策略(Windows 配置设计器参考)
本部分介绍可以使用 Windows 配置设计器在 Windows 10 的预配包中配置的策略设置。 下面的每个设置均链接至策略配置服务提供程序 (CSP) 中记录的受支持值。
AboveLock
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowActionCenterNotifications | 允许在设备锁定屏幕上方显示操作中心通知。 | ||||
| AllowToasts | 允许在设备锁定屏幕上方显示 toast 通知。 | ✅ |
帐户
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAddingNonMicrosoftAccountManually | 用户是否可以添加非 Microsoft 电子邮件帐户 | ✅ | |||
| AllowMicrosoftAccountConnection | 用户是否可将 Microsoft 帐户用于与电子邮件无关的连接身份验证和服务 | ✅ | ✅ | ||
| AllowMicrosoftAccountSigninAssistant | 禁用 Microsoft 帐户登录助手 (wlidsvc) NT 服务 | ✅ | |||
| DomainNamesForEmailSync | 允许同步设备上的电子邮件的域列表 | ✅ |
ApplicationDefaults
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| DefaultAssociationsConfiguration | 设置默认文件类型和协议关联 | ✅ |
ApplicationManagement
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAllTrustedApps | 是否允许非 Microsoft Store 应用 | ✅ | ✅ | ||
| AllowAppStoreAutoUpdate | 是否允许自动更新 Microsoft Store 中的应用 | ✅ | ✅ | ||
| AllowDeveloperUnlock | 是否允许开发人员解锁设备 | ✅ | ✅ | ✅ | ✅ |
| AllowGameDVR | 是否允许 DVR 和广播 | ✅ | |||
| AllowSharedUserAppData | 是否允许相同应用的多个用户共享数据 | ✅ | |||
| AllowStore | 是否允许在设备上使用应用商店 | ||||
| ApplicationRestrictions | 指定应用限制(如允许列表、禁止列表等)的 XML Blob。 | ||||
| LaunchAppAfterLogOn | 用户登录时是启动应用还是应用。 | ✅ | |||
| RestrictAppDataToSystemVolume | 是否将应用数据限制于系统驱动器 | ✅ | ✅ | ||
| RestrictAppToSystemVolume | 是否将应用安装限制于系统驱动器 | ✅ | ✅ |
身份验证
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowFastReconnect | 允许对 EAP 方法 TLS 尝试 EAP 快速重新连接。 | ✅ | ✅ | ✅ | ✅ |
| EnableFastFirstSignin | 通过将新的非管理员 Azure AD 帐户自动连接到预配置的候选本地帐户,为用户启用快速首次登录体验。 | ✅ | ✅ | ✅ | |
| EnableWebSignin | 为非 ADFS 联合提供程序启用 Windows 登录支持, (例如 SAML) 。 | ✅ | ✅ | ✅ | |
| PreferredAadTenantDomainName | 指定 Azure AD 租户中可用域的首选域。 | ✅ | ✅ | ✅ |
BitLocker
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| EncryptionMethod | 指定 BitLocker 驱动器加密方法和密钥长度 | ✅ |
蓝牙
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAdvertising | 设备是否可以发出蓝牙广告 | ✅ | ✅ | ✅ | ✅ |
| AllowDiscoverableMode | 其他已启用蓝牙的设备是否可发现该设备 | ✅ | ✅ | ✅ | ✅ |
| AllowPrepairing | 是否允许特定的捆绑蓝牙外围设备与主机设备自动配对 | ✅ | ✅ | ✅ | ✅ |
| AllowPromptedProximalConnections | 当可连接的蓝牙设备在用户设备范围内时,Windows 是否会提示用户 | ✅ | ✅ | ✅ | ✅ |
| LocalDeviceName | 设置本地蓝牙设备名称 | ✅ | ✅ | ✅ | ✅ |
| ServicesAllowedList | 设置允许的服务和配置文件的列表 | ✅ | ✅ | ✅ | ✅ |
浏览器
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAddressBarDropdown | 指定是否允许 Microsoft Edge 中的地址栏下拉功能。 如果要最大程度地减少从 Microsoft Edge 到 Microsoft 服务的网络连接,我们建议禁用此功能。 | ✅ | |||
| AllowAutofill | 指定网站中是否允许自动填充。 | ✅ | ✅ | ✅ | |
| AllowBrowser | 指定是否仅允许在 Windows 10 版本 1803 及更早版本的设备上 (浏览器) 。 | ✅ | |||
| AllowConfigurationUpdateForBooksLibrary | 指定 Microsoft Edge 是否可以自动更新书籍库的配置数据。 | ✅ | |||
| AllowCookies | 指定是否允许 Cookie。 | ✅ | ✅ | ✅ | |
| AllowDeveloperTools | 指定员工是否可对 Microsoft Edge 使用 F12 开发人员工具。 | ✅ | |||
| AllowDoNotTrack | 指定是否允许“请勿跟踪”标头。 | ✅ | ✅ | ✅ | |
| AllowExtensions | 指定是否允许 Microsoft Edge 扩展。 | ✅ | |||
| AllowFlash | 指定 Adobe Flash 是否可在 Microsoft Edge 中运行。 | ✅ | |||
| AllowFlashClickToRun | 描述:可以使用此策略设置决定员工是否必须采取操作,如单击内容或即点即用按钮,然后才能看到 Adobe Flash 中的内容。 | ✅ | |||
| AllowFullScreenMode | 指定是否允许全屏模式。 | ✅ | ✅ | ✅ | |
| AllowInPrivate | 指定企业网络中是否允许 InPrivate 浏览。 | ✅ | ✅ | ✅ | |
| AllowMicrosoftCompatibilityList | 指定是否在 Microsoft Edge 中使用 Microsoft 兼容性列表。 | ✅ | ✅ | ✅ | |
| AllowPasswordManager | 指定是否允许在设备本地保存和管理密码。 | ✅ | ✅ | ✅ | |
| AllowPopups | 指定是否允许或启用弹出窗口阻止程序。 | ✅ | ✅ | ||
| AllowPrelaunch | 指定当系统处于空闲状态时,Microsoft Edge 是否可以在 Windows 启动时作为后台进程预启动,等待用户启动。 | ✅ | |||
| AllowPrinting | 指定用户是否可以在 Microsoft Edge 中打印 Web 内容。 | ✅ | ✅ | ✅ | |
| AllowSavingHistory | 指定 Microsoft Edge 是否保存浏览历史记录。 | ✅ | |||
| AllowSearchEngineCustomization | 允许 MDM 注册设备使用搜索引擎自定义。 | ✅ | ✅ | ✅ | |
| AllowSearchSuggestionsinAddressBar | 指定地址栏中是否允许搜索建议。 | ✅ | ✅ | ✅ | |
| AllowSideloadingOfExtensions | 指定是否可以在 Microsoft Edge 中旁加载扩展。 | ✅ | |||
| AllowSmartScreen | 指定是否允许 Windows Defender SmartScreen。 | ✅ | ✅ | ✅ | ✅ |
| AllowTabPreloading | 指定是否允许在 Windows 登录期间预加载“开始”和“新建”选项卡页。 | ✅ | |||
| AllowWebContentOnNewTabPage | 指定“新建”选项卡页是使用默认内容打开还是打开空白页。 | ✅ | ✅ | ✅ | |
| AlwaysEnableBooksLibrary | 始终在 Microsoft Edge 中显示书籍库。 | ✅ | |||
| ClearBrowsingDataOnExit | 指定在退出 Microsoft Edge 时是否清除浏览数据。 | ✅ | |||
| ConfigureAdditionalSearchEngines | 允许为注册 MDM 的设备添加最多五个搜索引擎。 | ✅ | ✅ | ✅ | |
| ConfigureFavoritesBar | 指定是在所有页面上显示还是隐藏收藏夹栏。 | ✅ | |||
| ConfigureHomeButton | 配置是否显示“开始”按钮,以及选择“开始”按钮时应发生的情况。 还应配置 SetHomeButtonURL 设置。 若要配置此设置并允许用户更改“主页”按钮,请参阅 UnlockHomeButton 设置。 | ✅ | |||
| ConfigureKioskMode | 配置 Microsoft Edge 在展台模式下运行时(作为单应用展台或在展台设备上运行的多个应用之一)运行时的操作方式。 | ✅ | |||
| ConfigureKioskResetAfterIdleTimeout | 指定在展台模式下运行的Microsoft Edge 重置为默认展台配置的时间(以分钟为单位)。 | ✅ | |||
| ConfigureOpenMicrosoftEdgeWith | 指定Microsoft Edge 打开时应加载的页面。 还应配置 ConfigureStartPages 设置和 DisableLockdownOfStartPages 设置。 | ✅ | |||
| ConfigureTelemetryForMicrosoft365Analytics | 指定是否将 Microsoft Edge 浏览历史记录数据发送到 Microsoft 365 Analytics。 | ✅ | |||
| DisableLockdownOfStartPages | 指定是否禁用起始页中的锁定。 | ✅ | |||
| EnableExtendedBooksTelemetry | 启用此设置以在基本诊断数据的基础上,从“书籍”选项卡发送更多诊断数据。 | ✅ | ✅ | ||
| EnterpriseModeSiteList | 允许用户指定企业站点列表的 URL。 | ✅ | |||
| EnterpriseSiteListServiceUrl | 此策略(在 Windows 10 的 1507 版中引入)在 Windows 10 的 1511 版中被 Browser/EnterpriseModeSiteList 弃用。 | ✅ | |||
| FirstRunURL | 指定 Edge 首次打开时Microsoft使用的 URL。 | ✅ | |||
| 主页 | 指定 MDM 注册设备的起始页。 | ✅ | |||
| LockdownFavorites | 配置员工是否可以在 Microsoft Edge 中添加、导入、排序或编辑收藏夹列表。 | ✅ | |||
| PreventAccessToAboutFlagsInMicrosoftEdge | 指定用户是否可以访问 about:flags 页面,该页面用于更改开发人员设置和启用实验性功能。 | ✅ | ✅ | ✅ | |
| PreventCertErrorOverrides | 指定是否替代有关具有 SSL 错误的站点的安全警告。 | ✅ | ✅ | ✅ | |
| PreventFirstRunPage | 指定启用还是禁用“首次运行”网页。 | ✅ | |||
| PreventLiveTileDataCollection | 指定在将站点固定为从 Microsoft Edge 启动时 Microsoft 是否可以收集用于创建动态磁贴的信息。 | ✅ | ✅ | ✅ | |
| PreventSmartScreenPromptOverride | 指定用户是否可以覆盖有关潜在恶意网站的 Windows Defender SmartScreen 警告。 | ✅ | ✅ | ✅ | |
| PreventSmartScreenPromptOverrideForFiles | 指定用户是否可以替代有关下载未经验证文件的 Windows Defender SmartScreen 警告。 | ✅ | ✅ | ✅ | |
| PreventTabPreloading | 防止Microsoft Edge 在 Windows 启动时以及每次关闭Microsoft Edge 时启动和加载“开始”和“新建选项卡”页。 仅适用于 Windows 10 版本 1803 及更早版本。 | ✅ | |||
| PreventTurningOffRequiredExtensions | 使用分号分隔的扩展包系列名称列表,在 Microsoft Edge 中输入用户无法关闭的扩展列表。 | ✅ | |||
| PreventUsingLocalHostIPAddressForWebRTC | 指定在使用 WebRTC 协议拨打电话时是否显示用户的本地主机 IP 地址。 | ✅ | ✅ | ✅ | |
| ProvisionFavorites | 配置将为员工显示的默认收藏夹集。 | ✅ | |||
| SendIntranetTraffictoInternetExplorer | 指定是否将 Intranet 流量发送至 Internet Explorer。 | ✅ | |||
| SetDefaultSearchEngine | 为员工配置默认搜索引擎。 | ✅ | ✅ | ✅ | |
| SetHomeButtonURL | 为“主页”按钮指定自定义 URL。 还应启用 ConfigureHomeButton 设置并选择“ 显示主页”按钮;单击主页按钮加载特定 URL 选项。 | ✅ | |||
| SetNewTabPageURL | 为“新建”选项卡页指定自定义 URL。 | ✅ | |||
| ShowMessageWhenOpeningSitesInInternetExplorer | 指定用户使用企业站点列表打开在 Internet Explorer 中配置为开启的站点时,用户是否应查看 Microsoft Edge 中的完整间隙页。 | ✅ | |||
| SyncFavoritesBetweenIEAndMicrosoftEdge | 指定 Internet Explorer 与 Microsoft Edge 之间的收藏夹是否保持同步。 | ✅ | |||
| UnlockHomeButton | 指定用户是否可以对“主页”按钮进行更改。 | ✅ | |||
| UseSharedFolderForBooks | 指定组织是否应使用用户之间共享的文件夹来存储书籍库中的书籍。 | ✅ |
相机
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowCamera | 禁用或启用相机。 | ✅ | ✅ |
连接性
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowBluetooth | 允许用户启用蓝牙或限制访问。 | ✅ | ✅ | ✅ | ✅ |
| AllowCellularData | 允许在设备上使用手机网络数据信道。 | ✅ | ✅ | ✅ | |
| AllowCellularDataRoaming | 在设备中允许或禁止手机网络数据漫游。 | ✅ | ✅ | ✅ | |
| AllowConnectedDevices | 允许 IT 管理员禁用连接设备平台组件。 | ✅ | ✅ | ✅ | |
| AllowNFC | 在设备中允许或禁止近场通信 (NFC)。 | ✅ | |||
| AllowUSBConnection | 在设备与计算机之间启用 USB 连接,以与设备同步文件、使用开发人员工具或部署或调试应用程序。 | ✅ | |||
| AllowVPNOverCellular | 指定允许 VPN 使用的基础连接类型。 | ✅ | ✅ | ✅ | |
| AllowVPNRoamingOverCellular | 当设备通过手机网络漫游时禁止设备连接到 VPN。 | ✅ | ✅ | ✅ | |
| HideCellularConnectionMode | 隐藏允许用户更改连接模式的复选框。 | ✅ | ✅ | ✅ | |
| HideCellularRoamingOption | 隐藏允许用户更改漫游首选项的下拉菜单。 | ✅ | ✅ | ✅ |
CredentialProviders
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| DisableAutomaticReDeploymentCredentials | 此设置会禁止显示对设备触发电脑刷新的凭据提供程序。 此策略实际上不会触发刷新。 管理员用户需要经过身份验证,才能对目标设备触发刷新。 Windows 10 Autopilot 重置功能允许管理员将设备重置为已知的良好托管状态,同时保留管理注册。 触发自动重新部署后,设备可供信息工作者或学生使用。 | ✅ |
加密
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowFipsAlgorithmPolicy | 允许或禁止美国联邦信息处理标准 (FIPS) 策略。 | ✅ | |||
| TLSCiperSuites | 列出允许用于 SSL 连接的加密密码算法。 格式是以分号分隔的列表。 以最后一次写入为准。 | ✅ |
Defender
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowArchiveScanning | 允许或禁止扫描存档。 | ✅ | |||
| AllowBehaviorMonitoring | 允许或禁止 Windows Defender 行为监视功能。 | ✅ | |||
| AllowCloudProtection | 为了对你的电脑提供最佳保护,Windows Defender 会将它发现的任何问题的相关信息都发送给 Microsoft。 Microsoft 将对该信息进行分析,详细了解会影响你和其他客户的问题,并提供改进的解决方案。 | ✅ | |||
| AllowEmailScanning | 允许或禁止扫描电子邮件。 | ✅ | |||
| AllowFullScanOnMappedNetworkDrives | 允许或禁止对已映射的网络驱动器进行完全扫描。 | ✅ | |||
| AllowFullScanRemovableDriveScanning | 允许或禁止对可移动驱动器进行完全扫描。 | ✅ | |||
| AllowIntrusionPreventionSystem | 允许或禁止 Windows Defender 入侵防护功能。 | ✅ | |||
| AllowIOAVProtection | 允许或禁止 Windows Defender IOAVP 防护功能。 | ✅ | |||
| AllowOnAccessProtection | 允许或禁止 Windows Defender 访问时保护功能。 | ✅ | |||
| AllowRealtimeMonitoring | 允许或禁止 Windows Defender 实时监视功能。 | ✅ | |||
| AllowScanningNetworkFiles | 允许或禁止扫描网络文件。 | ✅ | |||
| AllowScriptScanning | 允许或禁止 Windows Defender 脚本扫描功能。 | ✅ | |||
| AllowUserUIAccess | 允许或禁止用户访问 Windows Defender 用户界面。 | ✅ | |||
| AvgCPULoadFactor | 表示 Windows Defender 扫描的平均 CPU 负载系数 () 百分比。 | ✅ | |||
| DaysToRetainCleanedMalware | 指定隔离项目将在系统中存储的时间段(以天表示)。 | ✅ | |||
| ExcludedExtensions | 指定要在扫描期间忽略的文件类型扩展的列表。 使用 |分隔列表中的每种文件类型。 | ✅ | |||
| ExcludedPaths | 指定要在扫描期间忽略的目录路径的列表。 使用 |分隔列表中的每个路径。 | ✅ | |||
| ExcludedProcesses | 指定进程在扫描期间要忽略的文件列表。 使用 |分隔列表中的每种文件类型。 进程本身不会从扫描中排除,但可以使用 Defender/ExcludedPaths 策略来排除其路径。 | ✅ | |||
| RealTimeScanDirection | 控制应该监视哪组文件。 | ✅ | |||
| ScanParameter | 选择要执行快速扫描还是完全扫描。 | ✅ | |||
| ScheduleQuickScanTime | 指定应运行 Windows Defender 快速扫描的时间。 | ✅ | |||
| ScheduleScanDay | 选择应运行 Windows Defender 扫描的日期。 | ✅ | |||
| ScheduleScanTime | 选择应运行 Windows Defender 扫描的时间。 | ✅ | |||
| SignatureUpdateInterval | 指定将用于检查签名的时间间隔(小时),因此将不使用 ScheduleDay 和 ScheduleTime,而根据时间间隔来设置针对新签名的检查。 | ✅ | |||
| SubmitSamplesConsent | 检查在 Windows Defender 中发送数据的用户同意级别。 | ✅ | |||
| ThreatSeverityDefaultAction | 指定任何有效的威胁严重性级别和需要采取的相应默认操作 ID。 | ✅ |
DeliveryOptimization/
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| DOAbsoluteMaxCacheSize | 指定传递优化缓存的最大大小(以 GB 为单位)。 | ✅ | |||
| DOAllowVPNPeerCaching | 指定是否允许设备在通过 VPN 连接到域网络时参与对等缓存。 | ✅ | |||
| DODelayBackgroundDownloadFromHttp | 允许在后台下载中延迟使用 HTTP 源,该下载允许使用对等。 | ✅ | |||
| DODelayForegroundDownloadFromHttp | 允许在前台延迟使用 HTTP 源, (允许使用对等) 交互式) 下载。 | ✅ | |||
| DODownloadMode | 指定在下载 Windows 更新、应用和应用更新时传递优化可以使用的下载方法。 | ✅ | |||
| DOGroupId | 指定设备所属的任意组 ID。 | ✅ | |||
| DOGroupIdSource | 设置此策略以将对等选择限制为特定源 | ✅ | |||
| DOMaxCacheAge | 指定每个文件在成功下载后可在传递优化缓存中保留的最长时间(以秒为单位)。 | ✅ | |||
| DOMaxCacheSize | 指定传递优化可以使用的最大缓存大小,以磁盘大小百分比 (1-100) 的形式表示。 | ✅ | |||
| DOMaxDownloadBandwidth | 指定设备在所有使用传递优化的并发下载活动中可使用的最大下载带宽,以每秒千字节为单位。 | ✅ | |||
| DOMaxUploadBandwidth | 使用传递优化,指定设备将跨所有并发上传活动使用的最大上传带宽(以千字节/秒为单位)。 | ✅ | |||
| DOMinBackgroundQos | 指定后台下载的最小下载 QoS(服务质量或速度),以每秒千字节为单位。 | ✅ | |||
| DOMinBatteryPercentageAllowedToUpload | 指定 1 到 100(百分比)之间的任意值,以在使用电池电源时允许设备将数据上传到 LAN 和组对等。 | ✅ | |||
| DOMinDiskSizeAllowedToPeer | 指定设备使用对等缓存所需的最小磁盘大小 (容量(以 GB) 为单位)。 | ✅ | |||
| DOMinFileSizeToCache | 指定使用对等缓存时需启用的最小内容文件大小 (MB)。 | ✅ | |||
| DOMinRAMAllowedToPeer | 指定使用对等缓存所需的最小 RAM 大小(以 GB 为单位)。 | ✅ | |||
| DOModifyCacheDrive | 指定传递优化应用于其缓存的驱动器。 | ✅ | |||
| DOMonthlyUploadDataCap | 指定允许传递优化在每个日历月上载到 Internet 对等方的最大字节总数(以 GB 为单位)。 | ✅ | |||
| DOPercentageMaxBackDownloadBandwidth | 将传递优化在所有并发下载活动中使用的最大后台下载带宽指定为可用下载带宽的百分比。 | ✅ | |||
| DOPercentageMaxDownloadBandwidth | 指定传递优化可在所有并发下载活动中使用的最大下载带宽,以可用下载带宽百分比表示。 | ✅ | |||
| DOPercentageMaxForeDownloadBandwidth | 将传递优化在所有并发下载活动中使用的最大前台下载带宽指定为可用下载带宽的百分比。 | ✅ | |||
| DORestrictPeerSelectionBy | 设置此策略以通过所选选项限制对等选择。 | ✅ | |||
| DOSetHoursToLimitBackgroundDownloadBandwidth | 将所有并发下载活动在营业时间内外使用的最大后台下载带宽指定为可用下载带宽的百分比。 | ✅ | |||
| DOSetHoursToLimitForegroundDownloadBandwidth | 将所有并发下载活动在营业时间内外使用的最大前台下载带宽指定为可用下载带宽的百分比。 | ✅ |
DeviceGuard
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| EnableVirtualizationBasedSecurity | 在下次重新启动时打开基于虚拟化的安全 (VBS)。 基于虚拟化的安全使用 Windows 虚拟机监控程序为安全服务提供支持。 | ✅ |
DeviceLock
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowIdleReturnWithoutPassword | 指定当设备从空闲状态恢复时用户是否必须输入 PIN 或密码。 | ||||
| AllowScreenTimeoutWhileLockedUserConfig | 指定是否显示用户可配置的设置以在锁屏上控制屏幕超时。 | ||||
| AllowSimpleDevicePassword | 指定是否允许“1111”或“1234”之类的 PIN 或密码。 对于桌面版,它还可以控制图片密码的使用。 | ✅ | ✅ | ||
| AlphanumericDevicePasswordRequired | 选择所需的 PIN 或密码类型。 | ✅ | ✅ | ||
| DevicePasswordEnabled | 指定是否已启用设备密码。 | ✅ | ✅ | ||
| DevicePasswordExpiration | 指定密码到期时间(以天为单位)。 | ✅ | ✅ | ||
| DevicePasswordHistory | 指定可在无法重用的历史记录中存储的密码数量。 | ✅ | ✅ | ||
| MaxDevicePasswordFailedAttempts | 指定擦除设备之前允许的身份验证失败的次数。 | ✅ | ✅ | ||
| MaxInactivityTimeDeviceLock | 指定设备空闲后,导致设备锁定 PIN 或密码前允许的最长时间(以分钟为单位)。 | ✅ | ✅ | ||
| MinDevicePasswordComplexCharacters | 指定强 PIN 或密码所需的复杂元素类型(大写和小写字母、数字和标点符号)的数量。 | ✅ | ✅ | ||
| MinDevicePasswordLength | 指定 PIN 或密码中所需的最少数字或字符数。 | ✅ | ✅ | ||
| ScreenTimeoutWhileLocked | 指定锁屏上屏幕超时的持续时间(以秒为单位)。 |
DeviceManagement
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT 核心版 |
|---|---|---|---|---|---|
| DisableMDMEnrollment | 使用此设置可阻止设备注册 MDM。 | ✅ |
Experience
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowCopyPaste | 指定是否允许复制和粘贴。 | ||||
| AllowCortana | 指定是否允许在设备上使用 Cortana。 | ✅ | ✅ | ||
| AllowDeviceDiscovery | 允许用户在用户界面中启用或禁用设备发现功能。 | ✅ | |||
| AllowFindMyDevice | 启用查找我的设备功能。 | ✅ | |||
| AllowManualMDMUnenrollment | 指定是否允许用户删除工作区帐户。 | ✅ | ✅ | ||
| AllowScreenCapture | 指定是否允许屏幕捕获。 | ||||
| AllowSIMErrorDialogPromptWhenNoSIM | 指定在未检测到 SIM 卡时是否显示对话框提示。 | ||||
| AllowSyncMySettings | 在设备上允许或禁止所有 Windows 同步设置。 | ✅ | |||
| AllowTailoredExperiencesWithDiagnosticData | 防止 Windows 使用诊断数据向用户提供定制体验。 | ✅ | |||
| AllowTaskSwitcher | 在设备上允许或禁止任务切换。 | ||||
| AllowThirdPartySuggestionsInWindowsSpotlight | 指定 Windows 聚焦中是否允许来自第三方软件发行者的应用和内容建议。 | ✅ | |||
| AllowVoiceRecording | 指定是否允许应用使用语音录制。 | ||||
| AllowWindowsConsumerFeatures | 启用通常仅供使用者使用的体验,例如“开始”建议、成员身份通知、OOBE 应用安装后和重定向磁贴。 | ✅ | |||
| AllowWindowsSpotlight | 指定是否一次关闭所有 Windows 聚焦功能。 | ✅ | |||
| AllowWindowsSpotlightOnActionCenter | 阻止在操作中心显示 Windows 聚焦通知。 | ✅ | |||
| AllowWindowsSpotlightWindowsWelcomeExperience | 禁用 Windows 聚焦的“欢迎使用 Windows”体验功能。 | ✅ | |||
| AllowWindowsTips | 启用或禁用 Windows 使用技巧。 | ✅ | |||
| ConfigureWindowsSpotlightOnLockScreen | 指定是否应在用户的锁屏中使用聚焦功能。 | ✅ |
ExploitGuard
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| ExploitProtectionSettings | 有关说明,请参阅策略 CSP 中的解释 ExploitProtectionSettings。 在 ExploitProtectionSettings 字段中,你可以输入缓解选项配置的路径(本地、UNC 或 URI),也可以输入配置的 XML。 | ✅ |
游戏
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAdvancedGamingServices | 目前不受支持。 | ✅ |
KioskBrowser
这些设置适用于 Microsoft Store 中提供的 展台浏览器 应用。
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| BlockedUrlExceptions | 受阻网站 URL 的例外列表, (通配符支持) 。 此设置用于配置允许 URL 展台浏览器导航到,这些 URL 是阻止 URL 的子集。 | ✅ | |||
| BlockedUrls | 使用通配符支持) (阻止的网站 URL 列表。 此设置用于配置阻止的 URL 展台浏览器无法导航到。 | ✅ | |||
| DefaultURL | 将默认 URL 展台浏览器配置为在启动和重启时导航。 | ✅ | |||
| EnableEndSessionButton | 启用/禁用展台浏览器的结束会话按钮。 | ✅ | |||
| EnableHomeButton | 启用/禁用展台浏览器的主页按钮。 | ✅ | |||
| EnableNavigationButtons | 启用/禁用展台浏览器的导航按钮 (向前/后退) 。 | ✅ | |||
| RestartOnIdleTime | 在展台浏览器以全新状态重启之前,会话处于空闲状态的时间(分钟)。 值是 int 1-1440,指定在展台浏览器以全新状态重启之前会话处于空闲状态的分钟数。 默认值为空,这意味着展台浏览器中没有空闲超时。 | ✅ |
若要在 Windows 配置设计器 中为阻止的 URL 异常 或阻止的 URL 配置多个 URL:
- 创建预配包。 准备好导出时,在 Windows 配置设计器中关闭该项目。
- 打开项目customizations.xml文件,例如 C:\Users\name\Documents\Windows Imaging and Configuration Designer (WICD (\) \Project_18)。
- 在每个 URL (之间插入空字符串,例如 https://www.bing.comwww.contoso.com) 。
- 保存 XML 文件。
- 在 Windows 配置设计器中再次打开该项目。
- 导出程序包。 确保不要重新访问展台浏览器下创建的策略,否则将删除 null 字符。
LocalPoliciesSecurityOptions
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| InteractiveLogon_DoNotDisplayLastSignedIn | 指定 Windows 登录屏幕是否显示最后一个登录者的用户名。 | ✅ | |||
| Shutdown_AllowSystemtobeShutDownWithoutHavingToLogOn | 指定是否可以在不登录的情况下关闭计算机。 | ✅ | |||
| UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers | 为标准用户配置提升提示的行为方式。 | ✅ |
位置
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| EnableLocation | 请勿使用。 |
电源
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowStandbyStatesWhenSleepingOnBattery | 指定在电池供电时将计算机置于睡眠状态时,Windows 是否可以使用待机状态。 | ✅ | |||
| AllowStandbyWhenSleepingPluggedIn | 指定在接通电源时将计算机置于睡眠状态时,Windows 是否可以使用待机状态。 | ✅ | |||
| DisplayOffTimeoutOnBattery | 指定在电池供电时 Windows 关闭显示器之前处于非活动状态的时间段。 | ✅ | |||
| DisplayOffTimeoutPluggedIn | 指定在接通电源时 Windows 关闭显示器之前处于非活动状态的时间段。 | ✅ | |||
| EnergySaverBatteryThresholdOnBattery | 指定在电池使用时打开节能器的电池充电级别。 | ✅ | |||
| EnergySaverBatteryThresholdPluggedIn | 指定在接通电源时打开节能器的电池充电级别。 | ✅ | |||
| HibernateTimeoutOnBattery | 指定 Windows 在电池供电时将系统转换为休眠之前处于非活动状态的时间段。 | ✅ | |||
| HibernateTimeoutPluggedIn | 指定在接通电源时 Windows 将系统转换为休眠之前处于非活动状态的时间段。 | ✅ | |||
| RequirePasswordWhenComputerWakesOnBattery | 指定在电池供电时系统从睡眠状态恢复时是否提示用户输入密码。 | ✅ | |||
| RequirePasswordWhenComputerWakesPluggedIn | 指定系统在接通电源时从睡眠状态恢复时是否提示用户输入密码。 | ✅ | |||
| SelectLidCloseActionBattery | 选择用户在使用电池时关闭移动设备盖子时要执行的操作。 | ✅ | |||
| SelectLidCloseActionPluggedIn | 选择当用户在接通电源时关闭移动设备上的盖子时要执行的操作。 | ✅ | |||
| SelectPowerButtonActionOnBattery | 选择用户在电池供电时按下电源按钮时要执行的操作。 | ✅ | |||
| SelectPowerButtonActionPluggedIn | 选择用户在接通电源时按下电源按钮时要执行的操作。 | ✅ | |||
| SelectSleepButtonActionOnBattery | 选择用户在电池供电时按下睡眠按钮时要执行的操作。 | ✅ | |||
| SelectSleepButtonActionPluggedIn | 选择用户在接通电源时按下睡眠按钮时要执行的操作。 | ✅ | |||
| StandbyTimeoutOnBattery | 指定 Windows 在电池供电时将系统转换为睡眠之前的不活动时间段。 | ✅ | |||
| StandbyTimeoutPluggedIn | 指定在接通电源时 Windows 将系统转换为睡眠状态之前处于非活动状态的时间段。 | ✅ | |||
| TurnOffHybridSleepOnBattery | 使用电池时关闭混合睡眠。 | ✅ | |||
| TurnOffHybridSleepPluggedIn | 在接通电源时关闭混合睡眠。 | ✅ | |||
| UnattendedSleepTimeoutOnBattery | 指定在电池供电时用户不在场时,Windows 将系统转换为自动睡眠之前的不活动时间段。 | ✅ | |||
| UnattendedSleepTimeoutPluggedIn | 指定在接通电源时用户不在场时,Windows 将系统自动转换为睡眠之前的处于非活动状态的时间段。 | ✅ |
隐私
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAutoAcceptPairingAndPrivacyConsentPrompts | 允许或禁止在启动应用时自动接受配对和隐私用户同意对话框。 | ||||
| AllowInputPersonalization | 允许对 Cortana、听写或 Store 应用程序使用基于云的语音服务。 | ✅ | ✅ |
搜索
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowCloudSearch | 允许搜索和 Cortana 搜索云源,例如 OneDrive 和 SharePoint。 T | ✅ | |||
| AllowCortanaInAAD | 此设置指定 Cortana 同意页是否可以显示在 Azure Active Directory (AAD) 设备现成体验 (OOBE) 流中。 | ✅ | |||
| AllowIndexingEncryptedStoresOrItems | 允许或禁止为项目创建索引。 | ✅ | |||
| AllowSearchToUseLocation | 指定搜索是否可以使用位置信息。 | ✅ | ✅ | ||
| AllowUsingDiacritics | 允许使用音调符号。 | ✅ | |||
| AllowWindowsIndexer | 索引器可提供对应用和系统组件(包括 Cortana、Outlook、文件资源管理器和 Edge)的快速文件、电子邮件和 Web 历史记录搜索。 若要提供这些功能,需要访问文件系统和应用数据存储(如 Outlook OST 文件)。 - 关闭 设置禁用 Windows 索引器 - 企业安全 设置可阻止索引器为加密文件或存储编制索引,建议对使用 Windows 信息保护 (WIP) - 企业 设置的企业降低潜在网络负载 - 标准 设置适用于使用者 |
✅ | |||
| AlwaysUseAutoLangDetection | 指定索引内容和属性时是否始终使用自动语言检测。 | ✅ | |||
| DoNotUseWebResults | 指定是否允许搜索在 Web 上执行查询。 | ✅ | |||
| DisableBackoff | 如果启用此设置,将禁用搜索索引器回退功能。 | ✅ | |||
| DisableRemovableDriveIndexing | 配置是否可向库中添加可移动驱动器上的位置。 | ✅ | |||
| PreventIndexingLowDiskSpaceMB | 阻止当索引位置所在的驱动器上剩余的硬盘空间小于指定的硬盘空间量时继续建立索引。 | ✅ | |||
| PreventRemoteQueries | 如果启用此设置,客户端将无法远程查询此设备的索引。 | ✅ | |||
| SafeSearchPermissions | 指定所需安全搜索的级别(筛选出成人内容)。 |
安全性
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAddProvisioningPackage | 指定是否允许安装预配包。 | ✅ | ✅ | ✅ | |
| AllowManualRootCertificateInstallation | 指定是否允许用户手动安装根和中间 CA 证书。 | ||||
| AllowRemoveProvisioningPackage | 指定是否允许删除预配包。 | ✅ | ✅ | ✅ | |
| AntiTheftMode | 允许或禁止在设备中使用防盗模式。 | ||||
| RequireDeviceEncryption | 指定是否需要进行加密。 | ✅ | ✅ | ✅ | ✅ |
| RequireProvisioningPackageSignature | 指定预配包是否必须具有由设备信任的颁发机构签署的证书。 | ✅ | ✅ | ✅ | |
| RequireRetrieveHealthCertificateOnBoot | 指定在设备启动或重新启动时是否检索并发布 TCG 启动日志,并获取或缓存来自 Microsoft Health 认证服务的已加密或已签名的运行状况证明报告。 | ✅ |
设置
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAutoPlay | 允许用户更改 AutoPlay 设置。 | ||||
| AllowDataSense | 允许用户更改流量感知设置。 | ||||
| AllowVPN | 允许用户更改 VPN 设置。 | ✅ | |||
| ConfigureTaskbarCalendar | 配置默认设置,以在任务栏时钟和日历浮出控件中显示区域设置) 的默认日历 (。 | ✅ | |||
| PageVisiblityList | 允许 IT 管理员防止他人查看或访问“系统设置”应用中的特定页面。 页面由其现已发布的 URI 的简缩版标识,即该 URI 减去“ms-settings:”前缀。 例如,如果设置页面的 URI 为“ms-settings:foo”,则策略中使用的页面将只标识为“foo”。 多个页面标识符用分号分隔。 | ✅ |
开始
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowPinnedFolderDocuments | 控制“文档”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderDownloads | 控制“开始”菜单上“下载”快捷方式的可见性。 | ✅ | |||
| AllowPinnedFolderFileExplorer | 控制“文件资源管理器”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderHomeGroup | 控制“家庭组”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderMusic | 控制“音乐”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderNetwork | 控制“网络”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderPersonalFolder | 控制“个人文件夹”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderPictures | 控制“图片”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderSettings | 控制“设置”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| AllowPinnedFolderVideos | 控制“视频”快捷方式在“开始”菜单上的可见性。 | ✅ | |||
| DisableContextMenus | 防止在“开始”菜单中调用上下文菜单。 | ✅ | |||
| ForceStartSize | 指定“开始”屏幕的大小。 | ✅ | |||
| HideAppList | 折叠或删除所有应用列表。 | ✅ | |||
| HideChangeAccountSettings | 在用户磁贴中隐藏更改帐户设置。 | ✅ | |||
| HideFrequentlyUsedApps | 隐藏“开始”的 Most used 部分。 | ✅ | |||
| HideHibernate | 阻止电源按钮中显示休眠选项。 | ✅ | |||
| HideLock | 阻止用户磁贴中显示锁定。 | ✅ | |||
| HidePeopleBar | 从任务栏中删除人员图标和相应的设置切换。 它还会阻止用户将人脉固定到任务栏。 | ✅ | |||
| HidePowerButton | 隐藏电源按钮。 | ✅ | |||
| HideRecentJumplists | 隐藏最近打开的项目的跳转列表。 | ✅ | |||
| HideRecentlyAddedApps | 隐藏“开始”菜单的最近添加部分。 | ✅ | |||
| HideRestart | 阻止重启和更新并重启出现在“电源”按钮中。 | ✅ | |||
| HideShutDown | 阻止关闭和更新并关闭出现在“电源”按钮中。 | ✅ | |||
| HideSignOut | 阻止用户磁贴中显示注销。 | ✅ | |||
| HideSleep | 阻止“电源”按钮中显示休眠选项。 | ✅ | |||
| HideSwitchAccount | 阻止用户磁贴中显示切换帐户。 | ✅ | |||
| HideUserTile | 隐藏用户磁贴。 | ✅ | |||
| ImportEdgeAssets | 为辅助磁贴导入 Edge 资产。 有关详细信息,请参阅为辅助 Microsoft Edge 磁贴添加图像。 | ✅ | |||
| NoPinningToTaskbar | 阻止用户在任务栏中固定和解锁应用。 | ✅ | |||
| StartLayout | 应用自定义“开始”布局。 有关这些设置的详细信息,请参阅使用预配包自定义 Windows 10“开始”菜单和任务栏 | ✅ |
系统
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowBuildPreview | 指定用户是否可以在 Windows 更新的高级选项中访问会员版本控件。 | ✅ | |||
| AllowEmbeddedMode | 指定是否可将常规用途设备设置为处于嵌入模式。 | ✅ | ✅ | ✅ | |
| AllowExperimentation | 确定 Microsoft 可以用产品做试验以研究用户的喜好或设备行为的级别。 | ✅ | |||
| AllowLocation | 指定是否允许应用访问定位服务。 | ✅ | ✅ | ✅ | ✅ |
| AllowStorageCard | 指定是否允许用户将存储卡用于设备存储。 | ✅ | ✅ | ✅ | |
| AllowTelemetry | 允许设备发送诊断和用法数据。 | ✅ | ✅ | ||
| AllowUserToResetPhone | 允许用户将手机恢复出厂设置。 | ✅ | |||
| ConfigureTelemetryOptInChangeNotification | 此策略设置确定设备是在首次登录时向用户显示有关遥测级别的通知,还是在“设置”中发生更改时显示通知。 | ✅ | |||
| ConfigureTelemetryOptInSettingsUx | 此策略设置确定用户是否可以在“设置”中更改自己的遥测级别 | ✅ | |||
| DisableDeviceDelete | 在“诊断 & 反馈设置”页中指定是否启用删除诊断数据。 | ✅ | |||
| DisableDataDiagnosticViewer | 配置用户是否可以从“诊断 & 反馈设置”页启用和启动诊断数据查看器。 | ✅ | |||
| DisableOneDriveFileSync | 禁止应用和功能使用 OneDrive 上的文件。 | ✅ | |||
| LimitEnhancedDiagnosticDataWindowsAnalytics | 此策略设置,再加上 System/AllowTelemetry 策略设置,使组织可通过 Windows Analytics 服务发送 Microsoft 的一组有关 IT 见解的特定诊断数据。 若要启用此行为,你必须启用此策略设置,并将“允许遥测”设置为级别 2(增强)。 配置这些策略设置时,会将基本级别的诊断数据以及 Windows Analytics 所需的其他事件发送到Microsoft。 在 System/AllowTelemetry 策略中启用增强的诊断数据,同时不配置此策略也会发送 Windows Analytics 所需的事件以及其他增强级别的诊断数据。 此设置对于配置为将完全级别、基本级别或安全级别的诊断数据发送给 Microsoft 的计算机不起作用。 如果禁用或未配置此策略设置,则发送到Microsoft的诊断数据的级别由 System/AllowTelemetry 策略确定。 | ✅ |
TextInput
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowIMELogging | 允许用户启用和禁用错误转换的日志记录以及将自动调节结果保存到基于文件和历史记录的预测输入。 | ✅ | |||
| AllowIMENetworkAccess | 允许用户打开 Open Extended Dictionary、Internet 搜索集成或云候选功能,以提供设备本地词典中不存在的输入建议。 | ✅ | |||
| AllowInputPanel | 禁用触摸/手写键盘。 | ✅ | |||
| AllowJapaneseIMESurrogatePairCharacters | 允许日语输入法的代理对字符。 | ✅ | |||
| AllowJapaneseIVSCharacters | 允许日语象形变体序列 (IVS) 字符。 | ✅ | |||
| AllJapaneseNonPublishingStandardGlyph | 所有日语非发布标准字形。 | ✅ | |||
| AllowJapaneseUserDictionary | 允许日语用户字典。 | ✅ | |||
| AllowKeyboardTextSuggestions | 指定对屏幕键盘、触摸键盘和手写识别工具启用还是禁用文本预测。 | ✅ | |||
| AllowLanguageFeaturesUninstall | 要卸载的所有语言功能。 | ✅ | |||
| AllowUserInputsFromMiracastRecevier | 请勿使用。 改为使用 WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver | ||||
| ExcludeJapaneseIMEExceptISO208 | 允许用户通过设置字符筛选器来限制转换的字符代码范围。 | ✅ | |||
| ExcludeJapaneseIMEExceptISO208andEUDC | 允许用户通过设置字符筛选器来限制转换的字符代码范围。 | ✅ | |||
| ExcludeJapaneseIMEExceptShiftJIS | 允许用户通过设置字符筛选器来限制转换的字符代码范围。 | ✅ |
TimeLanguageSettings
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowSet24HourClock | 将默认时钟设置配置为 24 小时制。 |
更新
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| ActiveHoursEnd | 与 Update/ActiveHoursStart 一起使用可管理未计划更新重新启动的活动时段范围。 | ✅ | ✅ | ✅ | |
| ActiveHoursMaxRange | 指定最大的使用时段范围。 | ✅ | ✅ | ✅ | |
| ActiveHoursStart | 将 与 Update/ActiveHoursEnd 配合使用 来管理未计划更新重启的活动时段范围。 | ✅ | ✅ | ✅ | |
| AllowAutoUpdate | 将自动更新行为配置为扫描、下载和安装更新。 | ✅ | ✅ | ✅ | ✅ |
| AllowAutoWindowsUpdateDownloadOverMeteredNetwork | 用于通过按流量计费的连接(默认情况下关闭)自动下载更新的选项。 输入 0 表示不允许,或输入 1 表示允许。 |
✅ | ✅ | ✅ | |
| AllowMUUpdateService | 管理是否扫描来自 Microsoft 更新的应用更新。 | ✅ | ✅ | ✅ | ✅ |
| AllowNonMicrosoftSignedUpdate | 管理在 UpdateServiceUrl 位置发现由 Microsoft 以外的实体签名的更新时自动更新是否接受该更新。 | ✅ | ✅ | ✅ | |
| AllowUpdateService | 指定设备是否可以使用 Microsoft 更新、Windows Server Update Services (WSUS) 或 Microsoft Store。 | ✅ | ✅ | ✅ | ✅ |
| AutoRestartDeadlinePeriodInDays | 指定在重启暂停时在活动时段之外发生强制重启之前的天数(在 2 与 30 之间)。 | ✅ | ✅ | ✅ | |
| AutoRestartDeadlinePeriodInDaysForFeatureUpdates | 指定在重启暂停时在活动时段之外发生强制重启之前的天数(在 2 与 30 之间)。 | ✅ | ✅ | ✅ | |
| AutoRestartNotificationSchedule | 指定自动重启提醒通知的时间段。 | ✅ | ✅ | ✅ | |
| AutoRestartRequiredNotificationDismissal | 指定用于关闭“需要自动重新启动”通知的方法。 | ✅ | ✅ | ✅ | |
| BranchReadinessLevel | 选择设备从哪个分支接收其更新。 | ✅ | ✅ | ✅ | ✅ |
| DeferFeatureUpdatesPeriodInDays | 按指定天数延迟功能更新。 | ✅ | ✅ | ✅ | |
| DeferQualityUpdatesPeriodInDays | 按指定天数延迟质量更新。 | ✅ | ✅ | ✅ | |
| DeferUpdatePeriod | 将更新延迟时间指定为最长 4 周。 | ✅ | ✅ | ✅ | ✅ |
| DeferUpgradePeriod | 将升级延迟时间指定为长达 8 个月。 | ✅ | ✅ | ✅ | ✅ |
| DetectionFrequency | 指定扫描更新的频率,每 1-22 小时一次。 | ✅ | ✅ | ✅ | ✅ |
| DisableDualScan | 不允许更新延迟策略导致对 Windows 更新进行扫描。 | ✅ | ✅ | ✅ | |
| EngagedRestartDeadline | 指定最后期限(天数),此期限过后将在使用时段以外的时间自动执行计划的重启。 | ✅ | ✅ | ✅ | |
| EngagedRestartDeadlineForFeatureUpdates | 指定最后期限(天数),此期限过后将在使用时段以外的时间自动执行计划的重启。 | ✅ | ✅ | ✅ | |
| EngagedRestartSnoozeSchedule | 指定用户可推迟预定重启提醒通知的天数。 | ✅ | ✅ | ✅ | |
| EngagedRestartSnoozeScheduleForFeatureUpdates | 指定用户可推迟预定重启提醒通知的天数。 | ✅ | ✅ | ✅ | |
| EngagedRestartTransitionSchedule | 指定从在工作时段外计划的自动重启转换为需要用户计划的预定重启之前的时间。 | ✅ | ✅ | ✅ | |
| EngagedRestartTransitionScheduleForFeatureUpdates | 指定从在工作时段外计划的自动重启转换为需要用户计划的预定重启之前的时间。 | ✅ | ✅ | ✅ | |
| ExcludeWUDriversInQualityUpdate | 在质量更新期间排除 Windows 更新 (WU) 驱动程序。 | ✅ | ✅ | ✅ | |
| FillEmptyContentUrls | 当元数据中缺少下载 URL 时,允许 Windows 更新代理确定下载 URL。 | ✅ | ✅ | ✅ | |
| ManagePreviewBuilds | 用于启用或禁用预览内部版本。 | ✅ | ✅ | ✅ | ✅ |
| PhoneUpdateRestrictions | 已弃用 | ✅ | |||
| RequireDeferUpgrade | 将设备配置为接收来自 Current Branch for Business (CBB) 的更新。 | ✅ | ✅ | ✅ | ✅ |
| ScheduledInstallDay | 安排进行更新安装的日期。 | ✅ | ✅ | ✅ | ✅ |
| ScheduledInstallEveryWeek | 若要安排每周安装一次更新,请将值设置为 1。 |
✅ | ✅ | ✅ | ✅ |
| ScheduledInstallFirstWeek | 若要安排每个月的第一周安装更新,请将值视为 1。 |
✅ | ✅ | ✅ | ✅ |
| ScheduledInstallFourthWeek | 若要安排每个月的第四周安装更新,请将值视为 1。 |
✅ | ✅ | ✅ | ✅ |
| ScheduledInstallSecondWeek | 若要安排每个月的第二周安装更新,请将值视为 1。 |
✅ | ✅ | ✅ | ✅ |
| ScheduledInstallThirdWeek | 若要安排每个月的第三周安装更新,请将值视为 1。 |
✅ | ✅ | ✅ | ✅ |
| ScheduledInstallTime | 安排进行更新安装的时间。 | ✅ | ✅ | ✅ | ✅ |
| ScheduleImminentRestartWarning | 指定即将自动重启警告通知的时间段。 | ✅ | ✅ | ✅ | |
| ScheduleRestartWarning | 指定自动重启警告提醒通知的时间段。 | ✅ | ✅ | ✅ | |
| SetAutoRestartNotificationDisable | 禁用更新安装的自动重启通知。 | ✅ | ✅ | ✅ | |
| SetDisablePauseUXAccess | 禁用对 Windows 更新进行扫描的访问。 | ✅ | ✅ | ✅ | |
| SetDisableUXWUAccess | 禁用 “暂停更新” 功能。 | ✅ | ✅ | ✅ | |
| SetEDURestart | 跳过电池剩余电量检查,以确保在 ScheduledInstallTime 时重新启动。 | ✅ | ✅ | ✅ | |
| UpdateNotificationLevel | 指定是启用或禁用 Windows 更新通知,包括重启警告。 | ✅ | ✅ | ✅ | |
| UpdateServiceUrl | 将设备配置为检查来自 WSUS 服务器而非 Microsoft 更新的更新。 | ✅ | ✅ | ✅ | ✅ |
| UpdateServiceUrlAlternate | 指定备用 Intranet 服务器,用于托管来自 Microsoft 更新的更新。 | ✅ | ✅ | ✅ | ✅ |
WLAN
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowAutoConnectToWiFiSenseHotspots | 允许设备自动连接到 Wi-Fi 热点。 | ✅ | |||
| AllowInternetSharing | 允许 Internet 共享。 | ✅ | |||
| AllowManualWiFiConfiguration | 允许连接到在 MDM 服务器安装网络之外的 Wi-Fi。 | ||||
| AllowWiFi | 允许 Wi-Fi 连接。 | ||||
| WLANScanMode | 配置 WLAN 扫描行为以及设备应如何主动扫描 Wi-Fi 网络以连接设备。 | ✅ | ✅ | ✅ |
WindowsInkWorkspace
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowSuggestedAppsInWindowsInkWorkspace | 在 Ink 工作区中显示建议的应用建议。 | ✅ | |||
| AllowWindowsInkWorkspace | 指定是否允许用户访问 Ink 工作区。 | ✅ |
WindowsLogon
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| HideFastUserSwitching | 在登录屏幕、“开始”菜单和任务管理器中隐藏切换帐户按钮。 | ✅ |
WirelessDisplay
| 设置 | 描述 | Windows 客户端 | Surface Hub | HoloLens | IoT Core |
|---|---|---|---|---|---|
| AllowUserInputFromWirelessDisplayReceiver | 此策略控制无线显示器是否可将输入(键盘、鼠标、笔和触控,具体取决于显示支持)发送回源设备。 例如,Surface Laptop 会无线投影到 Surface Hub。 如果允许来自无线显示器的输入,用户可以用笔在 Surface Hub 上绘制。 | ✅ |