощью Microsoft приложением Microsoft 365
Entra Copilot, которое не закреплено
на панели задач, если вы не
решите сделать это.

Проверка подлинности Copilot в Windows Microsoft 365 Copilot Chat в

с поддержкой + Copilot (предварительная версия) приложении Microsoft 365
с помощью Microsoft отсутствует. доступ к Microsoft Copilot (после обновления
Entra и нового 365 Copilot Chat осуществляется после установки).
устройства через приложение Microsoft 365
Copilot (после обновления после
установки).

Проверка подлинности Copilot в Windows ИТ-администраторы должны

с поддержкой + Copilot (предварительная версия) использовать политику, чтобы
с помощью Microsoft удалена. Существующие повторно сопоставить ключ
Entra и существующего пользователи с включенным Copilot с приложением
устройства Copilot на своих устройствах по- Microsoft 365 Copilot или
прежнему будут видеть предложить пользователям
приложение Microsoft 365 выбрать.
Copilot.

Политики для управления ключом Copilot

Доступны политики для настройки целевого приложения аппаратного ключа
Copilot. Дополнительные сведения см. в разделе CSP политики WindowsAI.

Чтобы настроить ключ Copilot, используйте следующую политику:

 ﾉ Развернуть таблицу

Параметр

CSP ./User/Vendor/MSFT/Policy/Config/WindowsAI/SetCopilotHardwareKey

Групповая > Конфигурация пользователей Административные шаблоны > Компоненты

политика > Windows Windows Copilot >Set Copilot Hardware Key

Параметры конечного пользователя для

ключа Copilot
Если вы решили предоставить пользователям в вашей организации возможность
управлять собственным интерфейсом, доступен протокол для запуска приложения
"Параметры" для повторного сопоставления ключа Copilot. Приложения и скрипты
могут использовать следующее, чтобы пользователь смог изменить его в
соответствии со своими потребностями:

ms-settings:personalization-textinput-copilot-hardwarekey

Если у пользователя, выполнившего вход с помощью учетной записи Microsoft

Entra, ключ еще не сопоставлен с приложением Microsoft 365 Copilot, он может
выбрать приложение, перейдя в раздел Параметры> Входтекстаперсонализации>,
а затем выбрав в раскрывающемся меню параметра Настройка клавиши Copilot
на клавиатуре. В этом раскрывающемся списке доступны следующие параметры:
Поиск, Пользовательское или текущее сопоставленное приложение, если оно
выбрано.

Чтобы сопоставить ключ с приложением Microsoft 365 Copilot, пользователь

должен выбрать Пользовательский, а затем выбрать приложение Microsoft 365
Copilot в средстве выбора приложений. Если этот элемент выбора приложений
пуст или не содержит Microsoft 365 Copilot приложения, его следует
переустановить из Microsoft Store.

Пользователи также могут выбрать, чтобы ключ Copilot запускал приложение,

которое упаковано и подписано MSIX, гарантируя параметры приложения,
которые ключ Copilot может переназначить в соответствии с требованиями
безопасности и конфиденциальности.

Установка Copilot с обновлениями и

элементами управления Windows
Если вы являетесь ИТ-администратором и включили групповые политики, чтобы
предотвратить установку Copilot, приложение Copilot не будет установлено на
настроенных устройствах. Если вы не включили групповую политику, вы можете
удалить приложение Copilot, выполнив одно из действий, описанных в разделе
Удаление или предотвращение установки приложения Copilot , или настройте
политику AppLocker перед установкой обновлений Windows. Когда политика
AppLocker для Copilot включена, она будет:

Запретить установку приложения, если оно еще не установлено на устройстве.

Запретить запуск приложения, если оно уже установлено.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Сбор журналов MDM
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Чтобы помочь в диагностике проблем с регистрацией или управлением

устройствами на устройствах Windows, управляемых сервером MDM, можно
просмотреть журналы MDM, собранные с рабочего стола. В следующих разделах
описаны процедуры сбора журналов MDM.

Скачивание журнала диагностических

сведений MDM с устройств Windows
1. На управляемом устройстве перейдите в раздел Параметры>Учетные>
записиДоступ к рабочей или учебной среде.

2. Выберите рабочую или учебную учетную запись, а затем выберите Сведения.

3. В нижней части страницы Параметры выберите Создать отчет.

 4. Откроется окно с путем к файлам журнала. Выберите Экспорт.

5. В проводнике перейдите по адресу C:\Users\Public\Documents\MDMDiagnostics ,

чтобы просмотреть отчет.

Использование команды для сбора

журналов непосредственно с устройств
Windows
Вы также можете собирать журналы диагностических сведений MDM с помощью
следующей команды:

XML

[Link] -area "DeviceEnrollment;DeviceProvisioning;Autopilot"

-zip "c:\users\public\documents\[Link]"

В проводнике перейдите по адресу

c:\Users\Public\Documents\MDMDiagnostics, чтобы просмотреть отчет.

Основные сведения о структуре ZIP

ZIP-файл содержит журналы в соответствии с областями, которые использовались
в команде. Это объяснение основано на областях DeviceEnrollment,
DeviceProvisioning и Autopilot. Он применяется к ZIP-файлам, собранным с
помощью командной строки или Центра отзывов.

DiagnosticLogCSP_Collector_Autopilot_*: Autopilot etls

DiagnosticLogCSP_Collector_DeviceProvisioning_*: подготовка etls (Microsoft-
Windows-Provisioning-Diagnostics-Provider)
[Link]: сводный снимок конфигураций и политик MDM.
Включает, URL-адрес управления, идентификатор устройства сервера MDM,
сертификаты, политики.
[Link]: файл метаданных mdmdiagnosticstool, содержащий
аргументы командной строки, используемые для запуска средства.
[Link]: содержит более подробное представление
конфигураций MDM, таких как переменные регистрации, пакеты подготовки,
многовариантные условия и другие. Дополнительные сведения о диагностике
пакетов подготовки см. в разделе Диагностика пакетов подготовки.
MdmDiagReport_RegistryDump.reg: содержит дампы из распространенных
расположений реестра MDM.
[Link]: журналы средств mdmdiagnosticslog при
выполнении команды
*.evtx: средство просмотра общих событий регистрирует microsoft-windows-
[Link] основной,
содержащий события MDM.

Сбор журналов непосредственно с

устройств Windows
Журналы MDM записываются в средстве просмотра событий в следующем
расположении:

Журналы > приложений и служб Microsoft > Windows > DeviceManagement-

Enterprise-Diagnostic-Provider

Вот снимок экрана:

В этом расположении канал администрирования по умолчанию регистрирует

события. Однако если вам нужны дополнительные подробные журналы, вы
можете включить журналы отладки , выбрав пункт Показать журналы аналитики и
отладки в меню Вид в средстве просмотра событий.

Сбор журналов администратора

1. Щелкните правой кнопкой мыши узел Администрирование .
2. Выберите Сохранить все события как.
3. Выберите расположение и введите имя файла.
4. Выберите Сохранить.
5. Выберите Отображение сведений для этих языков , а затем — Английский.
6. Нажмите кнопку ОК.

Для более подробного ведения журнала можно включить журналы отладки .

Щелкните правой кнопкой мыши узел Отладка и выберите Включить журнал.

Сбор журналов отладки

1. Щелкните правой кнопкой мыши узел Отладка .
2. Выберите Сохранить все события как.
3. Выберите расположение и введите имя файла.
4. Выберите Сохранить.
5. Выберите Отображение сведений для этих языков , а затем — Английский.
6. Нажмите кнопку ОК.

Файлы журнала (EVTX-файлы) можно открыть в средстве просмотра событий на

устройстве с Windows.
Удаленный сбор журналов с устройств
Windows
Когда компьютер уже зарегистрирован в MDM, вы можете удаленно собирать
журналы с компьютера через канал MDM, если сервер MDM поддерживает эту
возможность. Поставщик служб CSP DiagnosticLog можно использовать для
включения канала просмотра событий с полным именем. Ниже приведены имена
средств просмотра событий для каналов администрирования и отладки.

Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-
Provider%2FAdmin
Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-
Provider%2FDebug

Пример. Включение ведения журнала канала отладки

XML

<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Windows-
DeviceManagement-Enterprise-Diagnostics-Provider%2FDebug/State</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
</Meta>
<Data>true</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>

Пример. Экспорт журналов отладки

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
 <Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Windows-
DeviceManagement-Enterprise-Diagnostics-Provider%2FDebug/Export</LocURI>
</Target>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>

Удаленный сбор журналов из Windows

Holographic
Для голографических данных, уже зарегистрированных в MDM, можно удаленно
собирать журналы MDM через канал MDM с помощью поставщика служб
диагностики DiagnosticLog CSP.

Для включения поставщика ETW можно использовать поставщик CSP

DiagnosticLog. Идентификатор поставщика — 3DA494E4-0FE2-415C-B895-
FB5265C5C83B. В следующих примерах показано, как включить поставщик ETW:

Добавление узла сборщика

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">node</Format>
</Meta>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>

Добавление поставщика трассировки с помощью трассировки

 XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/Providers/3DA494E4
-0FE2-415C-B895-FB5265C5C83B</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">node</Format>
</Meta>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>

Запуск ведения журнала трассировки сборщика

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/TraceControl</LocU
RI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>START</Data>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>

Остановка ведения журнала трассировки сборщика

XML
 <?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/TraceControl</LocU
RI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>STOP</Data>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>

После сбора журналов на устройстве можно получить файлы через канал MDM с
помощью части FileDownload поставщика служб диагностики DiagnosticLog.
Дополнительные сведения см. в разделе DiagnosticLog CSP.

Просмотр журналов
Для достижения наилучших результатов убедитесь, что компьютер или
виртуальная машина, на которой вы просматриваете журналы, соответствует
сборке ОС, из которой были собраны журналы.

1. Откройте файл [Link].

2. Щелкните правой кнопкой мыши средство просмотра событий (локальный)

и выберите Открыть сохраненный журнал.

3. Перейдите к файлу ETL, полученному с устройства, и откройте файл.

4. Выберите Да при появлении запроса на сохранение в новом формате

журнала.
5. Новое представление содержит трассировки из канала. Выберите Фильтр
текущего журнала в меню Действия .

6. Добавьте фильтр в источники событий, выбрав DeviceManagement-

EnterpriseDiagnostics-Provider и нажмите кнопку ОК.
7. Теперь вы можете приступить к просмотру журналов.
Сбор данных о состоянии устройства
Ниже приведен пример сбора текущих данных о состоянии устройства MDM с
помощью поставщика CSP DiagnosticLog. Вы можете получить файл с устройства,
используя тот же узел FileDownload в CSP, что и для ETL-файлов.

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/DeviceStateData/MdmConfiguration</LocURI
>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>SNAP</Data>
</Item>
</Exec>
<Final/>
 </SyncBody>
</SyncML>

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Диагностика регистрации MDM
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В этой статье приведены рекомендации по устранению проблем с регистрацией

устройств для MDM.

Проверка требований и параметров

автоматической регистрации
Чтобы убедиться, что функция автоматической регистрации работает должным
образом, необходимо убедиться, что различные требования и параметры
настроены правильно. Ниже описаны необходимые параметры с помощью службы
Intune.

1. Убедитесь, что пользователь, который собирается зарегистрировать

устройство, имеет действительную лицензию на Intune.

2. Убедитесь, что автоматическая регистрация активирована для тех

пользователей, которые собираются зарегистрировать устройства в mobile
Управление устройствами (MDM) с помощью Intune. Дополнительные
сведения см. в разделе Microsoft Entra ID и Microsoft Intune: Автоматическая
регистрация MDM на новом портале.
 ） Важно!

Для собственных устройств (устройств BYOD) пользователь управления

мобильными приложениями (MAM) область имеет приоритет, если оба
пользователя MAM область и область пользователя MDM
(автоматическая регистрация MDM) включены для всех пользователей
(или одной и той же группы пользователей). Устройство будет
использовать политики windows Information Protection (WIP) (если они
настроены), а не регистрироваться MDM.

Для корпоративных устройств пользователь MDM область имеет

приоритет, если включены обе области. Устройства регистрируются в
MDM.

3. Убедитесь, что на устройстве установлена поддерживаемая версия Windows.

4. Автоматическая регистрация в Intune через групповая политика

действительна только для устройств, которые Microsoft Entra гибридным
присоединением. Это условие означает, что устройство должно быть
присоединено как к локальной службе Active Directory, так и к Microsoft Entra
ID. Чтобы убедиться, что устройство Microsoft Entra гибридное
присоединение, выполните команду dsregcmd /status из командной строки.
 Вы можете убедиться, что устройство правильно присоединено к гибридному
соединению, если для AzureAdJoined и DomainJoined задано значение ДА.

Кроме того, убедитесь, что в разделе Состояние единого входа azureAdPrt

отображается значение ДА.

Эти сведения также можно найти в списке Microsoft Entra устройств.

5. Убедитесь, что URL-адрес обнаружения MDM во время автоматической

регистрации имеет значение
[Link] .
6. У некоторых клиентов могут быть как Microsoft Intune, так и Microsoft Intune
регистрация в разделе Мобильность. Убедитесь, что параметры
автоматической регистрации настроены в разделе Microsoft Intune, а не
Microsoft Intune регистрация.

7. При использовании групповой политики для регистрации убедитесь, что

групповая политика Включить автоматическую регистрацию MDM с
использованием учетных данных Microsoft Entra по умолчанию (локальные
групповая политика Редактор > политики > конфигурации > компьютеров)
 > правильно развернута на всех устройствах, которые должны быть
зарегистрированы>. в Intune. Вы можете обратиться к администраторам
домена, чтобы проверить, успешно ли развернута групповая политика.

8. Убедитесь, что Microsoft Intune разрешает регистрацию устройств Windows.

Устранение неполадок с регистрацией

групповой политики
Изучите журналы, если у вас возникли проблемы даже после выполнения всех
действий по проверке. Первым файлом журнала для исследования является
журнал событий на целевом устройстве Windows. Чтобы собрать журналы
Просмотр событий, выполните приведенные далее действия.

1. Откройте окно просмотра событий.

2. Перейдите в раздел Журналы> приложений и

службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-
Provider>Администратор.

 Совет

Инструкции по сбору журналов событий для Intune см. в разделе Сбор

Просмотр событий журналов MDM на YouTube .

3. Найдите событие с идентификатором 75, которое представляет успешную

автоматическую регистрацию. Ниже приведен пример снимка экрана, на
котором показано успешное завершение автоматической регистрации:
 

Если в журналах не удается найти событие с идентификатором 75, это означает, что
сбой автоматической регистрации. Этот сбой может произойти по следующим
причинам:

Регистрация завершилась ошибкой. В этом случае найдите событие с

идентификатором 76, которое представляет неудачную автоматическую
регистрацию. Ниже приведен пример снимка экрана, на котором показано,
что сбой автоматической регистрации:

Чтобы устранить неполадки, проверка код ошибки, который отображается в

событии. Дополнительные сведения см. в статье Устранение неполадок с
регистрацией устройств с Windows в Microsoft Intune.

Автоматическая регистрация вообще не активируется. В этом случае вы не

найдете ни событие с идентификатором 75, ни событие с идентификатором
76. Чтобы узнать причину, необходимо понимать внутренние механизмы,
происходящие на устройстве, как описано здесь:

Процесс автоматической регистрации активируется задачей

(Microsoft>Windows>EnterpriseMgmt) в планировщике задач. Эта задача
появляется, если на целевом компьютере успешно развернута на целевом
компьютере групповая политика Включить автоматическую регистрацию
MDM с помощью Microsoft Entra учетных данных (MDM политик
конфигурации>>компьютеров>>) на целевом компьютере, как показано на
следующем снимке экрана:
 

７ Примечание

Эта задача не отображается для обычных пользователей. Для поиска

задачи выполните запланированные задачи с учетными данными
администратора.

Эта задача выполняется каждые 5 минут в течение одного дня. Чтобы

убедиться, что задача выполнена успешно, проверка журналы событий
планировщика задач: Журналы > приложений и служб Microsoft > Windows
> Task Scheduler > Operational. Найдите запись, в которой планировщик
задач, созданный клиентом регистрации для автоматической регистрации в
MDM из Microsoft Entra ID, активируется событием с идентификатором 107.

После завершения задачи регистрируется новое событие с идентификатором

102.


В журнале планировщика задач отображается событие с идентификатором
102 (задача завершена) независимо от успешного или сбоя автоматической
регистрации. Это отображение состояния означает, что журнал
планировщика задач полезен только для подтверждения того, активирована
ли задача автоматической регистрации. Он не указывает на успешное или
неудачно выполнение автоматической регистрации.

Если в журнале не отображается задача Расписание, созданное клиентом

регистрации для автоматической регистрации в MDM из Microsoft Entra ID
инициируется, возможно, возникла проблема с групповой политикой.
Немедленно выполните команду gpupdate /force в командной строке, чтобы
получить примененный объект групповой политики. Если этот шаг по-
прежнему не помогает, требуется дальнейшее устранение неполадок в Active
Directory. Одна из часто встречающихся ошибок связана с некоторыми
устаревшими записями регистрации в реестре на целевом клиентском
устройстве (HKLM > Software > Microsoft > Enrollments). Если устройство
зарегистрировано (может быть любым решением MDM, а не только Intune),
отображаются некоторые сведения о регистрации, добавленные в реестр:

По умолчанию эти записи удаляются при отмене регистрации устройства, но

иногда раздел реестра остается даже после отмены регистрации. В этом
случае не удается инициировать задачу автоматической регистрации и
gpupdate /force код ошибки, 2149056522 отображается в журнале > событий

Приложения и службыMicrosoft>Windows>Task Scheduler>Operational log с

идентификатором события 7016.

Решение этой проблемы заключается в удалении раздела реестра вручную.

Если вы не знаете, какой раздел реестра следует удалить, перейдите к разделу,
 в котором отображается большинство записей, как показано на предыдущем
снимке экрана. Все остальные ключи отображают меньше записей, как
показано на следующем снимке экрана:

Коды ошибок
ﾉ Развернуть таблицу

Код ID Сообщение об
ошибке

0x80180001 "idErrorServerConnectivity", // Произошла

MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180002 "idErrorAuthenticationFailure", // Возникла

MENROLL_E_DEVICE_AUTHENTICATION_ERROR проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
Код ID Сообщение об
ошибке

обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180003 "idErrorAuthorizationFailure", // Этот пользователь

MENROLL_E_DEVICE_AUTHORIZATION_ERROR не имеет прав на
регистрацию. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180004 "idErrorMDMCertificateError", // Произошла

MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR ошибка
сертификата. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180005 "idErrorServerConnectivity", // Произошла

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180006 "idErrorServerConnectivity", // Произошла

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR ошибка при
взаимодействии с
сервером. Вы
можете
Код ID Сообщение об
ошибке

попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180007 "idErrorAuthenticationFailure", // Возникла

MENROLL_E_DEVICE_INVALIDSECURITY_ERROR проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180008 "idErrorServerConnectivity", // Произошла

MENROLL_E_DEVICE_UNKNOWN_ERROR ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180009 "idErrorAlreadyInProgress", // Выполняется еще

MENROLL_E_ENROLLMENT_IN_PROGRESS одна регистрация.
Вы можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .
Код ID Сообщение об
ошибке

0x8018000A "idErrorMDMAlreadyEnrolled", // Это устройство

MENROLL_E_DEVICE_ALREADY_ENROLLED уже
зарегистрировано.
Вы можете
обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000D "idErrorMDMCertificateError", // Произошла

MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID ошибка
сертификата. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000E "idErrorAuthenticationFailure", // Возникла

MENROLL_E_PASSWORD_NEEDED проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x8018000F "idErrorAuthenticationFailure", // Возникла

MENROLL_E_WAB_ERROR проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
Код ID Сообщение об
ошибке

раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180010 "idErrorServerConnectivity", // Произошла

MENROLL_E_CONNECTIVITY ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x80180012 "idErrorMDMCertificateError", // Произошла

MENROLL_E_INVALIDSSLCERT ошибка
сертификата. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180013 "idErrorDeviceLimit", // Похоже, для этой

MENROLL_E_DEVICECAPREACHED учетной записи
слишком много
устройств или
пользователей.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x80180014 "idErrorMDMNotSupported", // Эта функция не

MENROLL_E_DEVICENOTSUPPORTED поддерживается.
Обратитесь к
системному
администратору с
кодом {0}ошибки .
Код ID Сообщение об
ошибке

0x80180015 "idErrorMDMNotSupported", // Эта функция не

MENROLL_E_NOTSUPPORTED поддерживается.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x80180016 "idErrorMDMRenewalRejected", // Сервер не принял

MENROLL_E_NOTELIGIBLETORENEW запрос. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180017 "idErrorMDMAccountMaintenance", // Служба находится

MENROLL_E_INMAINTENANCE в состоянии
обслуживания. Вы
можете
попытаться
сделать это позже
или обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180018 "idErrorMDMLicenseError", // Произошла

MENROLL_E_USERLICENSE ошибка с вашей
лицензией. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x80180019 "idErrorInvalidServerConfig", // Похоже, сервер

MENROLL_E_ENROLLMENTDATAINVALID настроен
неправильно. Вы
можете
попытаться
сделать это еще
Код ID Сообщение об
ошибке

раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

"rejectedTermsOfUse" "idErrorRejectedTermsOfUse" Ваша организация

требует, чтобы вы
согласились с
условиями
использования.
Повторите
попытку или
обратитесь к
специалисту
службы
поддержки за
дополнительными
сведениями.

0x801c0001 "idErrorServerConnectivity", // Произошла

DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x801c0002 "idErrorAuthenticationFailure", // Возникла

DSREG_E_DEVICE_AUTHENTICATION_ERROR проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
Код ID Сообщение об
ошибке

администратору с
кодом {0}ошибки .

0x801c0003 "idErrorAuthorizationFailure", // Этот пользователь

DSREG_E_DEVICE_AUTHORIZATION_ERROR не имеет прав на
регистрацию. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0006 "idErrorServerConnectivity", // Произошла

DSREG_E_DEVICE_INTERNALSERVICE_ERROR ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x801c000B "idErrorUntrustedServer", // Сервер, с

DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED которым
осуществляется
связь, не является
доверенным.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x801c000C "idErrorServerConnectivity", // Произошла

DSREG_E_DISCOVERY_FAILED ошибка при
взаимодействии с
сервером. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
Код ID Сообщение об
ошибке

системному
администратору с
кодом ошибки. {0}

0x801c000E "idErrorDeviceLimit", // Похоже, для этой

DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED учетной записи
слишком много
устройств или
пользователей.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x801c000F "idErrorDeviceRequiresReboot", // Для завершения

DSREG_E_DEVICE_REQUIRES_REBOOT регистрации
устройства
требуется
перезагрузка.

0x801c0010 "idErrorInvalidCertificate", // Похоже, у вас есть

DSREG_E_DEVICE_AIK_VALIDATION_ERROR недопустимый
сертификат.
Обратитесь к
системному
администратору с
кодом {0}ошибки .

0x801c0011 "idErrorAuthenticationFailure", // Возникла

DSREG_E_DEVICE_ATTESTATION_ERROR проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0012 "idErrorServerConnectivity", // Произошла

DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR ошибка при
взаимодействии с
сервером. Вы
Код ID Сообщение об
ошибке

можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом ошибки. {0}

0x801c0013 "idErrorAuthenticationFailure", // Возникла

DSREG_E_TENANTID_NOT_FOUND проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

0x801c0014 "idErrorAuthenticationFailure", // Возникла

DSREG_E_USERSID_NOT_FOUND проблема с
проверкой
подлинности
вашей учетной
записи или
устройства. Вы
можете
попытаться
сделать это еще
раз или
обратиться к
системному
администратору с
кодом {0}ошибки .

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Известные проблемы
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Команда Get внутри атомарной команды не

поддерживается
Команда Get внутри атомарной команды не поддерживается.

Приложения, установленные с помощью

классов WMI, не удаляются
Приложения, установленные с помощью классов WMI, не удаляются при удалении
учетной записи MDM с устройства.

Передача CDATA в SyncML не работает

Передача CDATA в данных в SyncML в ConfigManager и CSP не работает.

Параметры SSL на сервере IIS для SCEP

должны иметь значение "Игнорировать".
Параметр сертификата в разделе "Параметры SSL" на сервере IIS для SCEP должен
иметь значение "Игнорировать".
Регистрация MDM завершается сбоем на
устройстве Windows, когда трафик проходит
через прокси-сервер
Если устройство Windows настроено для использования прокси-сервера,
требующего проверки подлинности, регистрация завершается ошибкой. Чтобы
обойти эту проблему, пользователь может использовать прокси-сервер, который
не требует проверки подлинности, или удалить параметр прокси-сервера из
подключенной сети.

Сбой отмены регистрации, инициированный

сервером
Инициированное сервером отмена регистрации для устройства,
зарегистрированного путем добавления рабочей учетной записи, автоматически
не оставляет учетную запись MDM активной. Политики и ресурсы MDM по-
прежнему существуют, и клиент может продолжить синхронизацию с сервером.

Отмена регистрации удаленного сервера отключена для мобильных устройств,

зарегистрированных с помощью присоединения к Microsoft Entra. Он возвращает
на сервер сообщение об ошибке. Единственный способ удалить регистрацию для
мобильного устройства, присоединенного к Microsoft Entra, — это удаленное
удаление устройства.

Сертификаты, вызывающие проблемы с Wi-

Fi и VPN
При использовании ClientCertificateInstall для установки сертификатов в хранилище
устройств и пользовательского хранилища, а оба сертификата отправляются на
устройство в одной и той же полезной нагрузке MDM, сертификат,
предназначенный для хранилища устройств, также устанавливается в хранилище
пользователей. Эта двойная установка может вызвать проблемы с Wi-Fi или VPN
при выборе правильного сертификата для установки подключения. Мы работаем
над устранением этой проблемы.

Сведения о версии Windows 11

Сведения о версии программного обеспечения из
DevDetail/Ext/Microsoft/OSPlatform не соответствуют версии в разделе Параметры
в разделе System/About.

Несколько сертификатов могут привести к

Wi-Fi нестабильности подключения
Если в развертывании на устройстве подготовлено несколько сертификатов, а
профиль Wi-Fi не имеет строгих критериев фильтрации, при подключении к Wi-Fi
могут возникнуть сбои подключения. Решение заключается в том, чтобы убедиться,
что подготовленный профиль Wi-Fi имеет строгие критерии фильтрации, чтобы он
соответствовал только одному сертификату.

Предприятия, развертывающие проверку подлинности EAP на основе

сертификатов для VPN/Wi-Fi, могут столкнуться с ситуацией, когда существует
несколько сертификатов, соответствующих критериям по умолчанию для проверки
подлинности. Такая ситуация может привести к следующим проблемам:

Пользователю может быть предложено выбрать сертификат.

Неправильный сертификат может быть выбран автоматически и привести к
сбою проверки подлинности.

Развертывание, готовое к рабочей среде, должно иметь соответствующие сведения

о сертификате в составе развертываемого профиля. В следующих сведениях
объясняется, как создать или обновить XML-файл конфигурации EAP таким
образом, чтобы отфильтровывали посторонние сертификаты и можно было
использовать соответствующий сертификат для проверки подлинности.

Файл EAP XML должен быть обновлен соответствующими сведениями для вашей
среды. Эту задачу можно выполнить вручную, изменив приведенный ниже пример
XML-кода или используя пошаговое руководство по пользовательскому
интерфейсу. После обновления XML-файла EAP см. инструкции из MDM по
развертыванию обновленной конфигурации следующим образом:

Для Wi-Fi найдите <раздел EAPConfig> текущего XML-файла профиля WLAN

(это то, что вы указываете для узла WLanXml в Wi-Fi CSP). В этих тегах можно
найти полную конфигурацию EAP. Замените раздел eAPConfig <>
обновленным XML-кодом и обновите профиль Wi-Fi. Возможно, вам
потребуется ознакомиться с руководством mdm по развертыванию нового
Wi-Fi профиля.
Для VPN конфигурация EAP — это отдельное поле в конфигурации MDM.
Обратитесь к поставщику MDM, чтобы определить и обновить
 соответствующее поле.

Сведения о параметрах EAP см. в разделе Расширяемый протокол проверки

подлинности (EAP) для сетевого доступа.

Сведения о создании XML-файла EAP см. в разделе Конфигурация EAP.

Дополнительные сведения о расширенном использовании ключей см. в разделе

[Link] .

Сведения о добавлении расширенного использования ключа (EKU) в сертификат

см. в разделе [Link] .

В следующем списке описаны необходимые условия для использования

сертификата с EAP:

Сертификат должен иметь по крайней мере одно из следующих свойств EKU

(расширенное использование ключа):
Проверка подлинности клиента.
Как определено в RFC 5280, это свойство является четко определенным
идентификатором со значением [Link].[Link].2.
Любая цель.
EKU, определенный и опубликованный корпорацией Майкрософт, — это
четко определенный OID со значением [Link].[Link].12.1. Включение
этого идентификатора предполагает, что сертификат можно использовать
для любых целей. Преимущество этого EKU по сравнению с EKU всех
назначений заключается в том, что другие некритичные или
пользовательские EKU по-прежнему могут быть добавлены в сертификат
для эффективной фильтрации.
Все назначение.
Как определено в RFC 5280, если ЦС включает расширенное использование
ключей для удовлетворения некоторых потребностей приложения, но не
хочет ограничивать использование ключа, ЦС может добавить значение
расширенного использования ключа, равное 0. Сертификат с таким EKU
можно использовать для любых целей.
Сертификат пользователя или компьютера в клиенте связан с доверенным
корневым ЦС.
Пользователь или сертификат компьютера не завершает ни одну из проверок,
выполняемых хранилищем сертификатов CryptoAPI, и сертификат
соответствует требованиям политики удаленного доступа.
Пользователь или сертификат компьютера не завершает ни одну из проверок
идентификатора объекта сертификата, указанных в службе проверки
подлинности в Интернете (IAS)/Radius Server.
 Расширение Subject Alternative Name (SubjectAltName) в сертификате
содержит имя участника-пользователя (UPN) пользователя.

В следующем примере XML-кода описываются свойства ДЛЯ XML-кода TLS EAP,

включая фильтрацию сертификатов.

７ Примечание

Для профилей PEAP или TTLS XML-код TLS EAP внедряется в некоторые
элементы PEAP или TTLS.

XML

<EapHostConfig xmlns="[Link]
<EapMethod>
<Type xmlns="[Link]
<!--The above property defines the Method type for EAP, 13 means EAP TLS -
->

<VendorId
xmlns="[Link]
<VendorType
xmlns="[Link]
<AuthorId
xmlns="[Link]
<!--The 3 properties above define the method publishers, this is seen
primarily in 3rd party Vendor methods.-->
<!-- For Microsoft EAP TLS the value of the above fields will always be 0
-->
</EapMethod>
<!-- Now that the EAP Method is Defined we will go into the Configuration -
->
<Config xmlns="[Link]
<Eap
xmlns="[Link]
<Type>13</Type>
<EapType
xmlns="[Link]
<CredentialsSource>
<!-- Credential Source can be either CertificateStore or SmartCard -->
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
<!--SimpleCertSelection automatically selects a cert if there are
mutiple identical (Same UPN, Issuer, etc.) certs.-->
<!--It uses a combination of rules to select the right cert-->
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<!-- ServerValidation fields allow for checks on whether the server
being connected to and the server cert being used are trusted -->
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValid
ation>
<ServerNames/>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation
xmlns="[Link]
alse</PerformServerValidation>
<AcceptServerName
xmlns="[Link]
alse</AcceptServerName>
<TLSExtensions
xmlns="[Link]
<!-- For filtering the relevant information is below -->
<FilteringInfo
xmlns="[Link]
<CAHashList Enabled="true">
<!-- The above implies that you want to filter by Issuer Hash -->
<IssuerHash>ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
ff
<!-- Issuing certs thumbprint goes here-->
</IssuerHash>
<!-- You can add multiple entries and it will find the list of certs
that have at least one of these certs in its chain-->
</CAHashList>
<EKUMapping>
<!-- This section defines Custom EKUs that you may be adding-->
<!-- You do not need this section if you do not have custom EKUs -->
<!-- You can have multiple EKUs defined here and then referenced
below as shown -->
<EKUMap>
<EKUName>
<!--Add a friendly Name for an EKU here for example --
>ContostoITEKU</EKUName>
<EKUOID>
<!--Add the OID Value your CA adds to the certificate here, for
example -->[Link].[Link].1.15</EKUOID>
</EKUMap>
<!-- All the EKU Names referenced in the example below must first be
defined here
<EKUMap>
<EKUName>Example1</EKUName>
<EKUOID>[Link].3</EKUOID>

</EKUMap>
<EKUMap>
<EKUName>Example2</EKUName>
<EKUOID>[Link].[Link].2.1</EKUOID>
</EKUMap>
-->
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<!-- The above implies that you want certs with Client Authentication
EKU to be used for authentication -->
<EKUMapInList>
 <!-- This section implies that the certificate should have the
following custom EKUs in addition to the Client Authentication EKU -->
<EKUName>
<!--Use the name from the EKUMap Field above--
>ContostoITEKU</EKUName>
</EKUMapInList>
<!-- You can have multiple Custom EKUs mapped here, Each additional
EKU will be processed with an AND operand -->
<!-- For example, Client Auth EKU AND ContosoITEKU AND Example1 etc.
-->
<EKUMapInList>
<EKUName>Example1</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
<AllPurposeEnabled>true</AllPurposeEnabled>
<!-- Implies that a certificate with the EKU field = 0 will be
selected -->
<AnyPurposeEKUList Enabled="true"/>
<!-- Implies that a certificate with the EKU oid Value of
[Link].[Link].12.1 will be selected -->
<!-- Like for Client Auth you can also add Custom EKU properties with
AnyPurposeEKUList (but not with AllPurposeEnabled) -->
<!-- So here is what the above policy implies.
The certificate selected will have
Issuer Thumbprint = ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
ff ff ff
AND
((Client Authentication EKU AND ContosoITEKU) OR (AnyPurposeEKU) OR
AllPurpose Certificate)

Any certificate(s) that match these criteria will be utilised for

authentication
-->
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>

７ Примечание

EAP TLS XSD находится в папке

%systemdrive%\Windows\schemas\EAPMethods\eaptlsconnectionpropertiesv3.x
sd

Кроме того, для создания XML-файла конфигурации EAP можно использовать

следующую процедуру.

1. Выполните шаги 1–7 в конфигурации EAP.

2. В диалоговом окне Свойства Microsoft VPN SelfHost выберите Microsoft :
смарт-карта или другой сертификат в раскрывающемся меню (в этом
раскрывающемся меню выбран протокол EAP TLS.).

７ Примечание

Для PEAP или TTLS выберите соответствующий метод и продолжайте

следовать этой процедуре.

3. Нажмите кнопку Свойства под раскрывающимся меню.

4. В меню Смарт-карта или другие свойства сертификата нажмите кнопку

Дополнительно .
5. В меню Настройка выбора сертификата настройте фильтры при
необходимости.
6. Нажмите кнопку ОК , чтобы закрыть окна, чтобы вернуться к основному
[Link] диалоговому окку.

7. Закройте диалоговое окно rasphone.

8. Перейдите к процедуре конфигурации EAP из шага 9, чтобы получить

профиль TLS EAP с соответствующей фильтрацией.

７ Примечание

Вы также можете задать все остальные применимые свойства EAP с помощью

этого пользовательского интерфейса. Руководство по тому, что означают эти
свойства, можно найти в статье Расширяемый протокол проверки
подлинности (EAP) для сетевого доступа.
Клиент MDM немедленно возвращается на
сервер MDM после того, как клиент
обновляет URI канала WNS.
После того как клиент MDM автоматически обновит URI канала WNS, клиент MDM
сразу же вернется к серверу MDM. Отныне для каждой проверки клиента MDM
сервер MDM должен отправлять запрос GET для "ProviderID/Push/ChannelURI",
чтобы получить последний URI канала и сравнить его с существующим URI канала;
при необходимости обновите URI канала.

Сбой подготовки пользователей на

устройствах, присоединенных к Microsoft
Entra
Для устройств, присоединенных к Microsoft Entra, подготовка .\User ресурсов
завершается сбоем, если пользователь не вошел в систему как пользователь
Microsoft Entra. Если вы попытаетесь присоединиться к Microsoft Entra ID из
пользовательского интерфейса Settings>System>About , убедитесь, что выйдите из
системы и выполните вход с учетными данными Microsoft Entra, чтобы получить
конфигурацию организации с сервера MDM. Это поведение реализовано
намеренно.

Требования, которые следует учитывать для

VPN-сертификатов, также используемых для
проверки подлинности Kerberos
Если вы хотите использовать сертификат, используемый для проверки подлинности
VPN, также для проверки подлинности Kerberos (требуется, если требуется доступ к
локальным ресурсам с помощью NTLM или Kerberos), сертификат пользователя
должен соответствовать требованиям к сертификату смарт-карты, поле Subject
должно содержать доменное имя DNS в DN или SAN должно содержать полное
имя участника-пользователя, чтобы контроллер домена можно было найти из
регистраций DNS. Если сертификаты, которые не соответствуют этим требованиям,
используются для VPN, пользователи могут не получить доступ к ресурсам, для
которых требуется проверка подлинности Kerberos.
Агент управления устройствами для сброса
кнопок не работает
Агент dm для сброса кнопок сохраняет параметры реестра для сеансов OMA DM,
но удаляет расписания задач. Регистрация клиента сохраняется, но никогда не
синхронизируется со службой MDM.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Отключение от инфраструктуры
управления (отмена регистрации)
Статья • 08.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Процесс отключения выполняется локально пользователем, который использует

телефон, или удаленно ИТ-администратором с помощью сервера управления.
Процесс отключения, инициированный пользователем, аналогичен
первоначальному подключению, в котором его инициация выполняется из того же
расположения на панели управления настройками, что и создание рабочей
учетной записи. Пользователи предпочитают отключиться по ряду причин, таких
как покинуть компанию или получить новое устройство или больше не нуждаются
в доступе к бизнес-приложениям на старом устройстве. Когда ИТ-администратор
инициирует отключение, клиент регистрации выполняет отключение во время
следующего сеанса регулярного обслуживания. Администраторы предпочитают
отключить устройство пользователей после ухода из компании или из-за того, что
устройство регулярно не соответствует политике безопасности организации.

Во время отключения клиент выполняет следующие задачи:

Удаляет маркер корпоративного приложения, разрешающий установку и

запуск бизнес-приложений. Все бизнес-приложения, связанные с этим
корпоративным маркером, также удаляются.
Удаляет сертификаты, настроенные сервером MDM.
Прекращает применение политик параметров, применяемых
инфраструктурой управления.
Удаляет конфигурацию клиента управления устройствами и другую
конфигурацию параметров, добавленную сервером MDM, включая
запланированную задачу обслуживания. Клиент остается неактивным, если
пользователь не подключит его к инфраструктуре управления.
Сообщает об успешно инициировании разъединения с инфраструктурой
управления, если администратор инициировал процесс. В Windows
инициированное пользователем размыкание сообщается серверу в качестве
наилучшего.

Отключение, инициированное
пользователем
В Windows после подтверждения пользователем команды удаления учетной записи
и перед удалением учетной записи клиент MDM уведомит сервер MDM о том, что
учетная запись будет удалена. Это уведомление является оптимальным действием,
так как не встроена повторная попытка, чтобы убедиться, что уведомление
успешно отправлено на устройство.

Это действие использует универсальную функцию OMA DM 1226 для отправки

пользователю оповещения пользователя отмены регистрации MDM на сервер
MDM после того, как устройство примет запрос на отмену регистрации
пользователя, но перед удалением любых корпоративных данных. Сервер должен
установить ожидание, что отмена регистрации может быть успешной или
неудачной, и сервер может проверить, отменено ли устройство, либо проверив,
выполняется ли обратный вызов устройства в запланированное время, либо путем
отправки push-уведомления устройству, чтобы узнать, отвечает ли оно обратно.
Если сервер планирует отправить push-уведомление, это должно привести к
некоторой задержке, чтобы дать устройству время для завершения работы по
отмене регистрации.

７ Примечание

Отмена регистрации пользователя является стандартом OMA DM.

Дополнительные сведения о универсальном оповещении 1226 см. в
спецификации протокола управления устройствами OMA (OMA-TS-
DM_Protocol-V1_2_1-20080617-A), доступной на веб-сайте OMA .

Поставщик использует атрибут Type, чтобы указать тип универсального

оповещения. Для отмены регистрации MDM, инициированной устройством, тип
оповещения — [Link]:[Link].

После отмены регистрации все активные сеансы MDM OMA DM завершаются.

После этого DMClient запускает сеанс интеллектуальной аналитики, включая
отмену регистрации универсального оповещения пользователя в первом пакете,
который он отправляет на сервер.

В следующем примере показан первый пакет OMA DM, содержащий

универсальное оповещение. Дополнительные сведения о поддержке WP OMA DM
см. в статье о поддержке протокола OMA DM .

XML

<SyncML xmlns=&#39;SYNCML:SYNCML1.2&#39;>
<SyncHdr>
<VerDTD>1.2</VerDTD>
<VerProto>DM/1.2</VerProto>
<SessionID>1</SessionID>
 <MsgID>1</MsgID>
<Target>
<LocURI>{unique device ID}</LocURI>
</Target>
<Source>
<LocURI>[Link]
</Source>
</SyncHdr>
<SyncBody>
<Alert>
<CmdID>2</CmdID>
<Data>1226</Data> <!-- generic alert -->
<Item>
<Meta>
<Type xmlns="syncml:metinfo">
[Link]:[Link]</Type>
<Format xmlns= "syncml:metinfo">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>

<!-- other device information -->

<Replace>
<CmdID>2</CmdID>
<Item>
<Source>
<LocURI>./DevInfo/DevID</LocURI>
</Source>
<Data>{unique device ID}</Data>
</Item>
<Item>
...
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>

После отправки предыдущего пакета начинается процесс отмены регистрации.

Отключение, инициированное сервером

Когда сервер инициирует отключение, все проходящие сеансы для
идентификатора регистрации немедленно прерываются, чтобы избежать
взаимоблокировок. Сервер не получает ответ на отмену регистрации, вместо этого
отправляется универсальное уведомление об оповещении с messageid=1 помощью .

XML
 <Alert>
<CmdID>4</CmdID>
<Data>1226</Data>
<Item>
<Meta>
<Type
xmlns="syncml:metinf">[Link]:[Link]</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>

Отмена регистрации на странице

параметров рабочего доступа
Если пользователь зарегистрирован в MDM с помощью идентификатора Microsoft
Entra (присоединение к Microsoft Entra или путем добавления рабочей учетной
записи Майкрософт), учетная запись MDM отображается на странице Рабочий
доступ. Однако кнопка Отключить неактивна и недоступна. Пользователи могут
удалить эту учетную запись MDM, удалив связь Microsoft Entra с устройством.

Вы можете использовать страницу Рабочий доступ только для отмены регистрации

при следующих условиях:

Регистрация была выполнена с помощью массовой регистрации.

Регистрация была создана с помощью страницы "Рабочий доступ".

Отмена регистрации от присоединения к

Microsoft Entra
Когда пользователь регистрируется в MDM с помощью присоединения к Microsoft
Entra и более поздних версий регистрации отключается, нет никаких
предупреждений о том, что пользователь потеряет данные Windows Information
Protection (WIP). Сообщение об отключении не указывает на потерю данных WIP.
В процессе регистрации устройства в MDM с помощью присоединения к Microsoft
Entra, а затем удаленного отмены регистрации устройство может перейти в
состояние, в котором его необходимо переименовываться. При удаленной отмене
регистрации устройств в MDM связь Microsoft Entra также удаляется. Эта защита
применяется, чтобы не оставлять корпоративные устройства в неуправляемом
состоянии.

Перед удаленной отменой регистрации корпоративных устройств необходимо

убедиться, что на устройстве есть хотя бы один пользователь администратора,
который не является частью Идентификатора Microsoft Entra. В противном случае
после операции на устройстве не будет ни одного администратора.

На мобильных устройствах удаленная отмена регистрации для устройств,

присоединенных к Microsoft Entra, завершается сбоем. Чтобы удалить
корпоративное содержимое с этих устройств, рекомендуется удаленно очистить
устройство.

Отключение, запрошенное ИТ-

администратором
Сервер запрашивает отключение управления предприятием, выдавая на
устройство команду Exec OMA DM SyncML XML, используя узел отмены
регистрации поставщика службы конфигурации DMClient во время следующего
сеанса интеллектуальной разработки, инициированного клиентом. Тег Data в
команде Exec должен быть значением подготовленного идентификатора
поставщика сервера DM. Дополнительные сведения см. в статье Конфигурация
DMClient для предприятия.

После завершения отключения пользователь получает уведомление о том, что

устройство было отключено от управления предприятием.
Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Поставщик службы конфигурации
(CSP)
Дополнительные сведения о политиках поставщика служб конфигурации (CSP),
доступных на устройствах Windows.

Справочник по поставщикам служб конфигурации

ｉ ССЫЛКА

Сценарии поддержки

DDF-файлы

Поставщик служб конфигурации BitLocker

Протокол объявленной конфигурации

Поставщик служб конфигурации политики

ｉ ССЫЛКА

Поставщик служб конфигурации Policy

DDF-файл политик

CSP политики — начало

CSP политики — обновление

Сценарии поддержки политик CSP

ｉ ССЫЛКА

Политики ADMX

Политики, поддерживаемые групповой политикой

Политики, поддерживаемые HoloLens 2

Политики, поддерживаемые Microsoft Surface Hub

Добавление, удаление и скрытие
компонентов Windows
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

В Windows есть необязательные функции, которые не включены по умолчанию, но

вы можете добавить их позже. Эти функции называются "Функции по запросу" и
могут быть добавлены в любое время. Некоторые из этих функций являются
языковыми ресурсами, такими как языковые пакеты или поддержка рукописного
ввода. На устройствах, принадлежащих организации, вы можете управлять
доступом к этим другим функциям. Вы можете использовать групповые политики
или политики управления мобильными устройствами (MDM), чтобы скрыть
пользовательский интерфейс от пользователей, или использовать Windows
PowerShell для включения или отключения определенных функций.

Добавление или удаление компонентов с

помощью приложения "Параметры
Windows"
Откройте область Необязательные функции в приложении "Параметры" , выбрав
следующую ссылку:

Необязательные функции

или

1. Щелкните правой кнопкой мыши меню Пуск и выберите Выполнить.

2. В окне Выполнить рядом с полем Открыть:введите:

Консоль

ms-settings:optionalfeatures

и нажмите кнопку ОК.

или

1. Щелкните правой кнопкой мыши меню Пуск и выберите Параметры.

2. В левой области приложения "Параметры" выберите Система.

 3. В правой области Система выберите Необязательные функции.

７ Примечание

Шаги навигации, элементы пользовательского интерфейса и текст

пользовательского интерфейса в этом разделе основаны на последней версии
Windows 11 с установленным последним накопительным обновлением. Для
других версий Windows 11, которые поддерживаются в настоящее время или
не имеют последнего накопительного обновления, некоторые шаги
навигации, элементы пользовательского интерфейса и текст
пользовательского интерфейса могут отличаться. Например, область
Необязательные функции может находиться в разделе
Параметры>приложения.

Добавление функции
После открытия области Системные > необязательные функции добавьте
компонент, выполнив следующие действия:

1. Нажмите кнопку Просмотреть компоненты рядом с пунктом Добавить

необязательный компонент.

2. В открывавшемся окне Добавление дополнительного компонента :

a. Найдите нужную функцию для добавления, а затем выберите поле рядом с

функцией, чтобы добавить ее. Можно выбрать несколько функций.

b. Выбрав все необходимые функции, нажмите кнопку Далее .

c. Просмотрите выбранный список компонентов и нажмите кнопку Добавить

, чтобы добавить выбранные компоненты.

） Важно!

клиентский компонент Центра обновления Windows используется для

добавления дополнительных функций. Устройство должно быть подключено к
сети, чтобы клиентский компонент Центра обновления Windows могли скачать
содержимое, которое необходимо добавить.

Удаление компонента
После открытия области Системные > необязательные функции удалите
компонент, выполнив следующие действия:

1. В разделе Установленные компоненты найдите компонент, который

необходимо удалить, в поле Поиска установленных компонентов или
прокрутите список добавленных компонентов, пока не будет найден
компонент, который необходимо удалить.

2. После того как функция, которую необходимо удалить, будет найдена,

выберите компонент, чтобы развернуть его, а затем нажмите кнопку Удалить .

Использование групповой политики или

политик MDM для скрытия функций
Windows
По умолчанию ОС может отображать функции Windows и разрешать
пользователям добавлять и удалять эти необязательные приложения и
компоненты. Чтобы скрыть функции Windows на пользовательских устройствах,
можно использовать групповую политику или поставщик MDM, например
Microsoft Intune.

Групповая политика
Если вы используете User Configuration\Administrative Template\Control
Panel\Programs\Hide "Windows Features" групповую политику, используйте политику.

По умолчанию для этой политики может быть задано значение Не настроено, что
означает, что пользователи могут добавлять или удалять функции. Если этот
параметр включен, страница параметров для добавления дополнительных
функций будет скрыта на устройстве.

Вы не можете использовать групповую политику для отключения определенных

функций Windows. Если вы хотите отключить определенные функции, используйте
Windows PowerShell.

Если вы хотите скрыть всю функцию "Приложения " в приложении "Параметры",

используйте User Configuration\Administrative Template\Control Panel\Programs\Hide
"Programs and Features" page политику.

MDM
С помощью Microsoft Intune можно использовать административные шаблоны или
каталог параметров для скрытия функций Windows.

Если вы хотите скрыть всю функцию "Приложения" в приложении "Параметры",

можно использовать политику конфигурации на Intune зарегистрированных
устройствах. Дополнительные сведения о параметрах, которые можно настроить,
см. в разделе Ограничения устройств панель управления и Параметры в Microsoft
Intune.

Использование Windows PowerShell для

отключения определенных функций
Чтобы отключить определенные функции, используйте командлет Windows
PowerShell Disable-WindowsOptionalFeature.

７ Примечание

Не существует групповой политики, которая отключает определенные

функции Windows.

Чтобы автоматизировать отключение определенных функций, создайте

запланированную задачу для выполнения скрипта PowerShell. Дополнительные
сведения о планировщике задач Windows см. в разделе Планировщик задач для
разработчиков.

Microsoft Intune также могут выполнять скрипты PowerShell. Дополнительные

сведения см. в статье Использование сценариев PowerShell на клиентских
устройствах Windows в Intune.

Чтобы включить определенные функции, используйте командлет Enable-

WindowsOptionalFeature .

Еще один полезный командлет PowerShell — Get-WindowsOptionalFeature.

Используйте этот командлет для просмотра сведений о дополнительных функциях
в текущей ОС или подключенном образе. Этот командлет возвращает текущее
состояние функций и указывает, может ли потребоваться перезапуск при
изменении состояния.

Связанное содержимое
Общие сведения о функциях по запросу.
 Доступные функции по запросу.
Функции языка и региона по запросу (FOD).

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Средства Windows
Статья • 02.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Средства Windows — это папка на панели управления Windows 11. Эта папка
содержит средства для системных администраторов и опытных пользователей.

Папка "Инструменты Windows"

На следующем рисунке показана папка Средства Windows в Windows 11:

Средства в этой папке зависят от выпуска Windows.

 

Связанные статьи
Средство просмотра диагностических данных

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Использование быстрой поддержки
для помощи пользователям
Статья • 15.10.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Быстрая поддержка — это приложение, которое позволяет пользователю

поделиться своим устройством с Windows или macOS с другим пользователем
через удаленное подключение. Сотрудники службы поддержки могут использовать
его для удаленного подключения к устройству пользователя, а затем просмотра его
отображения, создания заметок или получения полного контроля. Таким образом,
они могут устранять неполадки, диагностировать технологические проблемы и
предоставлять инструкции пользователям непосредственно на их устройствах.

） Важно!

Узнайте, как защитить себя от мошенничества в службе технической

поддержки . Аферы технической поддержки являются отраслевой
проблемой, когда мошенники используют тактику запугивания, чтобы
обмануть вас в ненужные службы технической поддержки. Разрешить
помощнику подключаться к устройству только в том случае, если вы
инициировали взаимодействие, связавшись с служба поддержки Майкрософт
или сотрудником ИТ-службы напрямую.

Если вы или кто-то, кого вы знаете, пострадали от мошенничества в службе

технической поддержки, используйте форму мошенничества в службе
технической поддержки , чтобы сообщить о ней.

Перед началом работы

Все, что вам нужно, чтобы использовать Быстрая поддержка, это подходящее
подключение к сети и Интернету. Роли, разрешения или политики не используются.
Ни один из сторон не должен находиться в домене. Помощник должен иметь
учетную запись Майкрософт. Для общего доступа не требуется проходить проверку
подлинности.

Authentication
Помощник может пройти проверку подлинности при входе с помощью учетной
записи Майкрософт (MSA) или Microsoft Entra ID. Локальная проверка подлинности
Active Directory в настоящее время не поддерживается.

Вопросы, связанные с сетями

Быстрая поддержка обменивается данными через порт 443 (https) и подключается
к службе удаленной помощи по адресу
[Link] с помощью протокола

удаленного рабочего стола (RDP). Трафик шифруется с помощью TLS 1.2.

Помощник и общий ресурс должны иметь возможность связаться с этими
конечными точками через порт 443:

ﾉ Развернуть таблицу

Домен или имя Описание

*.[Link] Служба ARIA для предоставления

пользователям специальных
возможностей.

*.[Link] Требуется для Службы коммуникации

Azure.

*.[Link] Необходимые диагностические данные

для клиентов и служб, используемых
Быстрая поддержка.

*.[Link] Требуется для Службы коммуникации

Azure.

*.[Link] Требуется для входа в приложение (MSA).

*.[Link] Требуется для инициализации телеметрии

и удаленной службы.

*.[Link] Требуется для Службы коммуникации

Azure.

*.[Link] Основная конечная точка, используемая

для Быстрая поддержка приложения

*.[Link] Используется для Службы коммуникации

Azure для чата и подключения между
сторонами.

[Link] Требуется для входа в приложение

(Microsoft Entra ID).

[Link] Используется для Службы коммуникации

Azure для чата и подключения между
 Домен или имя Описание

сторонами.

[Link] Требуется для службы входа Майкрософт.

[Link] Используется для Службы коммуникации

Azure для чата и подключения между
сторонами.

[Link] Требуется для Службы коммуникации

Azure.

） Важно!

Быстрая поддержка использует элемент управления браузером WebView2

Edge. Список URL-адресов доменов, которые необходимо добавить в список
разрешений, чтобы убедиться, что элемент управления браузера Edge
WebView2 можно установить и обновить, см. в разделе Список разрешенных
для конечных точек Microsoft Edge.

Работа с Быстрая поддержка

Сотрудники службы поддержки или пользователь могут начать сеанс Быстрая
поддержка.

1. Сотрудники службы поддержки ("помощник") и пользователь ("общий

доступ") могут начать Быстрая поддержка любым из нескольких способов:

Введите Быстрая поддержка в поиске Windows и нажмите клавишу

ВВОД.
Нажмите клавиши CTRL + Windows + Q.
Для пользователей Windows 10 в меню Пуск выберите Стандартные
windows, а затем выберите Быстрая поддержка.
Для пользователей Windows 11 в меню Пуск выберите Все приложения,
а затем Быстрая поддержка.

2. В разделе Кому-то помочь помощник нажимает кнопку Кому-то помочь .

Помощнику может быть предложено выбрать свою учетную запись или
войти. Быстрая поддержка создает код безопасности с ограниченным
временем.
3. Помощник предоставляет пользователю код безопасности по телефону или в
системе обмена сообщениями.
 4. Общий доступ вводит предоставленный код в поле Код безопасности из
помощник в разделе Получить справку, а затем выбирает Отправить.
5. Общий доступ получает диалоговое окно с запросом разрешения на
предоставление общего доступа к экрану. Общий доступ предоставляет
разрешение, нажав кнопку Разрешить , и сеанс совместного использования
экрана будет установлен.
6. После установки сеанса совместного использования экрана помощник может
при необходимости запросить управление экраном общего доступа, выбрав
Элемент управления запросом. Затем общий пользователь получает
диалоговое окно с запросом разрешения илизапрета запроса на управление.

７ Примечание

Если помощник и общий доступ используют разные раскладки клавиатуры или

параметры мыши, во время сеанса используются те из общего доступа.

Принцип работы
1. И помощник, и общий доступ начинают Быстрая поддержка.
2. Вспомогатель выбирает Help someone (Кому-то помочь). Быстрая поддержка
на стороне помощника обращается к службе удаленной помощи для
получения кода сеанса. Сеанс чата RCC устанавливается, и экземпляр
вспомогательного Быстрая поддержка присоединяется к нему. Затем
вспомогающая предоставляет код для общего доступа.
3. После того как общий доступ введет код в своем приложении Быстрая
поддержка, Быстрая поддержка использует этот код, чтобы связаться со
службой удаленной помощи и присоединиться к конкретному сеансу.
Экземпляр Быстрая поддержка общего доступа присоединяется к сеансу чата
RCC.
4. Пользователю общего доступа будет предложено подтвердить разрешение
помощнику поделиться своим рабочим столом с помощником.
5. Быстрая поддержка запускает управление RDP и подключается к службе
ретранслятора RDP.
6. Протокол RDP передает видео вспомогательному компоненту по протоколу
HTTPS (порт 443) через службу ретрансляции RDP для вспомогательного
элемента управления RDP. Входные данные передаются от вспомогательного
средства общему доступу через службу ретранслятора RDP.
 

Данные и конфиденциальность
Корпорация Майкрософт регистрирует небольшой объем данных сеанса для
мониторинга работоспособности Быстрая поддержка системы. Эти данные
включают в себя следующие сведения:

Время начала и окончания сеанса

Ошибки, связанные с самим Быстрая поддержка, например непредвиденные
отключения
Функции, используемые в приложении, такие как только просмотр, заметки и
приостановка сеанса

７ Примечание

Журналы не создаются ни на устройстве помощника, ни на устройстве общего

доступа. Корпорация Майкрософт не может получить доступ к сеансу или
просмотреть действия или нажатия клавиш, которые происходят в сеансе.

Общий ресурс видит только сокращенную версию имени помощника (имя,

последний инициал) и никаких других сведений о них. Корпорация
Майкрософт не хранит данные о sharer или помощнике дольше трех дней.

В некоторых сценариях помощнику требуется, чтобы общий доступ отвечал на

запросы разрешений приложения (контроль учетных записей пользователей), но в
противном случае помощник имеет те же разрешения, что и общий доступ на
устройстве.

Установка Быстрая поддержка в Windows

Установка Быстрая поддержка из Microsoft Store

 1. Скачайте новую версию Быстрая поддержка, посетив Microsoft Store .
2. В Microsoft Store выберите Просмотреть в магазине, а затем установите
Быстрая поддержка. После завершения установки измените значение
Установить на Открыть.

Дополнительные сведения см. в статье Установка Быстрая поддержка .

Установка Быстрая поддержка с помощью Intune

Сведения о развертывании Быстрая поддержка с помощью Intune см. в статье
Добавление приложений Microsoft Store в Microsoft Intune.

Microsoft Edge WebView2

Microsoft Edge WebView2 — это элемент управления разработки, который
использует Microsoft Edge в качестве обработчика отрисовки для отображения
веб-содержимого в собственных приложениях. Новое приложение Быстрая
поддержка разрабатывается с помощью этого элемента управления, что делает его
необходимым компонентом для работы приложения.

Для Windows 11 пользователей этот элемент управления среды выполнения

является встроенным.
Для Windows 10 пользователей приложение Магазина Быстрая поддержка
обнаруживает наличие WebView2 при запуске, и при необходимости
устанавливает его автоматически. Если отображается сообщение об ошибке
или запрос, указывающий на отсутствие WebView2, его необходимо
установить отдельно.

Дополнительные сведения о распространении и установке Microsoft Edge

WebView2 см. в статье Распространение приложения и среды выполнения
WebView2.

Установка Быстрая поддержка в macOS

Быстрая поддержка для macOS доступна для взаимодействия с служба поддержки
Майкрософт. Если продукты Майкрософт на вашем устройстве macOS не работают
должным образом, обратитесь за помощью к служба поддержки Майкрософт .
Агент служба поддержки Майкрософт поможет вам скачать и установить его на
устройстве.

７ Примечание
 Быстрая поддержка для macOS недоступны вне служба поддержки
Майкрософт взаимодействия.

Отключение Быстрая поддержка в

организации
Если ваша организация использует другое средство удаленной поддержки,
например Удаленная помощь , отключите или удалите Быстрая поддержка, если
оно не используется в вашей среде. Это не позволит гостям использовать Быстрая
поддержка для получения доступа к устройствам в вашей организации.

Отключение Быстрая поддержка

Чтобы отключить Быстрая поддержка, блокируйте трафик к конечной
точке [Link] . Это основная
конечная точка, используемая Быстрая поддержка для создания сеанса. После
блокировки Быстрая поддержка не может использоваться для получения помощи
или помощи.

７ Примечание

Блокировка конечной точки нарушит функциональность Удаленная помощь,

так как она использует эту конечную точку для работы.

Удаление Быстрая поддержка

Удаление с помощью PowerShell

Выполните следующую команду PowerShell от имени администратора:

Get-AppxPackage -Name [Link] | Remove-AppxPackage -

AllUsers

Удаление с помощью параметров Windows

Перейдите в раздел Параметры>Приложения>Установленные приложения>

Быстрая поддержка > нажмите кнопку с многоточием (...), а затем выберите
Удалить.
Сообщить о нарушении
Перед присоединением к сеансу важно знать, к кому вы подключаетесь. Любой
пользователь, который контролирует ваше устройство, может выполнять действия
на вашем устройстве и потенциально устанавливать вредоносные приложения или
выполнять другие действия, которые могут повредить ваше устройство.

Следуйте приведенным ниже рекомендациям по использованию Быстрая

поддержка или любого программного обеспечения удаленного рабочего стола.

Никогда не разрешайте подключение к устройству пользователем,

утверждающим, что это "ИТ-поддержка", если вы не инициировали
взаимодействие с ним.
Не предоставляйте доступ никому, кто утверждает, что у вас есть срочная
потребность в доступе к вашему устройству.
Не делитесь учетными данными с веб-сайтами или приложениями.

７ Примечание

Корпорация Майкрософт никогда не свяжется с вами с помощью

незапрошенной электронной почты, телефонных звонков или других
способов, чтобы запросить доступ к вашему устройству. Корпорация
Майкрософт запрашивает доступ к вашему устройству только в том случае,
если вы связались с нами и напрямую запросили помощь в решении
возникшей проблемы. Если вам нужна поддержка клиентов от корпорации
Майкрософт, посетите страницу служба поддержки Майкрософт .

Если вы подозреваете, что пользователь, подключающийся к вашему устройству,

является вредоносным, немедленно отключитесь от сеанса и сообщите о проблеме
местным органам власти и (или) любым соответствующим ИТ-членам в вашей
организации.

Если вы или кто-то, кого вы знаете, пострадали от мошенничества в службе

технической поддержки, используйте форму мошенничества в службе технической
поддержки , чтобы сообщить о ней.

Дальнейшие действия
Если у вас возникли проблемы, вопросы или предложения по Быстрая поддержка,
свяжитесь с нами с помощью приложения "Центр отзывов ".
Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Подключение к удаленному
устройству, присоединенное к
Microsoft Entra
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Windows поддерживает удаленные подключения к устройствам, присоединенным к

Active Directory, а также устройствам, присоединенным к Microsoft Entra ID с
помощью протокола удаленного рабочего стола (RDP).

Начиная с Windows 10 версии 1809, вы можете использовать биометрические

данные для проверки подлинности в сеансе удаленного рабочего стола.
Начиная с Windows 10/11 с установленным обновлением 2022-10, вы можете
использовать проверку подлинности Microsoft Entra для подключения к
удаленному устройству Microsoft Entra.

Предварительные условия
Оба устройства (локальное и удаленное) должны работать под управлением
поддерживаемой версии Windows.
На удаленном устройстве должен быть выбран параметр Подключиться к
другому компьютеру и использовать его с другого устройства с помощью
приложения "Удаленный рабочий стол" в разделе
Параметры>Системный>удаленный рабочий стол.
Рекомендуется выбрать параметр Требовать, чтобы устройства
использовали проверку подлинности на уровне сети для подключения .
Если пользователь, присоединивший устройство к Microsoft Entra ID, является
единственным, кто собирается подключиться удаленно, другая настройка не
требуется. Чтобы разрешить удаленное подключение к устройству
нескольким пользователям или группам, необходимо добавить пользователей
в группу "Пользователи удаленного рабочего стола" на удаленном устройстве.
Убедитесь, что функция Remote Credential Guard отключена на устройстве,
используемом для подключения к удаленному устройству.

Подключение с помощью проверки

подлинности Microsoft Entra
Проверку подлинности Microsoft Entra можно использовать в следующих
операционных системах для локального и удаленного устройства:

Windows 11 с установленными накопительными обновлениями 2022–10 для

Windows 11 (KB5018418) или более поздней версии.
Windows 10 версии 20H2 или более поздней с установленными
накопительными обновлениями 2022-10 для Windows 10 (KB5018410) или
более поздней версии.
Windows Server 2022 с установленным накопительным обновлением 2022-10
для серверной операционной системы Майкрософт (KB5018421) или более
поздней версии.

Для присоединения локального устройства к домену или идентификатору Microsoft

Entra не требуется. В результате этот метод позволяет подключиться к удаленному
устройству, присоединенного к Microsoft Entra, из:

Присоединенное к Microsoft Entra устройство или устройство с гибридным

присоединением к Microsoft Entra .
Устройство, присоединенное к Active Directory.
Устройство рабочей группы.

Проверка подлинности Microsoft Entra также может использоваться для

подключения к устройствам с гибридным присоединением к Microsoft Entra.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия:

Запустите подключение к удаленному рабочему столу из Поиска Windows

или запустив [Link] .

Выберите Использовать веб-учетную запись для входа на удаленный

компьютер на вкладке Дополнительно . Этот параметр эквивалентен
свойству enablerdsaadauth RDP. Дополнительные сведения см. в разделе
Поддерживаемые свойства RDP в службах удаленных рабочих столов.

Укажите имя удаленного компьютера и нажмите кнопку Подключить.

７ Примечание

IP-адрес нельзя использовать, если используется параметр

Использовать учетную запись веб-сайта для входа на удаленный
компьютер . Имя должно соответствовать имени узла удаленного
устройства в идентификаторе Microsoft Entra и быть адресируемым по
сети и разрешаться в IP-адрес удаленного устройства.
 При запросе учетных данных укажите имя пользователя в user@[Link]
формате.

После этого вам будет предложено разрешить подключение к удаленному

рабочему столу при подключении к новому компьютеру. Microsoft Entra
запоминает до 15 узлов в течение 30 дней, прежде чем снова появится
запрос. Если вы видите это диалоговое окно, выберите Да , чтобы
подключиться.

） Важно!

Если ваша организация настроена и использует условный доступ Microsoft

Entra, устройство должно соответствовать требованиям условного доступа,
чтобы разрешить подключение к удаленному компьютеру. Политики
условного доступа с элементами управления предоставлением и сеансами
могут применяться к приложению Microsoft Remote Desktop (a4a365df-50f1-
4397-bc59-1a1564b8bb9c) для управляемого доступа.

Отключение при блокировке сеанса

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры
проверки подлинности Microsoft Entra или методы проверки подлинности без
пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки
подлинности означает, что пользователи не могут разблокировать свои экраны в
удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью
действия пользователя или системной политики сеанс отключается, а служба
отправляет пользователю сообщение о том, что он был отключен.

Отключение сеанса также гарантирует, что при перезапуске подключения после

периода бездействия идентификатор Microsoft Entra повторно оценивает
применимые политики условного доступа.

Подключение без проверки подлинности

Microsoft Entra
По умолчанию RDP не использует проверку подлинности Microsoft Entra, даже если
удаленный компьютер поддерживает ее. Этот метод позволяет подключиться к
удаленному устройству, присоединенного к Microsoft Entra, из:
 Присоединенное к Microsoft Entra устройство или устройство с гибридным
присоединением к Microsoft Entra с Windows 10 версии 1607 или более
поздней.
Зарегистрированное устройство Microsoft Entra с windows 10 версии 2004 или
более поздней.

７ Примечание

Локальное и удаленное устройство должны находиться в одном клиенте

Microsoft Entra. Гости Microsoft Entra B2B не поддерживаются для удаленного
рабочего стола.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия:

Запустите подключение к удаленному рабочему столу из Поиска Windows

или запустив [Link] .
Укажите имя удаленного компьютера.
При запросе учетных данных укажите имя пользователя в формате
user@[Link] или AzureAD\user@[Link] .

 Совет

Если указать имя пользователя в domain\user формате, может появиться

сообщение об ошибке, указывающее, что попытка входа завершилась
ошибкой с сообщением Удаленный компьютер присоединен к Microsoft
Entra. Если вы входите в рабочую учетную запись, попробуйте использовать
рабочий адрес электронной почты.

７ Примечание

Для устройств под управлением Windows 10 версии 1703 или более ранней
пользователь должен сначала войти на удаленное устройство перед попыткой
удаленных подключений.

Поддерживаемые конфигурации
В этой таблице перечислены поддерживаемые конфигурации для удаленного
подключения к устройству, присоединенного к Microsoft Entra, без использования
проверки подлинности Microsoft Entra:
 ﾉ Развернуть таблицу

Критерии Клиентская Поддерживаемые учетные

операционная данные
система

RDP с зарегистрированного Windows 10 версии Пароль, смарт-карта

устройства Microsoft Entra 2004 или более
поздней

RDP с устройства, Windows 10 Пароль, смарт-карта, доверие

присоединенного к Microsoft версии 1607 или сертификатов Windows Hello
Entra более поздней для бизнеса

RDP с устройства с гибридным Windows 10 Пароль, смарт-карта, доверие

присоединением к Microsoft версии 1607 или сертификатов Windows Hello
Entra более поздней для бизнеса

７ Примечание

Если клиент RDP работает под управлением Windows Server 2016 или Windows
Server 2019, чтобы иметь возможность подключаться к устройствам,
присоединенным к Microsoft Entra, он должен разрешить запросы проверки
подлинности PKU2U на основе шифрования открытого ключа использовать
сетевые удостоверения.

７ Примечание

Когда группа Microsoft Entra добавляется в группу "Пользователи удаленного

рабочего стола" на устройстве с Windows, она не учитывается, когда
пользователь, принадлежащий к группе Microsoft Entra, входит в систему через
протокол RDP, что приводит к сбою при установке удаленного подключения. В
этом сценарии проверка подлинности на уровне сети должна быть отключена,
чтобы разрешить подключение.

Добавление пользователей в группу

"Пользователи удаленного рабочего стола"
Группа "Пользователи удаленного рабочего стола" используется для
предоставления пользователям и группам разрешений на удаленное подключение
к устройству. Пользователей можно добавить вручную или с помощью политик
MDM:

Добавление пользователей вручную:

Вы можете указать отдельные учетные записи Microsoft Entra для удаленных

подключений, выполнив следующую команду, где <userUPN> — это имя
участника-пользователя, например user@[Link] :

Командная строка Windows

net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

Чтобы выполнить эту команду, необходимо быть членом локальной группы

администраторов. В противном случае может появиться сообщение об
ошибке, похожее на There is no such global user or group: <name> .

Добавление пользователей с помощью политики:

Начиная с Windows 10 версии 2004, вы можете добавлять пользователей к

пользователям удаленного рабочего стола с помощью политик MDM, как
описано в разделе Управление локальной группой администраторов на
устройствах, присоединенных к Microsoft Entra.

Связанные статьи
Использование удаленного рабочего стола

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Создание обязательных профилей
пользователей
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Обязательный профиль пользователя — это перемещаемый профиль

пользователя, предварительно настроенный администратором для указания
параметров для пользователей. Параметры, обычно определяемые в обязательном
профиле, включают (но не ограничиваются ими) значки, которые отображаются на
рабочем столе, в фоновом режиме рабочего стола, пользовательские настройки на
панели управления, параметры принтера и многое другое. Изменения
конфигурации, внесенные во время сеанса пользователя, которые обычно
сохраняются в перемещаемом профиле пользователя, не сохраняются при
назначении обязательного профиля пользователя.

Обязательные профили пользователей полезны, когда важна стандартизация,

например, на устройстве киоска или в образовательных параметрах. Только
системные администраторы могут вносить изменения в обязательные профили
пользователей.

Если сервер, на котором хранится обязательный профиль, недоступен, например

если пользователь не подключен к корпоративной сети, пользователи с
обязательными профилями могут войти с локально кэшируемой копией
обязательного профиля, если она существует. В противном случае пользователь
войдет в систему с помощью временного профиля.

Профили пользователей становятся обязательными, когда администратор

переименовывает [Link] файл (куст реестра) профиля каждого пользователя в
файловой системе сервера профилей с [Link] на [Link] . Расширение .man
приводит к тому, что профиль пользователя будет доступен только для чтения.

Расширение профиля для каждой версии

Windows
Имя папки, в которой хранится обязательный профиль, должно использовать
правильное расширение для операционной системы, к которой оно применяется.
В следующей таблице перечислены правильные расширения для каждой версии
операционной системы.

ﾉ Развернуть таблицу
 Версия операционной системы Версия операционной системы Расширение
клиента сервера профиля

Windows XP Windows Server 2003 нет

Windows Server 2003 R2

Windows Vista Windows Server 2008 Версия 2

Windows 7 Windows Server 2008 R2

Windows 8 Windows Server 2012 Версия 3

Windows 8.1 Windows Server 2012 R2 версия 4

Windows 10 версии 1507 и 1511 Н/Д v5

Windows 10 версии 1607 и более Windows Server 2016 и Windows v6

поздних Server 2019

Дополнительные сведения см. в разделах Развертывание перемещаемых профилей

пользователей, Приложение B и Управление версиями перемещаемых профилей
пользователей в Windows 10 и Windows Server Technical Preview.

Обязательный профиль пользователя

Сначала создайте профиль пользователя по умолчанию с нужными настройками,
запустите Sysprep с параметром CopyProfile в файле ответов значение True ,
скопируйте настроенный профиль пользователя по умолчанию в сетевую папку, а
затем переименуйте профиль, чтобы сделать его обязательным.

Создание профиля пользователя по умолчанию

1. Войдите на компьютер под управлением Windows в качестве члена локальной
группы администраторов. Не используйте учетную запись домена.

７ Примечание

Используйте лабораторию или дополнительный компьютер с чистой

установкой Windows, чтобы создать профиль пользователя по
умолчанию. Не используйте компьютер, необходимый для бизнеса (то
есть рабочий компьютер). Этот процесс удаляет все учетные записи
домена с компьютера, включая папки профилей пользователей.

2. Настройте параметры компьютера, которые необходимо включить в профиль

пользователя. Например, можно настроить параметры фона рабочего стола,
 удалить приложения по умолчанию, установить бизнес-приложения и т. д.

７ Примечание

В отличие от предыдущих версий Windows, нельзя применить макет

начального экрана и панели задач с помощью обязательного профиля.
Альтернативные методы настройки меню "Пуск" и панели задач см. в
разделе Связанные разделы.

3. Создайте файл ответов ([Link]), который задает для параметра

CopyProfileзначение True. Параметр CopyProfile заставляет Sysprep
скопировать папку профиля текущего вошедшего пользователя в профиль
пользователя по умолчанию. Для создания файла [Link] можно
использовать диспетчер системных образов Windows, который входит в пакет
средств оценки и развертывания Windows (ADK).

4. Удалите любое приложение, которое вам не нужно или не нужно, с

компьютера. Примеры удаления приложения Windows см. в разделе Remove-
AppxProvisionedPackage. Список доступных для удаления приложений см. в
статье Общие сведения о различных приложениях, включенных в Windows.

７ Примечание

Настоятельно рекомендуется удалить ненужные или ненужные

приложения, так как это ускорит вход пользователей.

5. В командной строке введите следующую команду и нажмите клавишу ВВОД.

Командная строка Windows

sysprep /oobe /reboot /generalize /unattend:[Link]

([Link] находится по адресу : C:\Windows\System32\sysprep . По умолчанию

Sysprep ищет [Link] в той же папке.)

 Совет

Если появляется сообщение об ошибке "Sysprep не удалось проверить

установку Windows", откройте
%WINDIR%\System32\Sysprep\Panther\[Link] и найдите следующую

запись:
 Используйте командлет Remove-AppxProvisionedPackage и Remove-
AppxPackage -AllUsers в Windows PowerShell, чтобы удалить приложение,
указанное в журнале.

6. Процесс sysprep перезагружает компьютер и запускается на экране первого

запуска. Завершите настройку, а затем войдите на компьютер с помощью
учетной записи с правами локального администратора.

7. Щелкните правой кнопкой мыши Пуск, выберите Панель управления

(просмотр по большим или маленьким значкам)>>Расширенные системные
параметры и выберите Параметры в разделе Профили пользователей.

8. В разделе Профили пользователей выберите Профиль по умолчанию, а

затем нажмите кнопку Копировать в.

9. В разделе Копировать в в разделе Разрешено использовать выберите

Изменить.
 10. В поле Выбор пользователя или группы в поле Введите имя объекта для
выбора введите everyone , выберите Проверить имена, а затем нажмите
кнопку ОК.

11. В поле Копировать в поле Копировать профиль введите путь и имя папки, в
которой требуется сохранить обязательный профиль. Имя папки должно
использовать правильное расширение для версии операционной системы.
Например, имя папки должно заканчиваться .v6 на , чтобы
идентифицировать ее как папку профиля пользователя для Windows 10
версии 1607 или более поздней.

Если устройство присоединено к домену и вы вошли с учетной записью,

которая имеет разрешения на запись в общую папку в сети, можно
ввести путь к общей папке.

Если устройство не присоединено к домену, вы можете сохранить

профиль локально, а затем скопировать его в общую папку.

12. Нажмите кнопку ОК , чтобы скопировать профиль пользователя по

умолчанию.

Как сделать профиль пользователя обязательным

 1. В проводнике откройте папку, в которой хранится копия профиля.

７ Примечание

Если папка не отображается, щелкните

Просмотр>параметров>Изменить папку и параметры поиска. На
вкладке Вид выберите Показать скрытые файлы и папки, снимите
флажок Скрыть защищенные системные файлы, нажмите кнопку Да ,
чтобы подтвердить отображение файлов операционной системы, а затем
нажмите кнопку ОК , чтобы сохранить изменения.

2. Переименуйте в [Link] [Link] .

Проверка правильности владельца для обязательных

папок профиля
1. Откройте свойства папки profile.v6.
2. Перейдите на вкладку Безопасность и выберите Дополнительно.
3. Проверьте владельца папки. Это должна быть встроенная группа
администраторов . Чтобы изменить владельца, необходимо быть членом
группы администраторов на файловом сервере или иметь право "Задать
владельца" на сервере.
4. При настройке владельца выберите Заменить владельца на вложенных
объектах и объектах , прежде чем нажать кнопку ОК.

Применение обязательного профиля

пользователя к пользователям
В домене вы изменяете свойства учетной записи пользователя, указывая на
обязательный профиль в общей папке, размещенной на сервере.

Применение обязательного профиля пользователя к

пользователям
1. Откройте раздел Пользователи и компьютеры Active Directory ([Link]).
2. Перейдите к учетной записи пользователя, которой требуется назначить
обязательный профиль.
3. Щелкните правой кнопкой мыши имя пользователя и откройте пункт
Свойства.
 4. На вкладке Профиль в поле Путь к профилю введите путь к общей папке без
расширения. Например, если имя папки — \\server\share\profile.v6 , введите
\\server\share\profile .

5. Нажмите ОК.

Для репликации этого изменения на все контроллеры домена может

потребоваться некоторое время.

Применение политик для улучшения

времени входа
Когда для пользователя настроен обязательный профиль, Windows запускается так,
как если бы это был первый вход при каждом входе пользователя. Чтобы повысить
производительность входа для пользователей с обязательными профилями
пользователей, примените параметры групповой политики, показанные в
следующей таблице.

ﾉ Развернуть таблицу

Параметр групповой политики Windows Windows

10 Server 2016

> Конфигурация компьютера Административные шаблоны > ✅ ✅

Системный > вход >в систему Показать анимацию первого
входа = Отключено

> Конфигурация компьютера Административные шаблоны > ✅ ✅

Windows Components > Allow >Cortana = Disabled

> Конфигурация компьютера Административные шаблоны > ✅ ❌

Компоненты > Windows Облачное содержимое >Отключить
взаимодействие с пользователем Майкрософт = Включено

７ Примечание

Эти параметры групповой политики можно применить в выпуске Windows

Professional.

Связанные статьи
Управление макетом начального экрана Windows 10 и параметрами панели
задач
 Ограничение Windows 10 для запуска только заданных приложений
"Windows: интересное" на экране блокировки
Настройка устройств без MDM

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление установкой устройств с
помощью групповой политики
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Используя операционные системы Windows, администраторы могут определить,

какие устройства можно установить на компьютерах, которыми они управляют. В
этом руководстве приводится сводка процесса установки устройства и
демонстрируется несколько методов управления установкой устройства с
помощью групповая политика.

Введение

Общее
В этом пошаговом руководстве описывается, как управлять установкой устройств
на управляемых компьютерах, включая указание устройств, которые пользователи
могут и не могут устанавливать. Это руководство относится ко всем версиям
Windows, начиная с Windows 10, версия 1809. Руководство включает в себя
следующие сценарии:

Запретить пользователям устанавливать устройства, которые находятся в

списке запрещенных. Если устройство отсутствует в списке, пользователь
может установить его.
Разрешить пользователям устанавливать только устройства, которые
находятся в списке утвержденных. Если устройство отсутствует в списке,
пользователь не сможет установить его.

В этом руководстве описывается процесс установки устройства и представлены

строки идентификации устройств, которые Windows использует для сопоставления
устройства с пакетами драйверов устройств, доступными на компьютере. В этом
руководстве также иллюстрируются два метода управления установкой устройства.
В каждом сценарии показано, шаг за шагом, один метод, который можно
использовать, чтобы разрешить или запретить установку определенного
устройства или класса устройств.

Примером устройства, используемого в сценариях, является USB-устройство

хранения. Действия, описанные в этом руководстве, можно выполнить с помощью
другого устройства. Однако если вы используете другое устройство, инструкции в
руководстве не будут точно соответствовать пользовательскому интерфейсу,
который отображается на компьютере.

Важно понимать, что групповые политики, представленные в этом руководстве,

применяются только к компьютерам или группам компьютеров, а не к
пользователям или группам пользователей.

） Важно!

Действия, описанные в этом руководстве, предназначены для использования в

среде лаборатории тестирования. Это пошаговое руководство не
предназначено для развертывания компонентов Windows Server без
сопроводительной документации и должно использоваться в качестве
автономного документа.

Кому следует использовать это руководство?

Это руководство предназначено для следующих аудиторий:

Специалисты по планированию информационных технологий и аналитики,

оценивающие Windows 10, Windows 11 или Windows Server 2022
Планировщики и дизайнеры корпоративных информационных технологий
Архитекторы безопасности, отвечающие за реализацию надежных
вычислений в своей организации
Администраторы, которые хотят ознакомиться с технологией

Преимущества управления установкой устройств с

помощью групповая политика
Ограничение устройств, которые пользователи могут установить, снижает риск
кражи данных и снижает затраты на поддержку.

Снижение риска кражи данных

Пользователям сложнее создавать несанкционированные копии корпоративных
данных, если компьютеры пользователей не могут установить неутвержденные
устройства, поддерживающие съемные носители. Например, если пользователи не
могут установить usb-устройство с большим пальцем, они не смогут скачать копии
корпоративных данных на съемный носитель. Это преимущество не может
устранить кражу данных, но создает еще один барьер для несанкционированного
удаления данных.

Снижение затрат на поддержку

Вы можете убедиться, что пользователи устанавливают только те устройства,

которые ваша служба технической поддержки обучена и оснащена для поддержки.
Это преимущество сокращает затраты на поддержку и путаницу пользователей.

Обзор сценария
В сценариях, представленных в этом руководстве, показано, как управлять
установкой и использованием устройств на управляемых компьютерах. В
сценариях используется групповая политика на локальном компьютере, чтобы
упростить использование процедур в лабораторной среде. В среде, где вы
управляете несколькими клиентскими компьютерами, эти параметры следует
применять с помощью групповая политика. С помощью групповая политика,
развернутых Active Directory, вы можете применять параметры ко всем
компьютерам, которые являются членами домена или подразделения в домене.
Дополнительные сведения о создании объекта групповой политики для
управления клиентскими компьютерами см. в разделе Создание объекта групповая
политика.

ﾉ Развернуть таблицу

Сценарий Описание

Сценарий 1. Запрет В этом сценарии администратор хочет запретить пользователям

установки всех устанавливать принтеры. Таким образом, это базовый сценарий,
принтеров который знакомит вас с функциями "запретить или разрешить"
политик установки устройств в групповая политика.

Сценарий 2. Запрет В этом сценарии администратор разрешает обычным

установки пользователям устанавливать все принтеры, но не позволяет им
определенного устанавливать определенный принтер.
принтера

Сценарий 3. Запретить В этом сценарии вы объединяете все, что вы узнали из сценария 1

установку всех и сценария 2. Администратор хочет разрешить стандартным
принтеров, разрешив пользователям устанавливать только определенный принтер,
установку запрещая установку всех остальных принтеров. Этот сценарий
определенного является более реалистичным и позволяет еще больше понять
принтера политики ограничений установки устройств.
 Сценарий Описание

Сценарий 4. Запрет Этот сценарий, хотя и аналогичен сценарию 2, имеет еще один
установки уровень сложности— как работает подключение устройства в
определенного USB- дереве PnP. Администратор хочет запретить обычным
устройства пользователям устанавливать определенное USB-устройство. К
концу сценария вы должны понять, как устройства вложены в слои
под деревом подключения устройств PnP.

Сценарий 5. Запретить В этом сценарии, объединяя все предыдущие четыре сценария, вы

установку всех USB- узнаете, как защитить компьютер от всех несанкционированных
устройств, разрешая USB-устройств. Администратор хочет разрешить пользователям
установку только устанавливать только небольшой набор авторизованных USB-
авторизованного USB- устройств, предотвращая установку любых других USB-устройств.
накопителя Кроме того, этот сценарий содержит объяснение того, как
применить функцию "запретить" к существующим USB-
устройствам, которые уже установлены на компьютере, и
администратору нравится предотвращать дальнейшее
взаимодействие с ними (блокировка всех вместе). Этот сценарий
основан на политиках и структуре, которые мы представили в
первых четырех сценариях, поэтому рекомендуется сначала
перейти к ним, прежде чем пытаться использовать этот сценарий.

Обзор технологий
В следующих разделах представлен краткий обзор основных технологий,
рассмотренных в этом руководстве, и приведены справочные сведения,
необходимые для понимания сценариев.

Установка устройства в Windows

Устройство — это часть оборудования, с которой Windows взаимодействует для
выполнения какой-либо функции, или, в более техническом определении, это один
экземпляр аппаратного компонента с уникальным представлением в подсистеме
Windows Plug and Play. Windows может взаимодействовать с устройством только с
помощью программного обеспечения, называемого драйвером устройства (также
известным как драйвер). Чтобы установить драйвер, Windows обнаруживает
устройство, распознает его тип, а затем находит драйвер, соответствующий его
типу.

Когда Windows обнаруживает устройство, которое никогда не было установлено на

компьютере, операционная система запрашивает у него список строк
идентификации устройства. Устройство обычно имеет несколько строк
идентификации устройства, которые назначает производитель устройства. Те же
строки идентификации устройства включаются в INF-файл (также известный как
INF-файл), который является частью пакета драйвера. Windows выбирает, какой
пакет драйвера следует установить, сопоставляя строки идентификации устройства,
полученные с устройства, с теми строками, которые включены в пакеты драйверов.

Windows использует четыре типа идентификаторов для управления установкой и

настройкой устройства. Вы можете использовать параметры групповая политика в
Windows, чтобы указать, какой из этих идентификаторов следует разрешить или
заблокировать.

Четыре типа идентификаторов:

Идентификатор экземпляра устройства

Идентификатор устройства
Классы настройки устройства
Тип устройства "Съемные устройства"

Идентификатор экземпляра устройства

Идентификатор экземпляра устройства — это предоставленная системой строка
идентификации устройства, которая однозначно идентифицирует устройство в
системе. Диспетчер Plug and Play (PnP) назначает идентификатор экземпляра
устройства каждому узлу устройства (devnode) в дереве устройств системы.

Идентификатор устройства
Windows может использовать каждую строку для сопоставления устройства с
пакетом драйвера. Строки варьируются от конкретного, соответствующего одной
модели и модели устройства, до общего, возможно применяемого ко всему классу
устройств. Существует два типа строк идентификации устройств: идентификаторы
оборудования и совместимые идентификаторы.

Идентификаторы оборудования

Идентификаторы оборудования — это идентификаторы, которые обеспечивают

точное совпадение между устройством и пакетом драйвера. Первая строка в
списке идентификаторов оборудования называется идентификатором устройства,
так как она соответствует точной модели, модели и редакции устройства. Другие
идентификаторы оборудования в списке менее точно соответствуют сведениям об
устройстве. Например, идентификатор оборудования может идентифицировать
модель и модель устройства, но не конкретную редакцию. Эта схема позволяет
Windows использовать драйвер для другой редакции устройства, если драйвер для
правильной редакции недоступен.

Совместимые идентификаторы

Windows использует эти идентификаторы для выбора драйвера, если

операционная система не может найти совпадение с идентификатором устройства
или любым другим идентификатором оборудования. Совместимые
идентификаторы перечислены в порядке уменьшения пригодности. Эти строки
являются необязательными и, если они предоставляются, являются
универсальными, например Disk. При сопоставлении с использованием
совместимого идентификатора обычно можно использовать только самые
основные функции устройства.

При установке устройства, например принтера, USB-накопителя или клавиатуры,

Windows выполняет поиск пакетов драйверов, соответствующих устройству,
которое вы пытаетесь установить. Во время этого поиска Windows назначает
каждому обнаруженном пакету драйвера "ранг" с по крайней мере одним
совпадением с аппаратным или совместимым идентификатором. Ранг указывает,
насколько хорошо драйвер соответствует устройству. Более низкие номера ранга
указывают на лучшее соответствие между драйвером и устройством. Нулевой ранг
представляет собой наилучшее возможное совпадение. Сопоставление с
идентификатором устройства с идентификатором в пакете драйвера приводит к
более низкому (лучшему) рангу, чем к одному из других идентификаторов
оборудования. Аналогичным образом, сопоставление с идентификатором
оборудования приводит к лучшему рангу, чем соответствие любому из
совместимых идентификаторов. После того как Windows ранжирует все пакеты
драйверов, она устанавливает один с самым низким общим рангом.
Дополнительные сведения о процессе ранжирования и выбора пакетов драйверов
см. в статье Как Windows выбирает пакет драйверов для устройства.

７ Примечание

Дополнительные сведения о процессе установки драйвера см. в разделе

"Проверка технологий" пошагового руководства по подписи и
промежуточному использованию драйверов.

Некоторые физические устройства создают одно или несколько логических

устройств при их установке. Каждое логическое устройство может обрабатывать
часть функциональных возможностей физического устройства. Например, для
многофункционального устройства, например сканера, факса или принтера, может
быть другая строка идентификации устройства для каждой функции.

При использовании политик установки устройств для разрешения или запрета

установки устройства, использующего логические устройства, необходимо
разрешить или запретить все строки идентификации устройства для этого
устройства. Например, если пользователь пытается установить
многофункциональное устройство и вы не разрешили или не запретили все строки
идентификации для физических и логических устройств, вы можете получить
непредвиденные результаты при попытке установки. Дополнительные сведения об
идентификаторах оборудования см. в разделе Строки идентификации устройств.

Классы настройки устройства

Классы настройки устройства (также известные как Класс) — это еще один тип
строки идентификации. Производитель назначает класс устройству в пакете
драйвера. Класс группируют устройства, которые установлены и настроены таким
же образом. Например, все биометрические устройства относятся к
биометрическому классу (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) и
используют один и тот же совместный установщик при установке. Длинное число,
называемое глобально уникальным идентификатором (GUID), представляет каждый
класс настройки устройства. При запуске Windows создается древовидная
структура в памяти с идентификаторами GUID для всех обнаруженных устройств.
Наряду с ИДЕНТИФИКАТОРом GUID для класса самого устройства Windows может
потребоваться вставить в дерево GUID класса шины, к которой подключено
устройство.

Если вы используете классы устройств, чтобы разрешить или запретить

пользователям устанавливать драйверы, необходимо указать идентификаторы
GUID для всех классов настройки устройства, иначе вы не можете достичь нужных
результатов. Установка может завершиться ошибкой (если вы хотите, чтобы она
была успешной) или успешной (если вы хотите, чтобы она завершилась ошибкой).

Например, многофункциональное устройство, например универсальный сканер,

факс или принтер, имеет GUID для универсального многофункционального
устройства, GUID для функции принтера, GUID для функции сканера и т. д.
Идентификаторы GUID для отдельных функций являются "дочерними узлами" под
идентификатором GUID многофункционального устройства. Чтобы установить
дочерний узел, Windows также должна иметь возможность установки
родительского узла. Необходимо разрешить установку класса настройки
устройства родительского GUID для многофункционального устройства в
дополнение к любым дочерним guid для функций принтера и сканера.
Дополнительные сведения см. в статье Классы установки устройств.

В этом руководстве не описаны сценарии, использующие классы настройки

устройств. Однако основные принципы, продемонстрированные со строками
идентификации устройств в этом руководстве, также применяются к классам
настройки устройства. После обнаружения класса настройки устройства для
определенного устройства его можно использовать в политике, чтобы разрешить
или запретить установку драйверов для этого класса устройств.

Следующие две ссылки содержат полный список классов настройки устройств.

Классы System Use в основном относятся к устройствам, которые поставляются с
компьютером или компьютером с фабрики, а классы "Поставщик" в основном
относятся к устройствам, которые могут быть подключены к существующему
компьютеру или компьютеру:

Классы установки определяемых системой устройств, доступные поставщикам

— драйверы Windows
Классы установки определяемых системой устройств, зарезервированные для
использования системой — драйверы Windows

Тип устройства "Съемные устройства"

Некоторые устройства можно классифицировать как съемные устройства.
Устройство считается съемным , если драйвер устройства, к которому оно
подключено, указывает, что устройство является съемным. Например, USB-
устройство сообщается как съемный драйвер для USB-концентратора, к которому
подключено устройство.

Параметры групповая политика для установки

устройства
групповая политика — это инфраструктура, которая позволяет задавать
управляемые конфигурации для пользователей и компьютеров с помощью
групповая политика параметров и групповая политика параметров.

Раздел "Установка устройства" в групповая политика — это набор политик,

определяющих, какое устройство можно установить на компьютере. Если вы
хотите применить параметры к автономному компьютеру или нескольким
компьютерам в домене Active Directory, для настройки и применения параметров
политики используйте групповая политика Object Редактор. Дополнительные
сведения см. в разделе групповая политика object Редактор.
Ниже приведены краткие описания политик установки устройств, которые
используются в этом руководстве.

７ Примечание

Элемент управления "Установка устройства" применяется только к

компьютерам ("конфигурация компьютера"), а не к пользователям
("конфигурация пользователя") в зависимости от структуры ОС Windows. Эти
параметры политики влияют на всех пользователей, которые входят на
компьютер, на котором применяются параметры политики. Эти политики
нельзя применять к определенным пользователям или группам, за
исключением политики Разрешить администраторам переопределять
политику установки устройств. Эта политика освобождает членов локальной
группы администраторов от любых ограничений на установку устройств,
применяемых к компьютеру, путем настройки других параметров политики,
как описано в этом разделе.

Разрешить администраторам переопределять политики

ограничения установки устройств
Этот параметр политики позволяет членам локальной группы администраторов
устанавливать и обновлять драйверы для любого устройства, независимо от других
параметров политики. Если этот параметр политики включен, администраторы
могут использовать мастер добавления оборудования или мастер обновления
драйверов для установки и обновления драйверов для любого устройства. Если
этот параметр политики отключен или не настроен, администраторы будут
распространяются на все параметры политики, ограничивающие установку
устройства.

Разрешить установку устройств, соответствующих любому из

этих идентификаторов устройств
Этот параметр политики задает список Plug and Play идентификаторов
оборудования и совместимых идентификаторов, описывающих устройства,
которые пользователи могут установить. Этот параметр предназначен для
использования только в том случае, если параметр политики Запретить установку
устройств, не описанных в других параметрах политики, включен и не имеет
приоритета над любым параметром политики, который будет препятствовать
установке устройства пользователями. Если этот параметр политики включен,
пользователи могут установить и обновить любое устройство с помощью
идентификатора оборудования или совместимого идентификатора,
соответствующего идентификатору в этом списке, если эта установка не была
запрещена параметром политики Запретить установку устройств, соответствующих
этим идентификаторам устройств, параметр политики Запретить установку
устройств для этих классов устройств. или параметр политики Запретить установку
съемных устройств. Если другой параметр политики запрещает пользователям
устанавливать устройство, пользователи не смогут установить его, даже если
устройство также описано значением в этом параметре политики. Если этот
параметр политики отключен или не настроен, а устройство не описывается
никакой другой политикой, параметр политики Запретить установку устройств, не
описанных другими параметрами политики, определяет, могут ли пользователи
устанавливать устройство.

Разрешить установку устройств, соответствующих любому из

этих идентификаторов экземпляров устройств
Этот параметр политики позволяет указать список Plug and Play идентификаторов
экземпляров устройств для устройств, которые Windows разрешено устанавливать.
Используйте этот параметр политики, только если включен параметр политики
"Запретить установку устройств, не описанных другими параметрами политики".
Другие параметры политики, которые запрещают установку устройства, имеют
приоритет над этим. Если этот параметр политики включен, Windows может
устанавливать или обновлять любое устройство, идентификатор экземпляра Plug
and Play которого отображается в создаваемом списке, если другой параметр
политики специально не запрещает эту установку (например, параметр политики
"Запретить установку устройств, соответствующих любому из этих
идентификаторов устройств", параметр политики "Запретить установку устройств
для этих классов устройств", параметр политики "Запретить установку устройств,
соответствующих любому из этих идентификаторов экземпляров устройств" или
параметр политики "Запретить установку съемных устройств"). Если этот параметр
политики включен на сервере удаленных рабочих столов, он влияет на
перенаправление указанных устройств с клиента удаленного рабочего стола на
сервер удаленных рабочих столов.

Разрешить установку устройств с помощью драйверов,

соответствующих этим классам установки устройств
Этот параметр политики указывает список идентификаторов GUID класса установки
устройств, описывающих устройства, которые пользователи могут устанавливать.
Этот параметр предназначен для использования только в том случае, если
параметр политики Запретить установку устройств, не описанных в других
параметрах политики, включен и не имеет приоритета над любым параметром
политики, который будет препятствовать установке устройства пользователями.
Если этот параметр включен, пользователи могут установить и обновить любое
устройство с помощью идентификатора оборудования или совместимого
идентификатора, соответствующего одному из идентификаторов в этом списке,
если эта установка не была запрещена параметром политики Запретить установку
устройств, соответствующих этим идентификаторам устройств, параметр политики
Запретить установку устройств для этих классов устройств. или параметр политики
Запретить установку съемных устройств. Если другой параметр политики
запрещает пользователям устанавливать устройство, пользователи не смогут
установить его, даже если устройство также описано значением в этом параметре
политики. Если этот параметр политики отключен или не настроен, а ни один
другой параметр политики не описывает устройство, параметр политики Запретить
установку устройств, не описанных в других параметрах политики, определяет,
могут ли пользователи устанавливать устройство.

Запретить установку устройств, соответствующих этим

идентификаторам устройств
Этот параметр политики указывает список Plug and Play идентификаторов
оборудования и совместимых идентификаторов для устройств, которые
пользователи не могут установить. Если этот параметр политики включен,
пользователи не смогут установить или обновить драйвер для устройства, если его
идентификатор оборудования или идентификатор совместимости совпадает с
идентификатором в этом списке. Если этот параметр политики отключен или не
настроен, пользователи могут устанавливать устройства и обновлять драйверы, как
это разрешено другими параметрами политики для установки устройств.
Примечание. Этот параметр политики имеет приоритет над любыми другими
параметрами политики, которые позволяют пользователям устанавливать
устройство. Этот параметр политики запрещает пользователям устанавливать
устройство, даже если он соответствует другому параметру политики,
разрешающем установку этого устройства.

Запретить установку устройств, соответствующих любому из

этих идентификаторов экземпляров устройств
Этот параметр политики позволяет указать список Plug and Play идентификаторов
экземпляров устройств для устройств, которые Windows не может установить. Этот
параметр политики имеет приоритет над любым другим параметром политики,
который позволяет Windows устанавливать устройство. Если этот параметр
политики включен, Windows не будет устанавливать устройство, идентификатор
экземпляра которого отображается в создаваемом списке. Если этот параметр
политики включен на сервере удаленных рабочих столов, он влияет на
перенаправление указанных устройств с клиента удаленного рабочего стола на
сервер удаленных рабочих столов. Если этот параметр политики отключен или не
настроен, устройства могут быть установлены и обновлены, как разрешено или
запрещено другими параметрами политики.

Запретить установку устройств с помощью драйверов,

соответствующих этим классам установки устройств

Этот параметр политики задает список идентификаторов GUID класса установки

устройств Plug and Play для устройств, которые пользователи не могут установить.
Если этот параметр политики включен, пользователи не смогут устанавливать или
обновлять устройства, принадлежащие ни к одному из перечисленных классов
установки устройств. Если этот параметр политики отключен или не настроен,
пользователи могут устанавливать и обновлять устройства, как это разрешено
другими параметрами политики для установки устройств. Примечание. Этот
параметр политики имеет приоритет над любыми другими параметрами политики,
которые позволяют пользователям устанавливать устройство. Этот параметр
политики запрещает пользователям устанавливать устройство, даже если он
соответствует другому параметру политики, разрешающем установку этого
устройства.

Применение многоуровневого порядка оценки для

политик разрешить и запретить установку устройств
по всем критериям соответствия устройств
Этот параметр политики изменяет порядок оценки, в котором применяются
параметры политики "Разрешить" и "Запретить", если для данного устройства
применяется несколько параметров политики установки. Включите этот параметр
политики, чтобы обеспечить применение перекрывающихся условий соответствия
устройств на основе установленной иерархии, где более конкретные критерии
соответствия заменяют менее конкретные критерии соответствия. Иерархический
порядок оценки параметров политики, определяющих критерии соответствия
устройств, выглядит следующим образом:

Идентификаторы экземпляров> устройствИдентификаторы>

устройствКласс> настройки устройстваСъемные устройства
 ７ Примечание

Этот параметр политики обеспечивает более детализированное управление,

чем параметр политики "Запретить установку устройств, не описанных
другими параметрами политики". Если эти конфликтующие параметры
политики включены одновременно, будет включен параметр политики
"Применить многоуровневый порядок оценки для разрешить и запретить
установку устройств по всем критериям соответствия устройств" будет
включен, а другой параметр политики будет игнорироваться.

Если этот параметр политики отключен или не настроен, используется оценка

по умолчанию. По умолчанию все "Запретить установку..." Параметры
политики имеют приоритет над любым другим параметром политики, который
позволяет Windows устанавливать устройство.

Некоторые из этих политик имеют приоритет над другими политиками. На

следующей блок-схеме показано, как Windows обрабатывает их, чтобы определить,
может ли пользователь установить устройство.
Блок-схема политик установки устройств

Требования для выполнения сценариев

Общее
Чтобы выполнить каждый из сценариев, убедитесь, что у вас есть:

Клиентский компьютер под управлением Windows.

USB-накопитель для большого пальца. В сценариях, описанных в этом
руководстве, в качестве примера устройства используется USB-накопитель
(также известный как "съемный диск", "диск памяти", "флэш-накопитель" или
"накопитель для ключей"). Большинству USB-накопителей не требуются
драйверы, предоставляемые производителем, и эти устройства работают с
драйверами папки "Входящие", предоставляемыми сборкой Windows.
Usb/сетевой принтер, предварительно установленный на компьютере.
Доступ к учетной записи администратора на тестовом компьютере.
Процедуры, описанные в этом руководстве, требуют прав администратора
для большинства шагов.

Общие сведения о последствиях применения

ретроактивных политик Prevent
Все политики Prevent могут применять функциональность блока к уже
установленным устройствам-устройствам, установленным на компьютере до того,
как политика вступила в силу. Этот параметр рекомендуется использовать, если
администратор не уверен в журнале установки устройств на компьютере и хочет
убедиться, что политика применяется ко всем устройствам.

Например: принтер уже установлен на компьютере, что предотвращает установку

всех принтеров, что блокирует установку любого принтера в будущем, сохраняя
при этом только установленный принтер пригодным для использования. Чтобы
применить блок задним числом, администратор должен проверка пометить
параметр "Применить эту политику к уже установленным устройствам".
Маркировка этого параметра будет препятствовать доступу к уже установленным
устройствам в дополнение к любым из будущих устройств.

Этот вариант является мощным инструментом, но, как таковой, его необходимо
использовать тщательно.

） Важно!

Применение параметра "Предотвратить обратную реакцию" к важным

устройствам может сделать машину бесполезной или неприемлемой!
Например, запретить задним числом всех дисков может заблокировать доступ
к диску, с которого загружается ОС; Предотвращение обратной активности
 всех "Net" может заблокировать этот компьютер от доступа к сети и, чтобы
устранить проблему, администратор должен иметь прямое подключение.

Определение строк идентификации

устройства
Выполнив эти действия, можно определить строки идентификации устройства для
устройства. Если идентификаторы оборудования и совместимые идентификаторы
для устройства не соответствуют идентификаторам, указанным в этом руководстве,
используйте идентификаторы, соответствующие вашему устройству (эта политика
относится к идентификаторам экземпляров и классам, но мы не собираемся
привести пример для них в этом руководстве).

Идентификаторы оборудования и совместимые идентификаторы для устройства

можно определить двумя способами. Вы можете использовать диспетчер
устройств, графическое средство, входящее в состав операционной системы, или
PnPUtil, средство командной строки, доступное для всех версий Windows.
Используйте следующую процедуру, чтобы просмотреть строки идентификации
устройства для устройства.

７ Примечание

Эти процедуры относятся к принтеру Canon. Если вы используете устройство

другого типа, необходимо соответствующим образом настроить шаги.
Существенным отличием будет расположение устройства в иерархии
диспетчер устройств. Вместо того чтобы находиться в узле Принтеры,
необходимо найти устройство в соответствующем узле.

Поиск строк идентификации устройств с помощью диспетчер устройств

1. Убедитесь, что принтер подключен и установлен.

2. Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc

[Link] в поле Начать поиск, а затем нажмите клавишу ВВОД или
найдите диспетчер устройств как приложение.

3. диспетчер устройств запускается и отображает дерево, представляющее все

устройства, обнаруженные на компьютере. В верхней части дерева находится
узел с именем компьютера рядом с ним. Нижние узлы представляют
 различные категории оборудования, в которые группируются устройства
компьютеров.

4. Найдите раздел "Принтеры" и целевой принтер

Выбор принтера в диспетчер устройств

5. Дважды щелкните принтер и перейдите на вкладку "Сведения".

 Откройте вкладку "Сведения", чтобы найти идентификаторы устройств.

6. В окне "Значение" скопируйте наиболее подробный идентификатор

оборудования. Это значение будет использоваться в политиках.
 HWID и совместимый идентификатор

 Совет

Вы также можете определить строки идентификации устройства с

помощью программы командной строки PnPUtil. Дополнительные
сведения см. в разделе PnPUtil — драйверы Windows.

Получение идентификаторов устройств с помощью

PnPUtil
Консоль
 pnputil /enum-devices /ids

Ниже приведен пример выходных данных для одного устройства на компьютере:

Консоль

<snip>
Instance ID:
PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description: Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7
PCIe Ring Interface - 2F34
Class Name: System
Class GUID: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name: INTEL
Status: Stopped
Driver Name: [Link]
Hardware IDs: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
PCI\VEN_8086&DEV_2F34&CC_110100
PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs: PCI\VEN_8086&DEV_2F34&REV_02
PCI\VEN_8086&DEV_2F34
PCI\VEN_8086&CC_110100
PCI\VEN_8086&CC_1101
PCI\VEN_8086
PCI\CC_110100
PCI\CC_1101
<snip>

Сценарий 1. Запрет установки всех

принтеров
В этом простом сценарии вы узнаете, как предотвратить установку всего класса
устройств.

Настройка среды
Настройте среду для сценария, выполнив следующие действия.

1. Откройте групповая политика Редактор и перейдите в раздел Ограничение

установки устройства.

2. Отключите все предыдущие политики установки устройств, кроме "Применить

многоуровневый порядок оценки". Хотя политика отключена по умолчанию,
 эту политику рекомендуется включить в большинстве практических
приложений.

3. Если есть какие-либо включенные политики, изменение их состояния на

"отключено", очистит их от всех параметров.

4. Наличие USB-принтера или сетевого принтера для проверки политики с

помощью

Этапы сценария: предотвращение установки

запрещенных устройств
Получение правильного идентификатора устройства, чтобы предотвратить его
установку:

1. Если в вашей системе есть устройство из класса, который вы хотите

заблокировать, вы можете выполнить действия, описанные в предыдущем
разделе, чтобы найти идентификатор класса устройства с помощью диспетчер
устройств или PnPUtil (GUID класса).

2. Если такое устройство не установлено в вашей системе или вы знаете имя

класса, вы можете проверка по следующим двум ссылкам:

Классы установки определяемых системой устройств, доступные

поставщикам — драйверы Windows
Классы установки определяемых системой устройств,
зарезервированные для использования системой — драйверы Windows

3. В нашем текущем сценарии основное внимание уделяется предотвращению

установки всех принтеров. Вот идентификатор GUID класса для большинства
принтеров на рынке:

Printers
Класс = Принтер
ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Этот класс включает принтеры.

７ Примечание

Как упоминалось ранее, запрет всего класса может полностью

заблокировать использование системы. Убедитесь, что вы понимаете,
какие устройства будут заблокированы при указании класса. В нашем
 сценарии существуют и другие классы, относящиеся к принтерам, но
перед их применением убедитесь, что они не блокируют любое другое
существующее устройство, которое имеет решающее значение для
вашей системы.

Создайте политику, чтобы предотвратить установку всех принтеров:

1. Откройте групповая политика объект Редактор нажмите кнопку Пуск, введите

mmc [Link] в поле Начать поиск, а затем нажмите клавишу ВВОД или
введите в поиске Windows "групповая политика Редактор" и откройте
пользовательский интерфейс.

2. Перейдите на страницу Ограничение установки устройства:

Административные шаблоны Конфигурации > компьютера Ограничения

установки устройства для установки > устройства >>

3. Убедитесь, что все политики отключены (рекомендуется, чтобы политика

"примененный многоуровневый порядок оценки" включена).

4. Откройте Параметр Запретить установку устройств с помощью драйверов,

соответствующих этой политике классов установки устройств , и установите
переключатель Включить.

5. В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот

параметр позволяет перейти к таблице, в которой можно ввести
идентификатор класса для блокировки.

6. Введите идентификатор GUID класса принтера, который вы нашли с

фигурными скобками: {4d36e979-e325-11ce-bfc1-08002be10318} .
 Список идентификаторов GUID класса prevent

7. Нажмите кнопку "ОК".

8. Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот

параметр отправляет политику и блокирует все будущие установки принтера,
но не применяется к существующим установкам.

9. Необязательно, если вы хотите применить политику к существующим

установкам: снова откройте политику Запретить установку устройств с
помощью драйверов, соответствующих этим классам установки устройств ;
В окне "Параметры" установите флажок "Также применять к соответствующим
устройствам, которые уже установлены".

） Важно!

Использование политики Предотвращения (как в сценарии 1 выше) и ее

применение ко всем ранее установленным устройствам (см. шаг 9) может
привести к тому, что критически важные устройства будут непригодными для
использования. поэтому используйте с осторожностью. Например, если ИТ-
администратор хочет предотвратить установку всех съемных запоминающих
устройств на компьютере, использование класса "Диск" для блокировки и
применения обратной силы может привести к тому, что внутренний жесткий
диск будет непригодным для использования и привести к поломке
компьютера.

Сценарий тестирования 1
1. Если вы еще не выполнили шаг 9, выполните следующие действия.
 a. Удаление принтера: диспетчер устройств > Принтеры > щелкните правой
кнопкой мыши пункт Принтер > Canon выберите "Удалить устройство".
b. Для USB-принтера отсоедините и подключите кабель; для сетевого
устройства — выполните поиск принтера в приложении "Параметры
Windows".
c. Вы не сможете переустановить принтер.

2. Если вы выполнили шаг 9 выше и перезагрузили компьютер, найдите принтер

в разделе диспетчер устройств или в приложении "Параметры Windows" и
убедитесь, что он больше недоступен для использования.

Сценарий 2. Запрет установки

определенного принтера
Этот сценарий основан на сценарии 1 Запретить установку всех принтеров. В этом
сценарии требуется конкретный принтер, чтобы предотвратить установку на
компьютере.

Настройка среды
Настройте среду для сценария, выполнив следующие действия.

1. Откройте групповая политика Редактор и перейдите в раздел Ограничение

установки устройства.

2. Убедитесь, что все предыдущие политики установки устройств отключены,

кроме "Применить многоуровневый порядок оценки" (это необязательное
условие для включения и выключения в этом сценарии). Хотя политика
отключена по умолчанию, ее рекомендуется включать в большинстве
практических приложений. Для сценария 2 это необязательно.

Этапы сценария: предотвращение установки

определенного устройства
Получение правильного идентификатора устройства, чтобы предотвратить его
установку:

1. Получите идентификатор оборудования принтера. В этом примере мы будем

использовать идентификатор, найденный ранее.
 Идентификатор оборудования принтера

2. Запишите идентификатор устройства (в данном случае идентификатор

оборудования): WSDPRINT\CanonMX920_seriesC1A0; . Возьмите более конкретный
идентификатор, чтобы убедиться, что вы блокируете конкретный принтер, а
не семейство принтеров.

Создайте политику, чтобы предотвратить установку одного принтера:

1. Откройте Редактор объекта групповая политика.

2. Перейдите на страницу Ограничение установки устройства:

Административные шаблоны Конфигурации > компьютера Ограничения

установки устройства для установки > устройства >>
 3. Выберите Запретить установку устройств, соответствующих любой из этих
политик идентификаторов устройств , и установите переключатель
"Включить".

4. В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот

параметр приведет к таблице, где можно ввести идентификатор устройства
для блокировки.

5. Введите идентификатор устройства принтера, который вы нашли выше:

WSDPRINT\CanonMX920_seriesC1A0 .

Запретить список идентификаторов устройств

6. Нажмите кнопку "ОК".

7. Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот

параметр отправляет политику и блокирует целевой принтер в будущих
установках, но не применяется к существующей установке.

8. При необходимости, если вы хотите применить политику к существующей

установке, снова откройте политику Запретить установку устройств,
соответствующих любому из этих идентификаторов устройств . В окне
"Параметры" установите флажок "Также применять к соответствующим
устройствам, которые уже установлены".

Сценарий тестирования 2
Если вы выполнили шаг 8 выше и перезапустили компьютер, найдите принтер в
разделе диспетчер устройств или в приложении "Параметры Windows" и
убедитесь, что он больше недоступен для использования.

Если вы еще не выполнили шаг 8, выполните следующие действия.

1. Удаление принтера: диспетчер устройств > Принтеры > щелкните правой

кнопкой мыши пункт Принтер > Canon выберите "Удалить устройство".

2. Для USB-принтера отключите и подключите кабель; для сетевого устройства

выполните поиск принтера в приложении "Параметры Windows".

3. Вы не сможете переустановить принтер.

Сценарий 3. Запретить установку всех

принтеров, разрешив установку
определенного принтера
Теперь, используя знания из обоих предыдущих сценариев, вы узнаете, как
предотвратить установку всего класса устройств, разрешив установку одного
принтера.

Настройка среды
Настройте среду для сценария, выполнив следующие действия.

1. Откройте групповая политика Редактор и перейдите в раздел Ограничение

установки устройства.

2. Отключите все предыдущие политики установки устройств и включите

параметр Применить многоуровневый порядок оценки.

3. Если есть какие-либо включенные политики, изменение их состояния на

"отключено", очистит их от всех параметров.

4. У вас есть USB-принтер или сетевой принтер для проверки политики.

Этапы сценария: предотвращение установки всего

класса с разрешением конкретного принтера
Получение идентификатора устройства как для класса принтера, так и для
конкретного принтера, следуя инструкциям в сценарии 1 для поиска
идентификатора класса и сценарии 2, чтобы найти идентификатор устройства, вы
можете получить идентификаторы, необходимые для этого сценария:

ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Идентификатор оборудования = WSDPRINT\CanonMX920_seriesC1A0

Сначала создайте политику "Запретить класс", а затем создайте политику

"Разрешить устройство".

1. Откройте групповая политика объект Редактор нажмите кнопку Пуск, введите

mmc [Link] в поле Начать поиск, а затем нажмите клавишу ВВОД или
введите в поиске Windows "групповая политика Редактор" и откройте
пользовательский интерфейс.

2. Перейдите на страницу Ограничение установки устройства:

Административные шаблоны Конфигурации > компьютера Ограничения

установки устройства для установки > устройства >>

3. Убедитесь, что все политики отключены

4. Откройте Параметр Запретить установку устройств с помощью драйверов,

соответствующих этой политике классов установки устройств , и установите
переключатель Включить.

5. В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот

параметр приведет к таблице, в которой можно ввести идентификатор класса
для блокировки.

6. Введите guid класса принтера, который вы нашли выше, с фигурными

скобками (это важно! В противном случае это не будет работать): {4d36e979-
e325-11ce-bfc1-08002be10318}
 Список идентификаторов GUID класса prevent

7. Нажмите кнопку "ОК".

8. Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот

параметр отправляет политику и блокирует все будущие установки принтера,
но не применяется к существующим установкам.

9. Чтобы завершить охват всех будущих и существующих принтеров, снова

откройте политику Запретить установку устройств с помощью драйверов,
соответствующих этим классам настройки устройств . В окне "Параметры"
установите флажок "Также применять к соответствующим устройствам,
которые уже установлены" и нажмите кнопку "ОК".

10. Откройте политику Применить многоуровневый порядок оценки для

политик разрешить и запретить установку устройств во всех критериях
соответствия устройств и включите ее. Эта политика позволит
переопределить широкий охват политики "Запретить" с конкретным
устройством.
 

Применение многоуровневого порядка политики оценки

11. Теперь откройте параметр Разрешить установку устройств, соответствующих

любой из этих политик идентификаторов устройств , и нажмите
переключатель Включить.
12. В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот
параметр приведет к таблице, в которой можно ввести идентификатор
устройства, который нужно разрешить.

13. Введите идентификатор устройства принтера, который вы нашли ранее:

WSDPRINT\CanonMX920_seriesC1A0.

Разрешить идентификатор оборудования принтера

14. Нажмите кнопку "ОК".

15. Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот
параметр отправляет политику и позволяет установить целевой принтер (или
сохранить его).

Сценарий тестирования 3
1. Найдите принтер в разделе диспетчер устройств или приложении "Параметры
Windows" и убедитесь, что он по-прежнему доступен. Или просто распечатать
тестовый документ.

2. Назад к групповая политика Редактор отключите параметр Применить

многоуровневый порядок оценки для политики разрешить и запретить
установку устройств во всех политиках соответствия требованиям устройств
и снова протестируйте принтер . Вы не должны печатать что-либо или иметь
доступ к принтеру вообще.
Сценарий 4. Запрет установки
определенного USB-устройства
Сценарий основан на знаниях из сценария 2 Запретить установку определенного
принтера. В этом сценарии вы получите представление о том, как некоторые
устройства встроены в дерево устройств PnP (Plug and Play).

Настройка среды
Настройте среду для сценария, выполнив следующие действия.

1. Откройте групповая политика Редактор и перейдите в раздел Ограничение

установки устройства.

2. Убедитесь, что все предыдущие политики установки устройств отключены,

кроме "Применить многоуровневый порядок оценки". Это необязательное
условие для включения и выключения этого сценария. Хотя политика
отключена по умолчанию, ее рекомендуется включать в большинстве
практических приложений.

Этапы сценария: предотвращение установки

определенного устройства
Получение правильного идентификатора устройства, чтобы предотвратить его
установку, и его расположение в дереве PnP:

1. Подключение USB-накопителя большого пальца к компьютеру

2. Открытие диспетчера устройств

3. Найдите USB-накопитель и выберите его.

 Выбор usb-накопителя в диспетчер устройств

4. Измените вид (в верхнем меню) на "Устройства по подключениям". Это

представление представляет способ установки устройств в дереве PnP.
Изменение представления в диспетчер устройств для просмотра дерева
подключения PnP

７ Примечание

При блокировке или запрете устройства, которое находится выше в

дереве PnP, все устройства, которые находятся под ним, будут
заблокированы. Например, если невозможно установить универсальный
 USB-концентратор, все устройства, которые лежат под универсальным
USB-концентратором, будут заблокированы.

При блокировке одного устройства все устройства, вложенные под ним,

также будут заблокированы.

5. Дважды щелкните USB-накопитель и перейдите на вкладку "Сведения".

6. В окне "Значение" скопируйте наиболее подробный идентификатор

оборудования. Это значение будет использоваться в политиках. В этом случае
идентификатор устройства = USBSTOR\DiskGeneric_Flash_Disk______8.07
 Идентификаторы оборудования USB-устройства

Создайте политику, чтобы предотвратить установку одного USB-накопителя:

1. Откройте групповая политика объект Редактор и нажмите кнопку Пуск,

введите mmc [Link] в поле Начать поиск, а затем нажмите клавишу ВВОД
или введите в поле поиска Windows "групповая политика Редактор" и
откройте пользовательский интерфейс.

2. Перейдите на страницу Ограничение установки устройства:

Административные шаблоны Конфигурации > компьютера Ограничения

установки устройства для установки > устройства >>

3. Выберите Запретить установку устройств, соответствующих любой из этих

политик идентификаторов устройств , и установите переключатель
"Включить".

4. В левой нижней части окна "Параметры" щелкните поле "Показать". Этот

параметр приведет к таблице, где можно ввести идентификатор устройства
для блокировки.

5. Введите идентификатор устройства usb thumb-drive, который вы нашли

выше USBSTOR\DiskGeneric_Flash_Disk______8.07 .
 Запретить список идентификаторов устройств

6. Нажмите кнопку "ОК".

7. Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот

параметр отправляет политику и блокирует целевой USB-накопитель в
будущих установках, но не применяется к существующей установке.

8. Необязательно. Если вы хотите применить политику к существующей

установке, снова откройте политику Запретить установку устройств,
соответствующих любому из этих идентификаторов устройств . В окне
"Параметры" установите флажок "Также применять к соответствующим
устройствам, которые уже установлены".

Сценарий тестирования 4
1. Если вы еще не выполнили шаг 8, выполните следующие действия.

Удалите USB-накопитель: диспетчер устройств > Дисководы > щелкните

правой кнопкой мыши целевой USB-накопитель>, щелкните "Удалить
устройство".
Вы не сможете переустановить устройство.

2. Если вы выполнили шаг 8 выше и перезагрузили компьютер, найдите

дисковые диски в разделе диспетчер устройств и убедитесь, что они больше
не доступны для использования.
Сценарий 5. Запретить установку всех USB-
устройств, разрешая установку только
авторизованного USB-накопителя
Теперь, используя знания из всех предыдущих четырех сценариев, вы узнаете, как
предотвратить установку всего класса устройств, разрешив установку одного
авторизованного USB-накопителя.

Настройка среды
Настройте среду для сценария, выполнив следующие действия.

1. Откройте групповая политика Редактор и перейдите в раздел Ограничение

установки устройства.

2. Отключите все предыдущие политики установки устройств и включите

параметр Применить многоуровневый порядок оценки.

3. Если есть какие-либо включенные политики, изменение их состояния на

"отключено", очистит их от всех параметров.

4. У вас есть USB-накопитель для проверки политики.

Этапы сценария: предотвращение установки всех USB-

устройств, разрешая только авторизованный USB-
накопитель
Получите идентификатор устройства для классов USB и конкретного USB-
накопителя и выполните действия, описанные в сценарии 1, чтобы найти
идентификатор класса и сценарий 4, чтобы найти идентификатор устройства,
который вы можете получить идентификаторы, необходимые для этого сценария:

Устройства шины USB (концентраторы и контроллеры узлов)

Класс = USB
ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
К этому классу относятся контроллеры узлов USB и USB-концентраторы, но
не периферийные устройства USB. Драйверы для этого класса
предоставляются системой.

USB-устройство
Class = USBDevice
 ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
USBDevice включает все USB-устройства, которые не относятся к другому
классу. Этот класс не используется для контроллеров и концентраторов
USB-узлов.

Идентификатор оборудования = USBSTOR\DiskGeneric_Flash_Disk______8.07

Как упоминалось в сценарии 4, недостаточно включить только один

идентификатор оборудования, чтобы включить один USB-накопитель. ИТ-
администратор должен убедиться, что все USB-устройства, предшествующие
целевому, также не заблокированы (разрешены). В нашем случае должны быть
разрешены следующие устройства, чтобы также можно было разрешить целевой
USB-накопитель:

"Intel(R) USB 3.0 eXtensible Host Controller - 1.0 (Microsoft)" -> PCI\CC_0C03
"Корневой концентратор USB (USB 3.0)" -> USB\ROOT_HUB30
"Универсальный USB-концентратор" —> USB\USB20_HUB
USB-устройства, вложенные друг под другом в дереве PnP

Эти устройства являются внутренними устройствами на компьютере, которые

определяют подключение USB-порта к внешнему миру. Их включение не должно
включать установку на компьютере каких-либо внешних или периферийных
устройств.

） Важно!

Некоторые устройства в системе имеют несколько уровней подключения для

определения их установки в системе. USB-накопители являются такими
 устройствами. Таким образом, если вы хотите заблокировать или разрешить их
в системе, важно понимать путь подключения для каждого устройства.
Существует несколько универсальных идентификаторов устройств, которые
обычно используются в системах и в таких случаях могут обеспечить хорошее
начало создания списка разрешений. Список см. ниже.

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (для

контроллеров узла)/USB\ROOT_HUB30; USB\ROOT_HUB20 (для корневых
концентраторов USB)/ USB\USB20_HUB (для универсальных USB-
концентраторов)/

Особенно для настольных компьютеров очень важно перечислить все USB-

устройства, через которые подключены клавиатуры и мыши, в приведенном
выше списке. В противном случае пользователь может заблокировать доступ к
компьютеру через устройства HID.

Разные производители ПК иногда имеют разные способы вложить USB-

устройства в дерево PnP, но в целом это так.

Сначала создайте политику "Запретить класс", а затем создайте политику

"Разрешить устройство".

1. Откройте групповая политика Объект Редактор: нажмите кнопку Пуск, введите

mmc [Link] в поле Начать поиск, а затем нажмите клавишу ВВОД или
введите в поле поиска Windows "групповая политика Редактор" и откройте
пользовательский интерфейс.

2. Перейдите на страницу Ограничение установки устройства:

Административные шаблоны Конфигурации > компьютера Ограничения

установки устройства для установки > устройства >>

3. Убедитесь, что все политики отключены

4. Откройте Параметр Запретить установку устройств с помощью драйверов,

соответствующих этой политике классов установки устройств , и установите
переключатель Включить.

5. В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот

параметр приведет к таблице, в которой можно ввести идентификатор класса
для блокировки.
6. Введите идентификаторы GUID обоих КЛАССОВ USB, которые вы нашли выше,
с фигурными скобками:

{36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-
A4FF138216D6}

7. Нажмите кнопку "ОК".

8. Нажмите кнопку "Применить" в правом нижнем углу окна политики. Этот

параметр отправляет политику и блокирует все будущие установки USB-
устройств, но не применяется к существующим установкам.

） Важно!

Предыдущий шаг предотвращает установку всех будущих USB-устройств.

Прежде чем переходить к следующему шагу, убедитесь, что у вас есть как
можно более полный список всех доступных контроллеров узлов USB,
корневых USB-концентраторов и универсальных идентификаторов
устройств USB Hubs, чтобы предотвратить блокировку взаимодействия с
системой с помощью клавиатур и мыши.

9. Откройте политику Применить многоуровневый порядок оценки для

политик разрешить и запретить установку устройств для всех условий
соответствия устройств и включите ее. Эта политика позволит
переопределить широкий охват политики "Запретить" определенным
устройством.

Применение многоуровневого порядка политики оценки

 10. Теперь откройте параметр Разрешить установку устройств, соответствующих
любой из этих политик идентификаторов устройств , и нажмите
переключатель Включить.

11. В левой нижней части окна "Параметры" щелкните "Показать..." Коробка. Этот
параметр приведет к таблице, в которой можно ввести идентификатор
устройства, который нужно разрешить.

12. Введите полный список идентификаторов USB-устройств, которые вы нашли

выше, включая конкретный USB-накопитель, который вы хотите авторизовать
для установки USBSTOR\DiskGeneric_Flash_Disk______8.07 .

Список разрешенных идентификаторов USB-устройств

13. Нажмите кнопку "ОК".

14. Нажмите кнопку "Применить" в правом нижнем углу окна политики.

15. Чтобы применить охват "Запретить" для всех установленных в настоящее

время USB-устройств, снова откройте политику Запретить установку
устройств с помощью драйверов, соответствующих этим классам установки
устройств . В окне "Параметры" установите флажок "Также применять к
соответствующим устройствам, которые уже установлены" и нажмите кнопку
"ОК".

Сценарий тестирования 5
Вы не должны иметь возможности установить usb-накопитель, кроме того,
который вы авторизованы для использования.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление приложением
"Параметры" с помощью групповой
политики
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Страницами, отображаемыми в приложении "Параметры", можно управлять с

помощью групповая политика. При использовании групповая политика для
управления страницами можно скрыть определенные страницы от пользователей.

７ Примечание

Чтобы использовать групповые политики приложения "Параметры" в Windows

Server 2016, установите исправление 4457127 или более поздней версии
накопительного обновления. Все серверы, на которых вы хотите управлять
доступом к приложению "Параметры", должны быть исправлены.

Если ваша организация использует Центральное хранилище для управления

групповая политика, для управления политиками скопируйте файл
[Link] и [Link] в папку PolicyDefinitions.

Эта политика доступна для конфигураций пользователей и компьютеров.

Конфигурация> компьютераАдминистративные
шаблоны>>Видимостьстраницы панель управления Настройки.
Конфигурация> пользователяАдминистративные
шаблоны>>Видимостьстраницы панель управления Настройки.
Настройка групповая политика
Групповая политика можно настроить одним из двух способов: указать список
отображаемых страниц или указать список страниц для скрытия. Для этого
добавьте ShowOnly: или Скрыть: и список URI с разделителями с запятой в разделе
Видимость страницы параметров. Полный список URI см. в разделе Справочник
по схеме URI статьи Запуск приложения "Параметры Windows".

） Важно!

При указании универсального кода ресурса (URI) в текстовом поле Параметры

видимости страницы не включайте в строку ms-settings: .

Пример:
 Чтобы отобразить только страницы Ethernet и Прокси-сервер, задайте для
текстового поля Параметры Видимость приложениязначение
ShowOnly:Network-Proxy; Network-Ethernet.
Чтобы скрыть страницы Ethernet и Прокси-сервер, установите для текстового
поля Параметры Видимость приложениязначение Hide:Network-Proxy.
Network-Ethernet.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Управление политикой удаления
носителей по умолчанию
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Windows определяет две политики main: быстрое удаление и повышение

производительности, которые управляют взаимодействием системы с внешними
запоминающими устройствами, такими как USB-накопители или внешние диски с
поддержкой Thunderbolt. Начиная с Windows 10 версии 1809, по умолчанию
используется политика быстрого удаления. В более ранних версиях Windows
политикой по умолчанию была улучшенная производительность.

Вы можете изменить параметр политики для каждого внешнего устройства, и

заданная политика остается в силе, если отключить устройство, а затем снова
подключить его к тому же порту компьютера.

Дополнительные сведения
Вы можете использовать параметр политики запоминающих устройств, чтобы
изменить способ, которым Windows управляет устройствами хранения в
соответствии с вашими потребностями. Параметры политики имеют следующие
результаты:

Быстрое удаление. Эта политика управляет операциями хранения таким

образом, чтобы устройство было готово к удалению в любое время. Вы
можете удалить устройство, не используя процесс безопасного удаления
оборудования. Однако для этого Windows не может кэшировать операции
записи на диск. Это может снизить производительность системы.
Повышение производительности. Эта политика управляет операциями с
хранилищем таким образом, чтобы повысить производительность системы.
Когда эта политика действует, Windows может кэшировать операции записи
на внешнем устройстве. Однако для удаления внешнего диска необходимо
использовать процесс безопасного удаления оборудования. Процесс
безопасного удаления оборудования защищает целостность данных на
устройстве, обеспечивая завершение всех кэшированных операций.

） Важно!

Если вы используете политику "Повышение производительности ", для

удаления устройства необходимо использовать процесс безопасного удаления
 оборудования. При удалении или отключении устройства без выполнения
инструкций по безопасному удалению вы рискуете потерять данные.

７ Примечание

При выборе параметра Повышение производительности рекомендуется

также выбрать Включить кэширование записи на устройстве.

Чтобы изменить политику для внешнего запоминающего устройства, выполните

следующие действия:

1. Подключите устройство к компьютеру.

2. Щелкните правой кнопкой мыши Пуск и выберите проводник.

3. В проводник определите букву или метку, связанную с устройством

(например, USB-накопитель (D:)).

4. Щелкните правой кнопкой мыши Пуск, а затем выберите Управление

дисками.

5. В нижней части окна Управление дисками щелкните правой кнопкой мыши

метку устройства и выберите пункт Свойства.

6. Выберите Политики.

７ Примечание
 В некоторых последних версиях Windows может использоваться другое
расположение вкладок в диалоговом окне свойств диска.

Если вкладка Политики не отображается, выберите Оборудование,

выберите съемный диск в списке Все диски , а затем выберите Свойства.
Теперь должна появиться вкладка Политики .

7. Выберите политику, которую вы хотите использовать.

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Библиотеки Windows
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Библиотеки — это виртуальные контейнеры для содержимого пользователей.

Библиотека может содержать файлы и папки, хранящиеся на локальном
компьютере или в удаленном хранилище. В проводнике Windows пользователи
взаимодействуют с библиотеками так же, как и с другими папками. Библиотеки
создаются на основе устаревших известных папок (таких как "Мои документы",
"Мои рисунки" и "Моя музыка"), с которыми знакомы пользователи, и эти
известные папки автоматически включаются в библиотеки по умолчанию и
задаются в качестве расположения сохранения по умолчанию.

Чтобы отобразить библиотеки в проводнике, перейдите в раздел Параметры,

перейдите на вкладку Вид , а затем выберите Показать библиотеки.

Функции для пользователей

Библиотеки Windows предоставляют полный поиск содержимого и расширенные
метаданные. Библиотеки предоставляют пользователям следующие преимущества:

Объединяйте содержимое из нескольких расположений хранения в одну

унифицированную презентацию.
Разрешить пользователям стекать и группировать содержимое библиотеки на
основе метаданных.
Включите быстрый полнотекстовый поиск в нескольких местах хранения, в
проводнике Windows или в меню Пуск.
Поддержка настраиваемых вариантов поиска фильтров на основе типов
файлов, содержащихся в библиотеке.
Разрешить пользователям создавать новые библиотеки и указывать папки,
которые они хотят включить.

Функции для администраторов

Администраторы могут настраивать библиотеки Windows и управлять ими
следующими способами:

Создание пользовательских библиотек путем создания и развертывания

файлов описания библиотеки (*.library-ms).
Скрыть или удалить библиотеки по умолчанию. (Сам узел библиотеки нельзя
скрыть или удалить из области навигации проводника Windows.)
 Укажите набор библиотек, доступных для пользователя по умолчанию, а
затем разверните эти библиотеки для пользователей, производных от
пользователя по умолчанию.
Укажите расположения для включения в библиотеку.
Удалите расположение по умолчанию из библиотеки.
Удалите расширенные функции библиотек, если среда не поддерживает
локальное кэширование файлов, с помощью групповой политики Отключить
библиотеки Windows, которые зависят от индексированных файловых данных
. Этот метод делает все библиотеки базовыми (см. статью Требования к
индексации и базовые библиотеки), удаляет библиотеки из области поиска в
меню "Пуск" и удаляет другие функции, чтобы не запутать пользователей и не
потреблять ресурсы.

Дополнительные сведения о библиотеках

Следующие сведения важны в контексте библиотек, которые могут потребоваться
для успешного управления предприятием.

Содержимое библиотеки
Включение папки в библиотеку не приводит к физическому перемещению или
изменению расположения хранилища файлов или папок; библиотека представляет
собой представление этих папок. Однако пользователи, взаимодействующие с
файлами в библиотеке, копируют, перемещают и удаляют сами файлы, а не копии
этих файлов.

Библиотеки и известные папки по умолчанию

Библиотеки по умолчанию:

Документы
Музыка
Изображения
Видео

Библиотеки основаны на устаревших известных папках (таких как "Мои

документы", "Мои рисунки" и "Моя музыка"), с которыми знакомы пользователи.
Эти известные папки автоматически включаются в библиотеки по умолчанию и
задаются в качестве расположения сохранения по умолчанию. То есть, когда
пользователи перетаскивают, копируют или сохраняют файл в библиотеку
документов, файл перемещается, копируется или сохраняется в папку Мои
документы. Администраторы и пользователи могут изменить расположение
сохранения по умолчанию.

Скрытие библиотек по умолчанию

Пользователи или администраторы могут скрывать или удалять библиотеки по
умолчанию, хотя узел библиотеки в области навигации не может быть скрыт или
удален. Скрыть библиотеку по умолчанию предпочтительнее, чем удалить ее, так
как такие приложения, как проигрыватель Windows Media, используют библиотеки
по умолчанию и повторно создают их, если они не существуют на компьютере.
Инструкции см. в статье Как скрыть библиотеки по умолчанию .

Расположения сохранения по умолчанию для

библиотек
У каждой библиотеки есть расположение для сохранения по умолчанию. Файлы
сохраняются или копируются в это расположение, если пользователь решает
сохранить или скопировать файл в библиотеку, а не в определенное расположение
в библиотеке. Известные папки — это расположения для сохранения по
умолчанию; однако пользователи могут выбрать другое расположение для
сохранения. Если пользователь удаляет расположение сохранения по умолчанию
из библиотеки, следующее расположение автоматически выбирается в качестве
нового расположения сохранения по умолчанию. Если библиотека пуста из
расположений или не удается сохранить все включенные расположения, операция
сохранения завершается ошибкой.

Требования к индексации и базовые библиотеки

Некоторые функции библиотеки зависят от содержимого индексированных
библиотек. Расположения библиотек должны быть доступны для локального
индексирования или индексироваться в соответствии с протоколом
индексирования Windows. Если индексирование не включено для одного или
нескольких расположений в библиотеке, вся библиотека возвращается к базовым
функциям:

Не поддерживается просмотр метаданных через представления Упорядочить

по .
Поиск только grep.
Варианты поиска только для Grep. Единственными свойствами, доступными
для входных предложений, являются Дата изменения и Размер.
 Нет поддержки поиска из меню "Пуск". Поиск в меню "Пуск" не возвращает
файлы из базовых библиотек.
В режиме содержимого не возвращаются предварительные просмотры
фрагментов файлов для результатов поиска.

Чтобы избежать этой ограниченной функциональности, все расположения в

библиотеке должны быть индексируемыми как локально, так и удаленно. Когда
пользователи добавляют локальные папки в библиотеки, Windows добавляет
расположение в область индексирования и индексирует содержимое. Удаленные
расположения, которые не индексируются удаленно, можно добавить в локальный
индекс с помощью автономной синхронизации файлов. Эта функция предоставляет
пользователю преимущества локального хранилища, даже если расположение
является удаленным. Если папка "Всегда доступна в автономном режиме" создает
локальную копию файлов папки, добавляет эти файлы в индекс и синхронизирует
локальные и удаленные копии. Пользователи могут вручную синхронизировать
расположения, которые не индексируются удаленно и не используют
перенаправление папок, чтобы получить преимущества локального
индексирования.

Инструкции по включению индексирования см. в статье Включение

индексирования расположений библиотек.

Если ваша среда не поддерживает локальное кэширование файлов, следует

включить групповую политику Отключить библиотеки Windows, использующие
индексированные данные. Это позволяет сделать все библиотеки базовыми.
Дополнительные сведения см. в разделах Групповая политика для Поиска Windows,
Обзор и Упорядочение.

Перенаправление папок
Хотя сами файлы библиотеки не могут быть перенаправлены, вы можете
перенаправить известные папки, включенные в библиотеки, с помощью
перенаправления папок. Например, можно перенаправить папку "Мои
документы", которая включена в библиотеку документов по умолчанию. При
перенаправлении известных папок необходимо убедиться, что назначение
индексировано или всегда доступно в автономном режиме, чтобы обеспечить
полную функциональность библиотеки. В обоих случаях файлы целевой папки
индексируются и поддерживаются в библиотеках. Эти параметры настраиваются на
стороне сервера.

Поддерживаемые расположения хранилища

В следующей таблице показано, какие расположения поддерживаются в
библиотеках Windows.

ﾉ Развернуть таблицу

Поддерживаемые расположения Неподдерживаемые расположения

Фиксированные локальные тома (NTFS/FAT) Съемные диски

Индексированные общие папки (серверы Съемные носители (например, DVD-диски)

отдела*, домашние компьютеры с Windows)
Общие сетевые ресурсы, доступные через
пространства имен DFS или входящие в
отказоустойчивый кластер

Общие папки, доступные в автономном Сетевые ресурсы, которые недоступны в

режиме (перенаправленные папки, автономном режиме или не индексируются
использующие автономные файлы) удаленно

Устройства хранилища, подключенного к

сети (NAS)

Другие источники данных: SharePoint,

Exchange и т. д.

* Для общих папок, индексированных на сервере отдела, Поиск Windows хорошо

работает в рабочей группе или на сервере домена, который имеет характеристики,
аналогичные серверу рабочей группы. Например, Поиск Windows хорошо
работает на сервере отдела с одним общим ресурсом со следующими
характеристиками:

Ожидаемая максимальная нагрузка — четыре одновременных запроса.

Ожидаемый индексный корпус составляет не более одного миллиона
документов.
Пользователи напрямую обращаются к серверу. То есть сервер не становится
доступным через пространства имен DFS.
Пользователи не перенаправляются на другой сервер в случае сбоя. То есть
серверные кластеры не используются.

Атрибуты библиотеки
Следующие атрибуты библиотеки можно изменить в проводнике Windows, в
диалоговом окне "Управление библиотеками" или в файле описания библиотеки
(*.library-ms):
 Имя
Расположения библиотек
Порядок расположения библиотеки
Расположение сохранения по умолчанию

Значок библиотеки может быть изменен администратором или пользователем,

непосредственно изменив файл схемы описания библиотеки. Сведения о создании
файлов описания библиотеки см. в разделе Схема описания библиотеки .

См. также

Основные понятия
Функции Поиска Windows
Функции индексирования Windows
Функции федеративного поиска
Практические руководства по администрировать
Групповая политика для поиска, обзора и упорядочения Windows
Дополнительные ресурсы для поиска, обзора и организации Windows

Другие ресурсы
Перенаправление папок, автономные файлы и перемещаемые профили
пользователей
Схема описания библиотеки

Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Какую версию Windows я использую?
Статья • 01.07.2024 • Применяется к: ✅ Windows 11, ✅ Windows 10

Сборка Канала долгосрочного обслуживания (LTSC, ранее LTSB) windows не

содержит много встроенных приложений, таких как Microsoft Edge, Microsoft Store,
Кортана (у вас есть ограниченные возможности поиска), Microsoft Mail, Calendar,
OneNote, Weather, News, Sports, Money, Photos, Camera, Music и Clock. Важно
помнить, что модель LTSC предназначена в первую очередь для
специализированных устройств.

В канале общедоступной доступности можно настроить обновления компонентов

сразу после их выпуска корпорацией Майкрософт. Это модальное обслуживание
идеально подходит для пилотных развертываний и тестирования обновлений
компонентов Windows, а также для таких пользователей, как разработчики,
которым необходимо немедленно работать с последними функциями. После
тестирования последнего выпуска вы можете выбрать, когда развернуть его в
широком развертывании.

Чтобы определить, зарегистрировано ли ваше устройство в канале обслуживания

Long-Term или канале общей доступности, необходимо знать, какая версия
Windows используется. Это можно выяснить несколькими способами. Каждый
метод предоставляет свой набор сведений, поэтому полезно узнать обо всех из
них.

"Свойства системы"
Выберите Пуск>Параметры>системы, а затем — О программе. Затем вы увидите
сведения о выпуске, версии и сборке ОС .

Использование поиска по ключевым словам

Вы можете ввести следующую команду в строке поиска и нажать клавишу ВВОД ,
чтобы просмотреть сведения о версии устройства.

"winver":
 "msinfo" или "msinfo32" , чтобы открыть сведения о системе:

 Совет

Вы также можете использовать winver команды или msinfo32 в командной

строке.

Использование командной строки или

PowerShell
В PowerShell или командной строке введите systeminfo | findstr /B /C:"OS
Name" /B /C:"OS Version" и нажмите клавишу ВВОД.

В PowerShell или командной строке введите slmgr /dlv и нажмите клавишу

ВВОД. Команда /dlv отображает подробные сведения о лицензировании.
Обратите внимание, что в выходных данных отображается "EnterpriseS", как
показано на следующем рисунке:
Обратная связь
Были ли сведения на этой странице полезными?  Да  Нет

Отзыв о продукте
Устранение неполадок клиента
Windows
Эта библиотека предоставляет решения, позволяющие ИТ-специалистам устранять
неполадки и поддерживать устройства под управлением клиентских операционных
систем Windows в серверной среде. Чтобы получить наиболее точное содержимое,
эта библиотека управляется командой, которая работает непосредственно с
группой продуктов Windows и специалистами по поддержке.

Удостоверение и доступ

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Active Directory

Групповая политика

UserProfiles и Logon

Сеть

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Сеть

Хранилище и высокий уровень доступности

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Резервное копирование и хранилище

Высокая доступность

Виртуализация

Взаимодействие с пользователем

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО
Application Virtualization (App-V)

Управление приложениями

Печать

Службы удаленных рабочих столов

Компоненты управления системой

UE-V

Производительность Windows

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Производительность

Интерфейс оболочки

Безопасность Windows

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Безопасность Windows

Управление

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Разработка Администратор

Средства устранения неполадок Windows

Средства устранения неполадок Windows

ｃ ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Активные и устаревшие средства устранения неполадок для Windows 10