安全設定

「安全」設定提供 Windows 裝置的裝置、應用程式、資料及備份和還原設定。

使用 安全 設定來配置下列安全特定的原則設定:

  • 裝置安全
  • 裝置加密 (位元定位器)
  • 資料安全性
  • 鑑別與加密法
  • 應用程式安全性
表 1. 裝置安全設定
原則設定 說明 支援的裝置
容許裝置鎖定畫面的通知中心 在裝置鎖定螢幕模式下容許動作中心通知。 Windows Phone 8.1+
停用 USB 或 SD 卡 不容許在裝置上使用外部 USB 或 SD 卡。
  • Windows Phone 8+
  • Windows 10 + Professional、Education、Enterprise
容許開發人員解除鎖定 解除鎖定電話,以啟用對電話的應用程式部署。 停用此設定以防止執行未授信應用程式。
附註: 啟用此設定會置換 容許安裝非 Windows 商店應用程式 設定。
  • Windows Phone 8.1+
  • Windows 10 + Professional、Education、Enterprise
  • Windows 全息圖
容許手動取消登記 容許使用者手動從裝置中刪除 WorkPlace 帳戶。 停用此設定會導致裝置加強或失去連線功能,並且可能需要在 Microsoft 授權服務中心維修裝置。
  • Windows Phone 8.1+
  • Windows 10 + Professional、Education、Enterprise
  • Windows 全息圖
容許原廠重設 容許裝置重設為原廠設定。 停用此設定可能會導致裝置失敗或失去連線功能,並且可能需要在 Microsoft 授權服務中心維修裝置。
  • Windows Phone 8.1+
  • Windows 10 + Professional、Education、Enterprise
表 2. 裝置加密 (位元 Docker) 設定
原則設定 說明 支援的裝置
施行儲存卡加密 在裝置上施行儲存卡加密。
附註: 此設定需要 Windows Phone 10 1703 + 版。
 Windows Phone 10+
施行裝置加密磁碟機 依預設在裝置上啟用內部儲存體加密。 在 Windows 筆記型電腦及平板電腦上,系統會提示使用者啟用系統或固定磁碟機加密。 在「裝置視圖」中,加密狀態會發佈為 加密等級
附註: 此設定需要 Windows 10 MDM Extender 服務 1.90+ 版本。
  • Windows Phone 8+
  • Windows 10 + Professional、Education、Enterprise
  • Windows 全息圖
施行可移除加密磁碟機 在抽取式裝置上寫入或儲存內容動作期間,對抽取式裝置施行加密。 Windows 10 + Professional、Education、Enterprise
置換系統磁碟機回復訊息 置換預設系統磁碟機回復訊息。 Windows 10 + Professional、Education、Enterprise
將 BitLocker 回復密碼備份至 Active Directory BitLocker 回復密碼會自動備份在網域結合裝置上。
  • 對於 Azure Active Directory 結合裝置,密碼會顯示在 Azure 入口網站中的裝置資訊下。
  • 對於內部部署 Active Directory 結合裝置,密碼會顯示在「裝置視圖」的「內容」區段下。
 Windows 10 + Professional、Education、Enterprise
將 BitLocker 回復密碼備份至一般使用者入口網站 每日在 一般使用者入口網站中的任何裝置上自動備份回復密碼。 使用者可以從 一般使用者入口網站中的裝置記錄回復其密碼。 Windows 10 + Professional、Education、Enterprise
表 3. 資料安全設定
原則設定 說明 支援的裝置
容許複製貼上 容許使用者在裝置上複製並貼上內容。 Windows Phone 8.1
容許畫面擷取 容許裝置上的畫面擷取。 Windows Phone 8.1+
容許另存新檔 Office 文件 容許使用者將裝置上的檔案儲存為 Microsoft Office 檔案。 Windows Phone 8.1
容許共用 Office 文件 容許使用者共用 Microsoft Office 檔案。 Windows Phone 8.1
表 4. 鑑別及加密法設定
原則設定 說明 支援的裝置
容許 FIPS 相符性原則 容許裝置上的「美國聯邦資訊處理標準 (FIPS)」原則。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise
容許使用 EAP 憑證型鑑別的 SSO 容許使用可延伸鑑別通訊協定 (EAP) 憑證型鑑別來單一登入,以存取內部資源。 Windows 10 + Professional、Education、Enterprise
容許快速重新連線 容許對傳輸層安全 (TLS) 嘗試快速 EAP 重新連線。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise
  • Windows 全息圖
容許次要鑑別裝置 容許次要已鑑別裝置使用 Windows。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise
表 5. 應用程式安全設定
原則設定 說明 支援的裝置
容許安裝非 Windows Store 應用程式 將值設為已啟用或已停用,或將使用者控制項設為容許或禁止在非 Windows Store 應用程式上重新安裝。 此設定與 容許開發人員解除鎖定 原則設定搭配使用。
附註: 如果您使用 Mobile App Management for Enterprise Apps 或 Browsers for Windows Phones ,則必須啟用此設定。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise
  • Windows 全息圖
容許自動更新 Windows Store 應用程式 可讓您從 Microsoft Store 自動更新應用程式。
  • Windows 10 + Professional、Education、Enterprise
  • Windows 全息圖
禁止已安裝的儲存應用程式 容許在裝置上重設為原廠設定。 Windows 10 + Professional、Education、Enterprise
僅容許專用儲存 僅容許 Windows Store for Business。 已停用零售型錄。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise
限制應用程式安裝至系統磁碟機 限制將應用程式安裝至系統磁碟機。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise
限制應用程式資料寫入系統磁區 應用程式資料受限於系統磁區。
  • Windows Phone 10+
  • Windows 10 + Professional、Education、Enterprise