通过 Intune 自定义配置文件实现禁用 UAC
通过 Intune 自定义配置文件实现禁用 UAC
持续关注 gOxiA Blog 的朋友们可能已经注意到近期的主题都与 Intune 有关,移动设备管理需求剧增,传统 ITPro 是该抓紧时间了解“现代桌面”管理了。如果您跟随 gOxiA 也在学习 Intune,那么不要错过这篇日志。在企业 IT 桌面环境下很多组织都将 UAC 禁用,以避免影响到客户体验,或业务应用程序的运行,虽然 gOxiA 并不建议禁用 UAC(启用 UAC 极大的提高了用户运行环境的安全性,避免无意中触发不必要的变更操作,导致系统环境受损,影响正常运行。)但如果你希望能够通过 Intune 来禁用 UAC 也还是可以实现的。
还记得之前我们讲过的设备配置文件吗?它与我们传统的客户端管理中使用的组策略(GPO)类似,但支持更多中配置文件类型,有类似于 GPO 的管理模板类型,也有设备限制类型,也有针对应用的如电子邮件类型,自定义类型则利用 CSP(策略配置服务提供程序)接口提供了强大的可定制的,灵活的配置能力。本例我们将使用自定义配置文件来创建 UAC 设置。
跟随向导为配置文件起个易于识别的名称,然后添加 OMA-URI 设置。格式参考 https://docs.microsoft.com/zh-cn/windows/configuration/provisioning-packages/how-it-pros-can-use-configuration-service-providers,这里我们会使用 Policy CSP 的 LocalPoliciesSecurityOptions 中的配置项,涉及三个:
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
数据类型:整型
值:0
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
数据类型:整型
值:0
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
数据类型:整型
值:0
OMA-URI 创建完毕后,将配置文件分配给“所有设备”即可。
巧妙利用 MSfB 在 Windows 10 LTSC 上部署 UWP 程序
巧妙利用 MSfB 在 Windows 10 LTSC 上部署 UWP 程序
LTSC即长期服务通道,在过去被称为LTSB(长期服务分支),到目前位置微软一共发行了三个LTSC版本:
l Windows 10企业版 2015 LTSC,基于Windows 10 1507
l Windows 10企业版 2016 LTSC,基于Windows 10 1607
l Windows 10企业版 2019 LTSC,基于Windows 10 1809
通过 LTSC 服务模型,可以帮助企业延迟接收 Windows 功能更新,默认情况下 Windows 10 会在一年中提供两次的功能更新。此外,LTSC 还提供了长达 10年的生命周期。还有一点吸引企业 IT 人员的是 LTSC 未包含 Windows 10 的新桌面体验功能(如:Cortana、Edge、Microsoft Store和所有内置的Windows应用程序)。
不论怎样!LTSC 并非适用于大多数或所有电脑上部署,它仅适用在一些特定的应用场景或专用设备之上。这里有一篇文章介绍了 LTSC,强烈建议先行阅读。
简单理解,如果您的电脑上安装了 Office 等生产力应用软件,或连接了一些打印机等外设,那么这款电脑就不应安装 LTSC,如果您安装了并在使用中发生了一些问题,也无法从微软那里得到有效的技术支持。
即便如此,我们广大的企业IT人员还是非常青睐这个版本的操作系统。因为在 Windows 10 企业版 2019 LTSC 中又添加了很多的新功能,例如:
l 基于Windows 10 1809构建。
l 受Intune支持(注:WUfB目前不受支持),包括执行Autopilot部署。
l 安全性得以增强,提供了Windows Defender ATP、WIP、Windows Hello企业版,等安全功能和特性。
要了解更详尽的信息,可访问:https://docs.microsoft.com/zh-cn/windows/whats-new/ltsc/whats-new-windows-10-2019
回到正题,当我们在部署安装 LTSC 后可能需要使用常规版本下的 Windows 内置的应用程序,如 Windows Camera(相机)。由于缺少 Microsoft Store 我们将无法重新安装那些经典好用的 Windows 内置应用,此时正确的方案应该是从第三方获取独立的相机应用程序,他们可以是 Win32 或 UWP 类型的应用。
但如果当前 LTSC 应用场景下又必须使用 Windows Camera 这类的内置应用,又该有什么办法呢?!
经过研究,如果您所在的组织正好在使用 Intune,并开通了Microsoft Store for Business(简称:MSfB),那么这个问题就很容易解决了。我们可以从 MSfB 门户下载到 Windows Camera 的离线安装包。
首先,利用搜索找到 Windows Camera,您会发现这个 UWP 提供了 Online 和 Offline 两种部署方式,而且授权模式是 Free!!!
获取该应用后,便可以通过管理界面下载它的离线安装包,在下载时请务必正确选择相关的信息,如系统平台为 Windows 10 desktops,最小版本 17134 即不低于 1803 版的 Windows 10,架构是 x64,以及语言。之后,就可以下载这款应用的离线安装包。
此外,根据需要下载应用程序的授权文件,对于 Windows Camera 由于是 Free 授权,这个倒是可以略过。由于 Windows Camera 还需用一些运行框架支持,所以一定要将“Required frameworks”下的三个包也一同下载安装。
所有的应用包获取完毕后,便可以进入实质的安装阶段。首先,将这些文件拷贝到目标设备上的一个目录中,例如:C:\temp\camera。
然后,使用 DISM 或 PowerShell 命令行即可完成安装,通过DISM安装应用包(Appx or AppxBundle)参考如下:
安装完毕之后,在启动程序时请务必确保设备已经能够访问 Internet,否则应用将无法正常启动(会在日志中看到 COM ActivateExtension 相关的网络错误)。
我们也可以通过 PowerShell 命令“Add-AppPackage“进行安装,参考命令如下:
最后,分享两篇有关 LTSC 与 Surface 设备兼容性的指导文章。
https://docs.microsoft.com/en-us/surface/surface-device-compatibility-with-windows-10-ltsc
Windows Insider 变更新版本发行方式
Windows Insider 变更新版本发行方式
微软 Windows Insider Program 在六月中下旬公布了项目的最新变更信息,将当前基于 Ring 的版本发布模式转换成了新的 Channel 模式。这一变化意味着 Windows Insider 版本发布的重心将由多频率转变为高质量。此外该模式也与现有的 Office 和 Edge 吻合,为用户带来一致的评估体验。
新的 Channel 模式也非常便于理解,具体参考如下:
- Dev Channel,对应之前的 Fast ring,适用于一些高级用户或开发人员,可获得开发周期中最早的内部版本,体验到最新的更新,当然这也意味着不完善或存在不稳定的因素。
- Beta Channel,对应之前的 Slow ring,适用于那些喜欢尝鲜但又注重稳定性的用户。
- Release Preview Channel,对应之前的 Release Preview ring,该版本意味着无限接近正式版,已具备最终的关键功能,和可靠的质量更新。适用于组织内部大范围的验证和评估。
需要注意的是,以上变更目前还未正式体现在 Windows 预览体验计划的功能设置中,您看到的仍是“慢、快、Release Preview”三个选项。
更详尽的详细可阅览微软的官方网站:https://blogs.windows.com/windowsexperience/2020/06/15/introducing-windows-insider-channels/
