Windows-11-logo

使用 MDM CSP TenantLockdown 策略将设备锁定到租户

        在 MDM CSP 中包含一个租户锁定的策略,即 TenantLockdown。从官方介绍可了解到 TenantLockdown 可以将设备锁定到租户,从而确保在发生意外或故意重置或擦除设备后,设备仍绑定到租户上。它的实现原理和逻辑还是比较容易理解的,借助 TenantLockdown 提供的 RequireNetworkInOOBE 策略,在值为 True 时,当设备在首次登录或重置后通过 OOBE 时,用户需要联网才能继续,而不是像过去那样有跳过的选项。这将强制用户在 OOBE 阶段进行联网,只要联网设备便会从 Internet 获取到注册状态,当设备之前是注册在 Autopilot 中时,后面的用户登录界面就会强制用户使用 M365 账号登录,从而在一定程度上保护了设备。

./Vendor/MSFT
TenantLockdown
----RequireNetworkInOOBE,布尔值:True 或 False

        参考文档:https://learn.microsoft.com/en-us/windows/client-management/mdm/tenantlockdown-csp

TenantLockdown

        有些网友可能会考虑到一些问题,例如不通过重置当前 Windows 实例,而是重新安装一遍 Windows,根据目前的测试 Windows 较新版本已经开始强制联网才能继续通过 OOBE;此外,TenantLockdown 还会向UEFI 中写入配置变量。对于企业中的普通用户来说,还是能够增加设备重用或非授权再用的难度,但要完全杜绝恐怕在管理技术上还有一段路要走。

force_network_flag

        另外,早先 Intune 的 Windows 限制测试中包含了“要求用户在设备安装期间连接到网络”的策略,但那时是可以通过断网手段来规避的,但随着策略逻辑的完善,对企业终端设备的管理会更加严谨可靠。

win-deviceconfig-restrictions

Windows_logo_horiz_blue_rgb

HOWTO: 解决 Windows 11 下 Edge 提示“你的连接不是专用连接”问题

        前几天遇到一个问题,一台 Windows 11 笔记本电脑连接其家中的路由器,上网访问网站一直报“你的连接不是专用连接”,看起来像是网站证书的问题,如果继续访问大概率会提示“未检测到入户网线”。重启路由器无效,重置 Microsoft Edge 浏览器依旧无法解决。

edge-issue

mirouter-issue

        排查家庭网络,发现入户光缆与GPON连接,然后室内网线连接至客厅电视旁的移动路由器,走的PPPoE拨号方式入网。为了解决室内Wi-Fi信号覆盖,移动路由下又连接了一个小米的AX6000路由器,通过DHCP方式从移动路由获取地址进行网络访问,其他手机和笔记本都与小米AX6000连接上网。

image

        看起来这个网络结构也没有问题,并且手机访问网络并未出现前面的提示故障。只有 Windows 11 的电脑会发生。逐一排查 Edge 浏览器配置,一个功能引起了注意 - “使用安全的DNS指定如何查找网络的网络地址”,该选项被打开,并且配置为“使用当前服务提供商”。

edge-disable-securedns

        随即将其禁用,并且打开小米AX6000管理界面,手动指定了DNS后,故障消失。初步怀疑是因为使用了安全DNS后发生了查询异常,或者被“拦截”。

Windows_logo_horiz_blue_rgb

HOWTO: 使用 PPKG 为 Windows 11 配置桌面和锁屏背景

        定制桌面和锁屏背景对于组织来说可以提升企业形象,并且也可以在登录或进入桌面时,利用背景图片中的信息来提示最终用户。

imageimage

        在传统的部署方式中,IT人员通常会预先定制 Image 来实现类似的需求,或者通过 GPO。如何在动态部署方式中使用 PPKG 来定制 Windows 桌面和锁屏背景呢?其中又会遇到哪些“坑”呢?!今天 gOxiA 就来分享相关的知识。

        当我们决定使用 PPKG 来定制时,可能会觉得非常简单容易,在左侧选择“DesktopBackgroundAndColors”进行相关项的配置,但其实并非如此。如果查阅“DesktopBackgroundAndColors”官方说明,请不要忽略“Do not use. Instead, use the Personalization settings.”。

ppkg-deploydesktopbackgroundfile

        是的,建议我们使用“Personalization”配置选项。如果当前要引用的图片文件来自网络,例如是一个 URL,那么配置后会发现没问题,可正确应用背景。但如果是要添加一个文件就没有那么容易了,仅仅配置“DeployDesktopImage”或“DeployLockScreenImage”从本地添加一个图片文件进去,在实际应用后并不会生效。

ppkg-personalization

        仔细查阅文档,理解文档,原来还要同时配置“DeployImageUrl”和“LockScreenImageUrl”选项,既然是URL那么这两个选项该怎么写呢?填写文件所在的完整路径?!可是如何不深入研究怎么知道加载的图片文件最终会保存到哪个目录下?!等到研究了所有文档做了大量验证后,填写了目录路径,又发现根本无效。原来,URL这里只需要直接填写图片文件名即可!!!(惊讶,惊悚,这篇官方文档于2022年12月10日更新,但依旧没有说清楚!!!)

        大坑还在后面,查阅使用范围,可看到该选项适用于 Windows Client,可是如果最终在专业版上部署后会发现依旧无效。原因是什么呢???!!!

image

        原因是这个 Personalization 隶属于 CSP,而这个配置仅适用于如下 SKU。

image

        但是,但是呢!虽然这个 Personalization CSP 仅支持 企业版、教育版和 SE 版,但如果设置了 SharePC CSP 中的 SetEduPolicies 后,它也将支持 Windows 专业版。一波多折,不论怎样如果你看到了 gOxiA 的这篇日志,起码可以少走很多弯路!!!

分页: 16/474 第一页 上页 11 12 13 14 15 16 17 18 19 20 下页 最后页 [ 显示模式: 摘要 | 列表 ]