使用 MDM CSP TenantLockdown 策略将设备锁定到租户

        在 MDM CSP 中包含一个租户锁定的策略，即 TenantLockdown。从官方介绍可了解到 TenantLockdown 可以将设备锁定到租户，从而确保在发生意外或故意重置或擦除设备后，设备仍绑定到租户上。它的实现原理和逻辑还是比较容易理解的，借助 TenantLockdown 提供的 RequireNetworkInOOBE 策略，在值为 True 时，当设备在首次登录或重置后通过 OOBE 时，用户需要联网才能继续，而不是像过去那样有跳过的选项。这将强制用户在 OOBE 阶段进行联网，只要联网设备便会从 Internet 获取到注册状态，当设备之前是注册在 Autopilot 中时，后面的用户登录界面就会强制用户使用 M365 账号登录，从而在一定程度上保护了设备。

./Vendor/MSFT
TenantLockdown
----RequireNetworkInOOBE，布尔值：True 或 False

        参考文档：https://learn.microsoft.com/en-us/windows/client-management/mdm/tenantlockdown-csp

        有些网友可能会考虑到一些问题，例如不通过重置当前 Windows 实例，而是重新安装一遍 Windows，根据目前的测试 Windows 较新版本已经开始强制联网才能继续通过 OOBE；此外，TenantLockdown 还会向UEFI 中写入配置变量。对于企业中的普通用户来说，还是能够增加设备重用或非授权再用的难度，但要完全杜绝恐怕在管理技术上还有一段路要走。

        另外，早先 Intune 的 Windows 限制测试中包含了“要求用户在设备安装期间连接到网络”的策略，但那时是可以通过断网手段来规避的，但随着策略逻辑的完善，对企业终端设备的管理会更加严谨可靠。