Agenteneinstellungen: Windows MDM-Konfiguration

Extras > Konfiguration > Agenteneinstellungen > Windows MDM-Konfiguration

Auf dieser Seite konfigurieren Sie Microsoft Konfigurationsdienstprofile (Configuration Service Profiles, CSPs) mit dem Konfigurationsprofileditor. Weitere Informationen zum Konfigurationsprofileditor finden Sie unter Konfigurationsprofileditor.

Der Abschnitt "Windows MDM-Gerät" des Konfigurationsprofileditors enthält die folgenden Einstellungen für Windows 10/11-Geräte:

Allgemein

Allgemein: Legen Sie Pflichteinstellungen für alle Konfigurationsprofile fest.

Zertifikate: Importieren Sie Zertifikate für WLAN-Einstellungen. Nur Zertifikate, auf die in WLAN CSP verwiesen wird, werden auf Windows-Geräten installiert.

Einschränkungen

  • Anzeige: Konfigurieren Sie Anzeigeeinstellungen wie prozessspezifische DPI-Werte und GDI-DPI-Skalierung.
  • Projektion: Erstellen Sie Regeln für das Projizieren an PCs und von PCs.
  • Nutzerrechte: Legen Rechte für Benutzer und Benutzergruppen fest.
  • Endpunktschutz: Konfigurieren Sie Sicherheitseinstellungen, Scans und Überwachung.
  • Windows-Einstellungen: Konfigurieren Sie Systemeinstellungen wie Zeiteinstellungen, Energieeinstellungen und Anmeldeoptionen.
  • Windows-Suche: Konfigurieren Sie Suchberechtigungen wie Cortana, Standortzugriff und Remoteabfragen.
  • Windows AppStore: Konfigurieren Sie AppStore-Einstellungen, darunter automatische Updates, vertrauenswürdige Apps und Datenvolumenlimits.
  • Gerätekennwörter: Konfigurieren Sie die Kennwortanforderungen für Geräte, darunter Kennworttyp, Kennwortkomplexität und Dauer der Inaktivität, bevor ein Gerät gesperrt wird.
  • Allgemeine Einschränkungen: Konfigurieren Sie allgemeine Einschränkungen für Standort, Kamera, Gaming und Telemetrie.
  • Sperrbildschirm: Konfigurieren Sie die Sperrbildschirmeinstellungen.
  • Remoteprozeduraufruf: Konfigurieren Sie Einstellungen für den Remoteprozeduraufruf.
  • Start: Konfigurieren Sie Einstellungen für die Taskleiste und die Anzeige im Startmenü.
  • Konten: Konfigurieren Sie, ob der Benutzer Konten hinzufügen kann und welche Domänen zum Synchronisieren von E-Mails auf dem Gerät zulässig sind.

Symantec Endpoint Protection 14

  • Windows Defender: Konfigurieren Sie Einstellungen für Windows Defender, einschließlich Device Guard, Defender und Application Guard.
  • Windows-Verschlüsselung: Konfigurieren Sie Richtlinien für die BitLocker-Geräteverschlüsselung.

Dynamisches CSP

  • E-Mail2: Konfigurieren Sie SMTP-E-Mail-Konten (Simple Mail Transfer Protocol).

Konnektivität

  • Konnektivität und Mobilfunk: Konfigurieren Sie Konnektivitätseinstellungen und Mobilfunkeinstellungen, Bluetooth und WLAN.
  • WLAN: Konfigurieren Sie, wie sich Geräte mit Ihrem Drahtlosnetzwerk verbinden sollen, einschließlich Authentifizierungsinformationen. Diese Einstellungen überschreiben sämtliche WLAN-Einstellungen, die in den Agenteneinstellungen unter Mobility Legacy > Mobile Konnektivität konfiguriert sind.
  • Netzwerkproxy: Konfigurieren Sie einen Proxyserver für Ethernet- und WLAN-Verbindungen. Zu den Einstellungen gehören die Proxyadresse sowie Port- und Ausnahmedefinitionen.
  • Firewall: Aktivieren und konfigurieren Sie Domänen-, private und öffentliche Firewalls auf dem Gerät.
  • Firewallregeln: Erstellen Sie Firewallregeln. Diese Regeln spiegeln die erweiterten Windows-Firewalleinstellungen, die auf dem Gerät verfügbar sind, können jedoch remote konfiguriert werden. Diese Regeln gelten nur für aktive Firewalls. Mit Firewall CSP können Sie eine Firewall aktivieren.

Anwenderdefiniert

  • Benutzerdefinierte Einstellungen: Sie können benutzerdefinierte CSPs für Elemente hinzufügen, die nicht direkt in den Agenteneinstellungen der Windows MDM-Konfiguration verfügbar sind.

Kiosk (Vorschau)

  • Kiosk: Konfigurieren Sie die Anmeldung für den Kioskmodus und welche App ausgeführt werden soll.

Einstellungen

  • Experience: Konfigurieren Sie Windows Experience-Einstellungen, darunter "Mein Gerät suchen", Zwischenablageverlauf, Kontosynchronisierung und Windows Spotlight-Einstellungen.
  • Personalisierung: Legen Sie die Bilder für Hintergrund und Sperrbildschirm fest.
  • Betrieb und Standby: Konfigurieren Sie Energieeinstellungen für das Gerät im Netz- und Akkubetrieb.
  • Drucker: Fügen Sie dem Gerät genehmigte Drucker hinzu.
  • Windows Update: Konfigurieren Sie, wie das Gerät Sicherheitsupdates und andere Downloads über den automatischen Updatedienst von Windows empfangen soll.

Administratoren können auf diesen Editor nur zugreifen, wenn die Option Ändern von Mobilgeräte-Konfigurationsprofilen für ihr Konto aktiviert wurde.

GeschlossenFestlegen einer Standardrichtlinie

Die MDM-Standardrichtlinie wird an Geräte gesendet, wenn diese sich zum ersten Mal bei MDM registrieren. Ist eine Standardrichtlinie festgelegt, wird automatisch ein geplanter Task zum Verteilen der Richtlinie erstellt. Der geplante Task heißt KONFIGURATION_NAME (Registrierungsrichtlinie). Weitere Informationen zu geplanten Tasks finden Sie unter Planen von Tasks.

Geräte, die vor dem Festlegen einer Standardrichtlinie registriert wurden, empfangen die Richtlinie nicht automatisch. Um die Richtlinie an bereits registrierte Geräte zu senden, fügen Sie die Geräte manuell zum Task hinzu, indem Sie eine gezielte Abfrage erstellen oder die Geräte in den Task ziehen und dort ablegen. Führen Sie anschließend den Task aus.

Es kann immer nur eine Standardrichtlinie gleichzeitig festgelegt werden. Wenn Sie eine andere Richtlinie als die Standardrichtlinie festlegen, werden Sie aufgefordert, die zu verwendende Richtlinie zu bestätigen.

So legen Sie eine Standardrichtlinie fest:

1.Erstellen Sie eine Konfiguration mit den Einstellungen, die Sie an Geräte senden möchten. Die verfügbaren Einstellungen sind oben beschrieben.

2.Klicken Sie in der Liste Verfügbare Konfigurationen auf die gewünschte Konfiguration.

3.Klicken Sie auf die Schaltfläche Auswählen, um die Konfiguration in die Liste Ausgewählte Konfigurationen zu verschieben.

4.Markieren Sie das Kontrollkästchen Als Standardrichtlinie für die Registrierung festlegen.

5.Speichern Sie die Konfiguration.

GeschlossenVerwenden benutzerdefinierter Einstellungen

Sie können anwenderdefinierte CSPs für Elemente hinzufügen, die nicht direkt in den Agenteneinstellungen der Windows MDM-Konfiguration verfügbar sind. Es stehen Hunderte CSPs zur Verfügung. Hier finden Sie die CSP-Dokumentation von Microsoft:

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

Für jedes anwenderdefinierte CSP sind folgende Informationen erforderlich:

  • Vorgang: Entweder Hinzufügen, Ersetzen oder Löschen.
  • OMA URI: Open Mobile Alliance Uniform Resource Identifier. Verwenden Sie die Referenz des Microsoft Configuration Service Providers, um die Syntax für das zu erstellende CSP zu identifizieren.
  • Datentyp: Stimmen Sie diesen mit dem Datentyp ab, der für Ihren OMA URI erforderlich ist.
  • Daten: Der CSP-Wert. Dieser muss mit dem von Ihnen ausgewählten Datentyp übereinstimmen.

Beispiel für ein CSP, das die Kamera eines Geräts deaktiviert:

  • Vorgang: Hinzufügen
  • OMA URI: ../Gerät/Anbieter/MSFT/Richtlinie/Konfig/Kamera/KameraZulassen
  • Datentyp: Ganzzahl
  • Daten: 0

Sie können mehrere anwenderdefinierte Einstellungen hinzufügen, indem Sie die Schaltflächen + und - verwenden. Mit dem Pluszeichen wird eine neue Einstellung hinzugefügt, mit dem Minuszeichen wird die aktuelle Einstellung entfernt. Falls Sie mehrere anwenderdefinierte Einstellungen konfiguriert haben, können Sie diese mithilfe der Bildlaufleiste anzeigen.