HOWTO: 使用 Intune CSP 为 Windows 11 OOBE 跳过设备选择隐私设置
HOWTO: 为 Windows 11 OOBE 跳过设备选择隐私设置
前面 gOxiA 分享了如何使用 PPKG 跳过 Windows OOBE 过程,但是细心的网友会发现在登录桌面完成首次动画后会显示“为你的设备选择隐私设置”的界面,并且无法跳过。对于企业自动化部署场景来说,这一步会造成一些影响。那么我们该如何跳过设备选择隐私设置呢?!
在 Windows 10 的时候我们可以通过配置 PrivacyConsentStatus 键值来略过隐私设置,它位于 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE,类型为 DWORD,设置为 1 时将跳过隐私设置,但为 2 时则会重新显示隐私设置。
但是这个键值在 Windows 11 上失去了作用,取而代之的是 DisablePrivacyExperience,它位于 HKLM\SOFTWARE\Policies\Microsoft\Windows\OOBE,类型依旧是 DWORD,值为 1 时则禁用隐私设置。
如果当前组织仍在使用传统的 GPO 实施测试,则可以通过“计算机配置 - 管理模板 - Windows 组件 - OOBE”,找到“在用户登录时不启动隐私设置体验”进行配置。
如果当前基于动态部署方式,则可以考虑在 PPKG 中添加“ProvisioningCommands”,然后使用“DeviceContext”下的“CommandLine”执行注册表修改命令。
对于使用现代部署模式,如 Intune,则可以下发 CSP 策略。
Scope:Device and User
Editions:除了Home以外
OS:1809及以上版本
User:./User/Vendor/MSFT/Policy/Config/Privacy/DisablePrivacyExperience
Device:./Device/Vendor/MSFT/Policy/Config/Privacy/DisablePrivacyExperience
Format:Int
Value:1
从 CSP 的版本使用情况来看,对于 Windows 10 使用 DisablePrivacyExperience 也是适用的。
参考文档:https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-privacy
HOWTO: 为 MSIX 创建自签名证书
HOWTO: 为 MSIX 创建自签名证书
MSIX 是一种 Windows 应用安装包的格式,它可以将我们的 Win32 或 UWP 甚至是绿色版软件打包成 MSIX 格式用于企业批量和自动化部署。另外从官方文档了解到 1.2019.1220.0 还支持将包含的服务转换为应用程序。这对于一些要部署国产小软件的企业来说是个好消息,未来 gOxiA 也将尝试去打包那些应用程序。
而今天我们要分享的是如何为 MSIX 创建自签名证书,因为 MSIX 生成后要发布给最终用户需要对 MSIX 进行签名,如果当前环境没有 CA 或无法生成所需的证书就需要创建自签名证书,否则无法应用 MSIX。
在创建自签名证书前,我们需要确定 MSIX 的 发布者信息,通常这些信息位于 AppxManifest.xml 文件中,其 Publisher 信息必须与证书中的主体相同。之后参考下面的命令行创建证书:
New-SelfSignedCertificate -Type Custom -Subject "CN=Contoso Software, O=Contoso Corporation, C=US" -KeyUsage DigitalSignature -FriendlyName "Your friendly name goes here" -CertStoreLocation "Cert:\CurrentUser\My" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.3", "2.5.29.19={text}")
其中:
- -keyusage 表示证书的用途,对于自签名证书,应为 DigitalSignature
- -TextExtension 表示一些扩展设置,2.5.29.37={text}1.3.6.1.5.5.7.3.3,表示证书用于代码签名;2.5.29.19={text} 表示该证书非CA
接下来使用 PowerShell 查看证书信息:
Set-Location Cert:\CurrentUser\My
Get-ChildItem | Format-Table Subject, FriendlyName, Thumbprint
在确认了证书信息后,现在可以将证书导出为 pfx 格式,为此执行:
$password = ConvertTo-SecureString -String <Your Password> -Force -AsPlainText
Export-PfxCertificate -cert "Cert:\CurrentUser\My\<Certificate Thumbprint>" -FilePath <FilePath>.pfx -Password $password
现在我们拿到了 pfx 就可以用于 MSIX 签名,后续 gOxiA 也会积极分享 MSIX 相关的实践。
参考文档:
https://learn.microsoft.com/zh-cn/windows/msix/package/create-certificate-package-signing
HOWTO: 大规模部署 Windows Teams 客户端
HOWTO: 大规模部署 Windows Teams 客户端
早前 Teams 是作为独立的安装包来发布的,这对正在部署 Teams 的组织是一项巨大的挑战,因为很多 IT 还在下载 EXE 的安装包,并将其用于大规模部署中。其实 Teams 当前已经被包含在 Microsoft 365 Apps 中,下图可以了解包含 Teams 的版本发布情况。
企业 IT 人员可以通过 ODT 生成安装配置文件直接部署,默认包含 Teams 组件。但如果你希望在 M365 Apps 安装中排除 Teams 也是可行的,通过在 XML 中添加 <ExcludeApp ID="Teams" /> 即可。
如果因为某些原因,当前组织还在单独部署 Teams 应用程序,也完全不是问题,因为微软提供了用于大规模部署的 MSI 安装包。
Teams 商业:Teams 32bit,Teams 64bit,Teams ARM64
虽然 Teams 提供了 MSI 安装包,但它还是比较特别的,并非传统的面向设备上下文安装,而是每当新用户登录产生新的用户配置文件时都会启动安装程序,并在用户的文件夹中安装 Teams 应用的副本。
此外当首次启动 Teams 时还需要用户同意其配置防火墙,当然微软也为此提供了一个脚本方案 - https://learn.microsoft.com/en-us/microsoftteams/client-firewall-script?source=recommendations 。
对于那些希望 Teams 在安装后不要自启动的场景,可以在 Teams MSI 部署时使用特定的参数 OPTIONS="noAutoStart=True" ALLUSERS=1 。或者通过组策略进行设置,“用户配置 - 策略 - 管理模板 - Microsoft Teams”。如果没有这个 Teams 管理模板,则需要提前下载准备,Office 管理模板下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=49030
但对于已经部署过的 Teams 并设置过自启动的用户实例,必须先将组策略设置为所需的值后,在基于每个用户运行 Teams 自动启动重置脚本。
最后,如果要卸载并清理 Teams 安装,则可以参考微软提供的脚本:https://learn.microsoft.com/en-us/microsoftteams/scripts/powershell-script-deployment-cleanup?source=recommendations
参考资料:
https://learn.microsoft.com/en-us/MicrosoftTeams/msi-deployment
