Windows 的 Workspace ONE UEM 配置文件

Workspace ONE UEM 中的配置文件是管理和配置 Windows 设备的主要方法。查找有关连接到和保护资源、限制和控制设备以及特定于 Dell 的各种配置文件的信息。

什么是配置文件

您可以将配置文件视作各种设置和规则，当它们与合规策略结合使用时，可协助您强制执行企业规则和程序。配置文件中含有您要对设备强制使用的设置、配置和限制。

配置文件由常规的配置文件设置和特定的负载组成。配置文件在仅包含单一负载时效果最好。在 Workspace ONE UEM Console 中，可以通过导航到以下页面来查找用户和设备配置文件：资源 > 配置文件和基准 > 配置文件。

显示“UEM 配置文件”页面。

用户或设备级别

Windows 桌面配置文件在用户级别或设备级别上应用到设备。在创建 Windows 桌面配置文件时，您可以选择配置文件将要应用到的级别。某些配置文件不会同时适用于这两个级别，您只能将它们应用于用户级别或设备级别。Workspace ONE UEM console 确定哪些配置文件在哪个级别可用。成功使用设备和用户配置文件的一些注意事项包括以下列表。

即使设备没有处于活动状态的注册用户登录名，Workspace ONE UEM 也会运行应用于设备环境的命令。
用户特定的配置文件需要活动的注册用户登录。

您可以使用一些标准配置文件和命令来设置和控制设备。下图显示了配置文件和控制台的命令，这些命令不再需要活动窗口用户执行。

配置文件名称	在没有活动 Windows 用户的情况下安装
密码	是
WiFi	是
VPN	是
凭证	是
限制	是
Defender 攻击保护	是
数据保护	是
Windows Hello	是
防火墙	是
加密	是
防病毒	是
Windows 更新	是
代理	是
SCEP	是
应用程序控制	是
Windows 许可	是
自定义配置文件（HUB 和 OMA-DM）	是
自助服务终端 (Kiosk)	是
个性化	是
对等分发	是
统一写入器筛选器	是

控制台操作	适用于无活动Windows用户
设备安全性	是
Windows 信息	是
运行状况证明	是
可用操作系统更新	是
Hub 签入	是
证书列表采样	是
安全信息	是
信息	是
应用列表示例 - HUB	是
应用列表示例 - OMA-DM	是
传感器	是
工作流	是
时间段	是
重新引导	是
企业擦除	是
设备擦除	是
企业重置	是
请求设备日志	是

用于配置 Windows 用户和设备配置文件的新配置文件选项

我们更新了有关如何分配用户和设备配置文件的选项，方法是添加第二个 Windows(Beta) 平台生成器。在控制台中，添加用户或设备配置文件时，需要从 Windows 或 Windows(Beta) 平台中进行选择。导航：资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Windows -或- Windows(Beta) 此时将显示控制台导航以添加新的配置文件。将显示用于选择 Windows 或 Windows(Beta) 的选项。

Windows 平台选项

您可以使用此平台选项，通过自定义设置与 Workspace ONE Intelligent Hub 集成，继续添加和自定义用户和设备配置文件。如果您通过 Intelligent Hub 配置了自定义设置，请继续使用此选项，而不是迁移到新的 Windows(Beta) 平台选项，因为 (Beta) 版此时不支持所有自定义设置。

Windows(Beta) 平台选项

如果未对用户和设备配置文件使用自定义设置，则迁移到此平台选项。添加配置文件时，您将能够搜索 Microsoft 本机配置服务提供商 (CSP) 选项，然后根据需要将其应用于配置文件。未来将进行功能增强，例如添加当前标记为功能标记的 VMware 模板。

将显示使用 Microsoft 本机 CSP 添加新配置文件的页面。

当前不支持自定义设置。可以在 Microsoft 网站上找到 CSP 详细信息的完整列表：策略 CSP 详细信息。

Microsoft 本机模板

在 Windows(Beta) 平台选项下，没有功能标记即可使用 Microsoft 本机模板。在 Microsoft 本机选项卡下，您可以搜索和应用其他 Microsoft 本机 CSP 选项（如果需要）。在帐户下拉列表下，有一个新增功能显示支持的 Windows 版本信息（如果 Microsoft 提供）。

添加新的 Microsoft 本机配置文件时，您现在可以查看受支持的 Windows 版本信息（如果 Microsoft 提供）。

功能标记 - VMware 模板

在 Windows(Beta) 平台选项下，类似于 Microsoft 本机模板，但在功能标志后面，我们创建了数据驱动用户界面 (DDUI) VMware 模板。VMware 模板选项卡为管理员提供了更精细的选项，以使用预配置设置对某些 Microsoft 本机 CSP 进行更深入的自定义，并能够在以下位置自定义三种最常见的配置：交付优化、修补程序管理和代理。通过使用这些部分中的切换开关，可以根据需要调整预配置的设置。

用于添加新配置文件并启用功能标记的页面将显示 VMware 模板选项卡和 Microsoft 本机选项卡。

注意：如果配置这两个选项卡（Microsoft 本机和 VMware 模板），请确保未同时在 Microsoft 本机下设置 VMware 模板中的项目，因为其中一项可能会覆盖其他选项卡和/或产生问题。

防病毒配置文件

创建防病毒配置文件，以在 Windows 桌面设备上配置本机 Windows Defender 防病毒软件。为所有设备配置 Windows Defender 可确保最终用户在使用设备时得到保护。

重要提示：该配置文件只会配置本机 Windows Defender 防病毒程序，而不配置其他第三方防病毒设备。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择防病毒配置文件。

配置防病毒设置：

设置	说明
实时监控	启用此选项以配置 Windows Defender 防病毒程序对设备进行实时监控。
实时扫描方向	启用此选项可配置 Windows Defender 防病毒程序，以监控入站文件、出站文件或所有文件。使用此选项有助于提高为在一个方向处理流量的 Windows Server 安装定义的那些服务器或服务器角色的网络性能。
云保护级别	启用此选项可配置 Windows Defender 防病毒程序在阻止和扫描可疑文件方面的主动性。设置此菜单项时，请考虑网络性能。
云阻止超时	选择 Windows Defender 防病毒程序在分析后将文件视为潜在威胁时保持阻止该文件的时间（以秒为单位）。默认阻止时间为 10 秒。系统会将此菜单项中设置的秒数添加到默认时间。
签名更新	签名更新间隔（以小时为单位）签名更新文件共享源运行扫描前检查签名签名更新回退顺序
扫描间隔	完全扫描 - 启用此选项，可调度运行系统完全扫描的时间。选择扫描之间的时间间隔（以小时为单位）。快速扫描 - 启用此选项，可调度运行系统快速扫描的时间。选择扫描之间的时间间隔（以小时为单位）。
排除项	选择要从 Windows Defender 防病毒程序扫描中排除的文件路径或进程。选择新增以添加例外。
威胁默认操作（低级、中级、高级和严重威胁）	为扫描中发现的不同威胁级别设置默认操作。清理 – 选择此选项以清理有威胁的问题。隔离 – 选择此选项将威胁单独放到一个隔离文件夹中。移除 – 选择此选项将威胁从系统中移除。允许 – 选择此选项以保留威胁。用户定义 – 选择此选项让用户决定如何处理威胁。无操作 – 选择此选项对威胁不执行任何操作。屏蔽 – 选择此选项以屏蔽威胁对设备进行访问。
高级	扫描平均 CPU 负载因子 - 设置 Windows Defender 防病毒程序在扫描期间可使用的 CPU 的最大平均百分比。 UI 锁定 - 启用此选项，可完全锁定 UI，因此最终用户无法更改设置。弥补完全扫描 - 启用此选项，可允许运行之前中断或错过的完全扫描。弥补扫描是一种由于错过了定期计划的扫描而启动的扫描。错过计划扫描时间的原因，通常是因为计算机当时处于关闭状态。弥补快速扫描 - 启用此选项，可允许运行之前中断或错过的快速扫描。弥补扫描是一种由于错过了定期计划的扫描而启动的扫描。错过计划扫描时间的原因，通常是因为计算机当时处于关闭状态。行为监控 - 启用此选项，可设置病毒扫描程序向 Microsoft 发送活动日志。入侵防御系统 - 启用此选项，可配置网络保护，防止利用已知漏洞。此选项使 Windows Defender 防病毒程序能够持续监控网络连接并确定潜在的恶意行为模式。在这方面，该软件的行为类似于传统的病毒扫描程序，只是它不扫描文件，而是扫描网络流量。 PUA 保护 - 启用此选项可设置 Windows Defender 防病毒程序，以监控最终客户端上可能有害的应用程序 (PUA)。 IOAV 保护 - 启用此选项可让 Windows Defender 扫描下载的文件。 OnAccess 保护 - 启用此选项可设置 Windows Defender 防病毒程序，以防止文件和文件夹受到未经授权的访问。云保护 - 启用此选项可设置 Windows Defender 防病毒程序，以使用专有资源和机器学习快速检测并阻止威胁。用户同意 - 启用此选项可设置 Windows Defender 防病毒程序，以在对已确定的威胁采取措施之前提示最终客户端用户予以同意。扫描电子邮件 - 启用此选项，可允许 Windows Defender 扫描电子邮件。扫描映射的网络驱动器 - 启用此选项可允许 Windows Defender 扫描映射到设备的网络驱动器。扫描档案 - 启用此选项可允许 Windows Defender 对存档文件夹运行完全扫描。扫描可移动驱动器 - 启用此选项可允许 Windows Defender 防病毒程序扫描连接到设备的任何可移动驱动器。多长时间后移除隔离文件 - 设置将文件隔离多久后再进行移除。

选择保存并发布。

应用程序控制配置文件

使用应用程序控制配置文件来限制可以将哪些应用程序安装到 Windows 桌面设备上。限制应用程序安装可保护您的数据免受恶意应用的攻击，并阻止最终用户访问企业设备上不必要的应用。

要允许或禁止在设备上安装应用程序，您可以启用应用程序控制，以信任和阻止特定应用程序。虽然合规引擎会监控设备的受信任应用和阻止的应用，但应用程序控制甚至可以阻止用户尝试添加或移除应用程序。例如，禁止在设备上安装某个游戏应用程序，或者只允许在设备上安装特定的受信任应用。推送配置文件后，在应用程序控制负载推送到设备前安装在设备上的阻止的应用会禁用。

应用程序控制配置文件可阻止用户运行可能会引发问题的禁止应用，从而帮助降低设备管理成本。防止应用引发问题可减少支持人员必须应答的电话次数。

配置应用程序控制配置文件

启用应用程序控制以信任和阻止特定应用程序，从而允许或禁止使用设备上的应用程序。应用程序控制使用 Microsoft AppLocker 的配置，对 Windows 设备强制执行应用控制。

要配置 XML 配置文件，您必须先在设备上配置 AppLocker 设置，并将该文件导出以配合配置文件的使用。

应用程序控制配置文件需要安装 Windows 企业版或教育版。

重要提示：

先使用“仅审核”模式创建策略。在测试设备上使用“仅审核”版本完成验证之后，创建一个“强制”模式版本，供设备使用。如果没有在常规使用之前对策略进行测试，可能会导致设备不可用。
为您所在组织创建默认规则和任何其他所需规则，以降低锁定默认配置或重启后设备发生故障的机率。如需创建规则方面的进一步信息，请参阅 Microsoft TechNet 刊载的有关 AppLocker 的文章。

过程

在配置设备上，启动本地安全策略编辑器。
导航至应用程序控制策略 > AppLocker，然后选择配置规则强制。
选择强制规则，以启用可执行规则、Windows 安装程序规则和脚本规则的强制执行。
选择右侧文件夹，然后右键单击该文件夹并选择创建新规则，以创建可执行规则、Windows 安装程序规则和脚本规则。请记住，创建默认规则可以减少锁定默认配置或中断设备的机率。
创建您想要的所有规则之后，右键单击 AppLocker 并选择导出策略，然后保存 XML 配置文件。
在 Workspace ONE UEM console 中导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择应用程序控制负载。
选择导入样本设备配置，然后选择上载，可添加策略配置文件。
选择保存并发布。

BIOS 配置文件

使用 BIOS 配置文件为选定的 Dell 企业设备配置 BIOS 设置。此配置文件要求与 Dell Command | Monitor 进行集成。

对 BIOS 配置文件设置的支持因 Dell 企业设备而异。Dell Command | Monitor 必须上载和/或分配给每个设备。

必备条件

如果要使用配置软件包功能，您必须将 Dell Command | Configure 应用推送到设备。
此配置文件还要求与 Dell Command | Monitor 进行集成。添加 Dell Command | 产品。

过程

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。

注意：配置文件现在有一个默认选项。默认选项不会更改设备上的设置。在新的配置文件默认设置中，密码设置将设置为管理，而所有其他设置将设置为默认。

为配置文件配置常规设置。
选择 BIOS 负载并配置以下设置。
- BIOS 密码设置 - 选择受管以便让 Workspace ONE UEM 为设备自动生成唯一的强 BIOS 密码。您可以从“设备详细信息”页面访问生成的密码。选择手动以输入您自己的 BIOS 密码。
- BIOS 密码 - 输入用于解锁设备 BIOS 的密码。当 BIOS 密码设置设置为“手动”时，将显示此设置。
- TPM 芯片 - 选择启用，可启用设备的受信任的平台模块 (TPM) 芯片。如果禁用 TPM 芯片，则还会禁用一次性 BIOS 密码功能。在使用后，从受管 BIOS 配置文件设置的 BIOS 密码不会轮换。
- 安全引导 - 选择启用可在设备上使用“安全引导”设置。您无法使用 DCM 禁用安全启动。
- CPU 虚拟化 - 选择启用可启用硬件虚拟化支持。
- 虚拟化 IO - 选择启用可启用输入/输出虚拟化。
- 受信任执行 - 选择启用可允许设备将 TPM 芯片、CPU 虚拟化和虚拟化 IO 用于信任决策。信任执行需要将 TPM 芯片、CPU 虚拟化和虚拟化 IO 设置设为已启用。
- 无线 LAN - 选择启用可允许使用设备无线 LAN 功能。
- 蜂窝无线电 - 选择启用可允许使用设备蜂窝无线电功能。
- 蓝牙 - 选择启用可允许使用设备蓝牙功能。
- GPS - 选择启用可允许使用设备 GPS 功能。
- SMART 报告 - 选择启用可使用设备存储解决方案的 SMART 监控。
- 原电池充电 - 选择设备的充电规则。这些规则控制电池开始和停止充电的时间。如果您选择自定义充电，则可手动设置充电百分比以便开始和停止为电池充电。
  - 标准充电 - 请考虑对在电池电源和外部电源之间切换的用户使用此选项。此选项以标准速率对电池完全充电。充电时间因设备型号而异。
  - 快速充电 - 请考虑对需要在短时间段内充电的用户使用此选项。利用 Dell 的快速充电技术，在计算机电源关闭的情况下，大约 1 小时内可将电池电量完全充电至 80%，约 2 小时内可充电至 100%。计算机电源打开时，充电时间可能会延长。
  - AC 充电 - 请考虑对主要插接外部电源运行其系统的用户使用此选项。此设置可以通过降低充电阈值来延长电池的使用寿命。
  - 自动充电 - 请考虑对想要设置选项但不进行更改的用户使用此选项。此选项允许系统根据您的典型电池使用模式对电池设置进行优化。
  - 自定义充电 - 请考虑对希望更好地控制电池何时启动和停止充电的高级用户使用此选项。
- 原电池自定义充电开始限位 - 设置设备开始为电池充电之前必须达到的电池电量百分比。
- 原电池自定义充电停止限位 - 设置在设备停止为电池充电之前必须达到的电池电量百分比。
- 峰值漂移 - 选择启用可使用峰值漂移，以控制设备何时使用电池电量或交流电。借助峰值移位，您可以在特定时间段内使用电池电源，而不是交流电源。要为峰值移位设置日程，请选择日历图标图标。
- 峰值漂移调度 - 峰值漂移调度的三个参数控制设备使用电池或交流电的时间和设备为电池充电的时间。
  - 峰值移位开始 – 设置峰值移位的开始时间，即设备切换为电池电源的时间。
  - 峰值移位结束 – 设置峰值移位的结束时间，即设备切换为交流电源的时间。
  - 峰值移位充电开始 – 设置“峰值移位充电”的开始时间，即设备使用交流电源时为电池充电的时间。
- 峰值漂移电池阈值 - 设置在将设备从电池电源切换回交流电源之前电池电量必须达到的百分比。峰值移位充电开始设置控制设备在切换为交流电源后为电池充电的时间。
- 系统属性 - 选择添加系统属性以添加自定义系统属性。再次选择该按钮可添加其他属性。这些属性属于高级选项。使用这些设置之前，先查看 Dell 文档。系统属性将会覆盖配置文件中配置的任何预定义设置。
- 类 - 输入一个类，然后从下拉菜单中选择该类。选择添加系统属性后，该课程会显示。
- 系统属性 - 输入系统属性，然后从下拉菜单中选择该系统属性。选择添加系统属性后，该课程会显示。
- BIOS 属性 - 选择添加 BIOS 属性以添加自定义 BIOS 属性。再次选择该按钮可添加其他属性。这些属性属于高级选项。使用这些设置之前，先查看 Dell 文档。BIOS 属性将会覆盖配置文件中配置的任何预定义设置。
- BIOS 属性 - 输入 BIOS 属性，然后从下拉菜单中选择该属性。选择添加 BIOS 属性后，该属性会显示。
- 值 - 选择 BIOS 属性的值。如果没有提供值，BIOS 属性为只读属性。选择添加 BIOS 属性后，该属性会显示。
- 配置包 - 选择上载以添加 Dell Command | Configure 配置包。上传软件包后，您可以使用单个配置来配置多个 Dell 设备。配置软件包将会覆盖任何自定义系统属性。如果您信任允许的文件扩展名，则必须将 CCTK 文件扩展名添加到允许列表中。导航到组与设置 > 所有设置 > 内容 > 高级 > 文件扩展名以添加文件扩展名。
选择保存并发布。

凭证配置文件

凭证配置文件允许您将根证书、中间证书和客户端证书推送到 Windows 设备，以为公钥基础架构 (PKI) 和证书身份验证用例提供支持。该配置文件将已配置的凭证推送到 Windows 桌面设备上的适当凭证存储。了解如何配置凭证配置文件，以便为您的 Windows 设备启用身份验证。

即便使用强密码和其他限制策略，您的基础结构还会很容易受到暴力破解和字典攻击，甚至会因员工差错而受到影响。为了提高安全性，您可以实施数字证书来保护企业资产。要以此方式使用证书，您必须先配置一个包含证书颁发机构的凭证负载，并且配置 Wi-Fi 和 VPN 负载。其中每个负载中都含有用于关联凭证负载中定义的证书颁发机构的设置。

凭证配置文件还允许您将 S/MIME 证书推送到设备。这些证书会被上传到每个用户帐户名下并由凭证配置文件所控制。

配置凭证配置文件

凭证配置文件将用来进行身份验证的证书推送到设备。有了 Workspace ONE UEM，您可以为个人证书、中间证书、受信任的根证书、受信任的发布者证书以及受信任的人员证书存储配置凭证。了解如何配置凭证配置文件，以便为您的 Windows 设备启用身份验证。

凭证配置文件还允许您将 S/MIME 证书推送到设备。这些证书会被上传到每个用户帐户名下并由凭证配置文件所控制。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择用户配置文件或设备配置文件。
为配置文件配置常规设置。

选择凭证负载并配置以下设置：

设置	说明
凭证来源	可选择上载、定义的证书颁发机构或用户证书作为凭证来源。其余负载选项有赖于来源。如果选择“上载”，则必须上载新证书。如果选择“定义的证书颁发机构”，则必须选择预定义的证书颁发机构和模板。如果选择用户证书，则必须选择 S/MIME 证书的使用方式。
上载	选择此选项以导航到所需的凭证证书文件，并将该文件上传至 Workspace ONE UEM Console。此设置在将上传选作凭证来源时显示。
证书颁发机构	使用下拉菜单选择预定义的证书颁发机构。此设置在将定义的证书颁发机构选作凭证来源时显示。
证书模板	使用下拉菜单选择特定于所选证书颁发机构的预定义证书模板。此设置在将定义的证书颁发机构选作凭证来源时显示。
密钥位置	选择存放证书私钥的位置。 TPM (如果存在) - 如果设备上存在受信任的平台模块 (TPM)，选择此选项将私钥存储在 TPM，否则将之存储在操作系统内。需要 TPM - 选择此选项将私钥存储在受信任的平台模块。如果 TPM 不存在，则不会安装证书，且设备上将显示错误消息。软件 - 选择此选项将私钥存储在设备操作系统中。 Passport - 选择此选项将私钥保存在 Microsoft Passport 内。此选项需要 Azure AD 集成。
证书存储	选择要寄存在设备中的相应凭证的证书存储。个人 – 选择此项以存储个人证书。个人证书要求在设备上安装 Workspace ONE Intelligent Hub 或使用 SCEP 负载。中间 - 选择此项以存储中间证书颁发机构颁发的证书。受信任的根 - 选择此项以存储受信任的证书颁发机构颁发的证书以及您所在组织和 Microsoft 颁发的根证书。受信任的发布者 - 选择此项以存储由受软件限制策略信任的证书颁发机构颁发的证书。受信任的人员 - 选择此项以存储由受明确信任的人员或最终实体颁发的证书。这些证书往往是自签名证书或在某个应用程序 (如 Microsoft Outlook) 中受到明确信任的证书。
存储位置	选择用户或计算机来指定存储证书的位置。
S/MIME	选择 S/MIME 证书将被用于加密还是签字。仅当凭证来源设置为用户证书时，才会显示此选项。

选择保存并发布，可将配置文件推送到设备。

自定义设置配置文件

利用自定义设置负载，可以通过 Workspace ONE UEM 当前通过其原生负载支持尚不支持的方式使用 Windows 桌面功能。如果您要使用这些新功能，可使用自定义设置负载和 XML 代码来手动启用或禁用某些设置。

必备条件

您必须为 Windows 桌面配置文件编写自己的 SyncML 代码。Microsoft 在其网站上公布了配置服务提供程序参考站点。要创建自定义 SyncML，请尝试使用通过 VMware Fling 程序提供的 Policy Builder Fling。

示例代码


  <Replace>
    <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
        </Meta>
        <Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>
      </Item>
  </Replace>

过程

导航到 VMware Fling 程序。
选择要用于创建自定义配置文件的配置服务提供程序策略。
选择配置。
在“配置”页面上，配置策略设置以满足您的业务需求。
选择要用于策略的命令谓词：Add、Delete、Remove 或 Replace。
选择复制按钮。
在 Workspace ONE UEM console 中导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择用户配置文件或设备配置文件。
为配置文件配置常规设置。
选择自定义设置负载并单击配置。
为自定义配置文件选择目标。

大多数用例都使用 OMA-DM 作为目标。在自定义 BitLocker 配置文件或想要阻止用户禁用 AirWatch 服务时，请使用 Workspace ONE Intelligent Hub。
选择将命令原子化，只要您的 SyncML 使用 Add、Delete 或 Replace 命令即可。如果您的代码使用 Exec，请勿选择将命令原子化。
将您复制的 XML 粘贴到安装设置文本框内。粘贴的 XML 代码必须包含完整的代码块（从 <Add> 到 </Add>），或者，无论您的 SyncML 代码使用哪种命令，请勿在这些标记前后包含任何内容。
将移除代码添加到“删除设置”文本框。删除代码必须包含 <replace> </replace> 或 <delete> </delete>。

此代码可启用“移除配置文件”和“停用配置文件”等 Workspace ONE UEM 功能。如果没有移除代码，则无法从设备移除配置文件，只能推送另一个自定义设置配置文件。有关详细信息，请参阅 https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference。
选择保存并发布。

阻止用户禁用 Workspace ONE UEM 服务

使用自定义设置配置文件可阻止最终用户在其 Windows 设备上禁用 Workspace ONE UEM (AirWatch) 服务。阻止最终用户禁用 Workspace ONE UEM 服务可确保 Workspace ONE Intelligent Hub 使用 Workspace ONE UEM console 运行常规签入，并接收最新策略更新。

创建自定义设置配置文件。
将目标设置为 Protection Agent。

将以下代码复制并粘贴到自定义设置文本框中：


          <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
            <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
              <parm name="LockDownAwService" value="True"/> 
            </characteristic>
          </wap-provisioningdoc>

选择保存并发布。如果要从最终用户设备上移除限制，您必须使用以下代码推送单独的配置文件。


          <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile"> 
            <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
              <parm name="LockDownAwService" value="False"/> 
            </characteristic> 
          </wap-provisioningdoc>

Dynamic Environment Manager (DEM) 配置文件

VMware Dynamic Environment Manager (DEM) 可在 Windows 设备上的用户会话之间提供持久的用户体验。功能包括对 Windows 和应用进行个性化设置，以及在特定触发器或应用启动时执行用户和计算机操作。您可以将 Dynamic Environment Manager 和 Workspace ONE UEM 集成在一起，以便将这些功能与 DEM 配置文件结合使用。

Workspace ONE UEM 中的 DEM 配置文件会部署在 VMware Dynamic Environment Manager 管理控制台（DEM 管理控制台）中创建的 DEM 配置文件。DEM 配置文件适用于 Workspace ONE UEM 管理的 Windows 设备，无论这些设备是虚拟设备、物理设备还是云端设备。在设备上，适用于 Windows 的 Workspace ONE Intelligent Hub 和 DEM FlexEngine 将提取并应用您的配置文件。

DEM 文档

有关 VMware Dynamic Environment Manager 的详细信息，请参阅 VMware Docs 站点。

需要 CDN

此功能需要 CDN。

如果您具有 SaaS 环境并且已禁用 CDN，则必须启用 CDN，否则 DEM 集成不可用。
如果您具有内部部署环境，但未使用或未配置 CDN，则 DEM 集成不可用。

注意事项

在 DEM 中，使用 UEM 集成模式创建 DEM 配置文件。如果不使用此模式，则无法创建 DEM 配置文件。Workspace ONE UEM 目前不支持 DEM 配置 SMB。
确保 Dynamic Environment Manager 和 Workspace ONE UEM 中的配置不会发生冲突。例如，不要在一个控制台中限制某些配置，而在另一个控制台中允许这些配置。
在 Workspace ONE UEM 中，不要将多个 DEM 配置文件分配给单个设备。将多个 DEM 配置文件分配给单个设备可能会部署不正确的配置。
使用自定义安装过程（而不是默认安装过程）提取并安装 DEM 管理控制台和 DEM FlexEngine。默认安装过程仅安装 DEM 管理控制台。
使用 DEM v2106 或更高版本，因为早期版本不支持此集成。

在集成之前执行以下任务

必须先安装 DEM 管理控制台，并且必须将 DEM FlexEngine 部署到受管设备，然后才能集成 VMware Dynamic Environment Manager (DEM) 和 Workspace ONE UEM。

下载并提取 DEM Management Console 和 DEM FlexEngine。
- 转到 VMware Customer Connect 站点以获取 VMware Dynamic Environment Manager。
- 下载控制台和引擎的适用版本。
在要在其中创建配置文件的设备上安装 DEM 管理控制台。
- 通过选择 Configure | Integration | Workspace ONE UEM Integration，将 DEM 管理控制台切换到 UEM 集成模式。
创建 DEM 配置文件时，请完成以下任务，如在 NoAD 模式下安装 FlexEngine 中所述。
- 在配置过程中包含 NoAD.xml 文件。
- 通过从 DEM 管理控制台的主菜单图标导入许可证文件来包含许可证文件。
- 保存 DEM 配置文件，以便可以使用 DEM 配置文件将其上载到 Workspace ONE UEM。
将 DEM FlexEngine 作为应用 (MSI) 部署到具有 Workspace ONE UEM 的受管 Windows 设备。受管设备需要 DEM FlexEngine 和适用于 Windows 的 Workspace ONE Intelligent Hub，才能在设备上应用 DEM 配置文件。
1. 在 Workspace ONE UEM console 中，选择适用的组织组。
2. 导航到资源 > 应用 > 本机 > 内部。
3. 上载 DEM FlexEngine MSI 文件。
4. 在部署选项选项卡上，在安装期间在命令行中启用 UEM 集成模式。
  1. 转到如何安装部分。
  2. 在安装命令文本框中输入命令。
    示例：msiexec.exe /i "VMware Dynamic Environment Manager Enterprise 2106 10.3 x64.msi" /qn INTEGRATION_ENABLED=1
5. 保存并分配应用，以将其部署到包含受管 Windows 设备的相应智能组。

配置 DEM 配置文件

使用 Workspace ONE UEM 设备配置文件在受管 Windows 设备上部署 DEM (Dynamic Environment Manager) 配置。

在 Workspace ONE UEM 中，导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面作为平台。
选择设备配置文件。
为配置文件配置常规设置。常规负载包括智能组分配，因此请分配包含受管 Windows 设备的智能组以接收 DEM 配置文件。
选择 Dynamic Environment Manager (DEM) 负载。
使用 DEM 页面上载 DEM 配置文件，然后选择保存并发布以完成配置。

Workspace ONE UEM 将 DEM 配置文件部署到分配的智能组中的受管设备。设备上的 DEM FlexEngine 和适用于 Windows 的 Workspace ONE Intelligent Hub 将应用 DEM 配置文件。只有在系统提供配置文件之后注销并登录到设备后，才会显示配置文件更改。

应用 DEM 配置文件更改

设备用户必须注销，然后重新登录到受管 Windows 设备，才能查看 DEM 配置文件部署的配置文件更改。

数据保护配置文件

“数据保护”配置文件可通过配置相关规则来控制企业应用程序访问来自您所在组织多个源的数据。了解如何使用数据保护配置文件确保只有安全且经批准的应用程序才能访问您的数据。

由于同一设备上会同时存储个人和工作数据，有可能会出现通过您所在组织无法控制的服务而造成意外数据泄漏。借助数据保护负载，Workspace ONE UEM 可以控制企业数据在应用程序之间的移动方式，从而限制数据泄漏，并将对最终用户的影响降至最低。Workspace ONE UEM 使用 Microsoft Windows 信息保护 (WIP) 功能来保护 Windows 设备。

数据保护的工作原理是信任企业应用程序以向其授予访问受保护网络中的企业数据的权限。如果最终用户将数据转移到非企业应用程序，则您可以根据选定的强制策略执行相应操作。

WIP 会将数据当作未加密个人数据或企业数据来进行保护和加密。受信任进行数据保护的应用程序包括四种不同的类型。这些类型将决定应用与保护数据的交互方式。

启发式应用 - 这些应用完全支持 WIP 功能。启发式应用可以访问个人和企业数据，不会出现问题。如果数据通过启发式应用进行创建，您可以将数据保存为未加密个人数据或加密企业数据。您可以使用数据保护配置文件限制用户使用启发式应用保存个人数据。
允许 - 这些应用支持 WIP 加密数据。允许的应用可同时访问企业和个人数据，但应用会将所有访问的数据保存为加密企业数据。允许的应用将个人数据保存为加密企业数据，因而 WIP 批准的外部应用将无法访问。请考虑视情况缓慢地信任应用，以防止访问数据时出现问题。请联系软件供应商，了解 WIP 批准信息。
豁免 - 您可在创建数据保护配置文件时确定豁免执行 WIP 策略的应用。豁免不支持 WIP 加密数据的任何应用。如果应用不支持 WIP 加密，尝试访问加密企业数据时此应用会中断。没有任何 WIP 策略适用于豁免应用。豁免应用可以访问未加密个人数据和加密企业数据。由于豁免应用可在不执行 WIP 策略的情况下访问企业数据，因此在信任豁免应用时需特别谨慎。豁免应用会产生数据保护漏洞，泄漏企业数据。
不允许 - 这些应用不受信任或从 WIP 策略中豁免，无法访问加密的企业数据。不允许的应用仍可访问 WIP 保护设备上的个人数据。

重要提示：“数据保护”配置文件要求具有 Windows 信息保护 (WIP) 功能。此功能需要 Windows 年度更新版。请考虑先测试此配置文件，然后再部署到生产中。

配置数据保护配置文件

创建数据保护（预览）配置文件，以使用 Microsoft Windows 信息保护功能将您所在组织数据的用户和应用程序访问权限限制为已批准网络和应用程序。您可以设置对数据保护的详细控制。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面作为平台。
选择设备配置文件。
为配置文件配置常规设置。
选择数据保护负载。

配置企业数据保护设置：

设置	说明
添加	选择此选项将企业应用程序添加到企业允许的列表。此处添加的是受信任的应用程序，可使用企业数据。
应用程序类型	选择应用程序是传统的桌面应用程序还是 Microsoft 应用商店应用。您还可以为桌面应用程序或存储应用选择应用程序发布者。选择发布者会信任该发布者的所有应用。
名称	输入应用名称。如果应用为 Microsoft Store 应用，请选择搜索图标以搜索应用包系列名称 (PFN)。
标识符	输入桌面应用程序的文件路径或应用商店应用的软件包系列名称。
豁免	如果应用不支持完全数据保护但仍需访问企业数据，则选中该复选框。启用此选项，则会将应用从数据保护限制中豁免。这些应用通常为尚未更新以实现数据保护支持的旧版应用。如果创建豁免，则会产生数据保护漏洞。仅在需要时创建豁免。
主域名	输入企业数据使用的主域名。来自受保护网络的数据仅可通过企业应用程序访问。尝试通过不在企业允许列表中的应用程序来访问受保护的网络，将导致系统强制执行策略操作。只能以小写字符输入域。
企业受保护域名	输入企业为其用户标识所使用的域（而不是主域）列表。使用竖线字符 `\|` 分隔域名。只能以小写字符输入域。
企业 IP 范围	输入定义企业网络中的 Windows 设备的企业 IP 范围。源于范围内设备的数据将视为企业的组成部分并受到保护。这些位置被视为共享企业数据的安全目标。
企业网络域名	输入为企业网络边界的域列表。发送给设备的所列域的数据将被视为企业的数据并受到保护。这些位置被视为共享企业数据的安全目标。
企业代理服务器	输入企业可当作企业资源的代理服务器列表。
企业云资源	输入企业资源域列表，这些域在云中托管、需要使用代理服务器（端口 80）通过企业网络路由进行保护。如果 Windows 无法确定是否允许应用连接到网络资源，则将自动屏蔽连接。如果您希望 Windows 默认允许连接，请在该设置中添加 `/AppCompat/` 字符串。例如：`www.air-watch.com \| /AppCompat/` 仅添加一次 `/AppCompat/` 字符串即可更改默认设置。
应用程序数据保护级别	设置保护级别和为保护企业数据而需执行的操作。
显示 EDP 图标	启用此选项可在访问受保护数据时在 Web 浏览器、文件资源管理器和应用图标中显示 EDP 图标。此图标还显示在“开始”菜单的仅限企业应用磁贴中。
取消注册时吊销	启用此选项，当设备从 Workspace ONE UEM 取消注册时，可从设备吊销数据保护密钥。
用户解密	启用此选项，可允许用户使用启发式应用选择保存数据的方式。用户可选择“另存为企业数据”或“另存为个人数据”。如果未启用此选项，则使用启发式应用保存的所有数据将另存为企业数据，并使用企业加密进行加密。
直接内存访问	启用此选项以允许用户直接访问设备内存。
数据恢复证书	如果加密密钥丢失或损坏，可上传用于文件恢复的特殊加密文件系统证书。

选择保存并发布，可将配置文件推送到设备。

创建加密文件系统证书

数据保护配置文件可加密企业数据并限制对已批准设备的访问。创建 EFS 证书来加密受数据保护配置文件所保护的企业数据。

在无 EFS 证书的计算机中，打开命令提示符（使用管理员权限），然后导航到要存储证书的证书存储库。
运行以下命令： cipher /r:<EFSRA>

的值是要创建的.cer 和.pfx 文件的名称。
系统提示时输入密码，有助于保护新的 .pfx 文件。
.cer 和 .pfx 文件会在选定的证书存储库中创建。
将 .cer 证书上载到设备，将其作为数据保护配置文件的一部分。

Defender 攻击防护配置文件

使用 Windows Defender 攻击防护配置文件保护 Windows 设备免遭攻击和恶意软件的侵害。Workspace ONE UEM 使用这些设置来保护设备免遭攻击、减少攻击面、控制文件夹访问以及保护网络连接。

Windows Defender Exploit Guard

各种恶意软件和攻击会利用 Windows 设备中的漏洞获取对网络和设备的访问权限。Workspace ONE UEM 使用 Windows Defender 攻击防护配置文件来保护设备免受这些不良企图的侵害。该配置文件使用 Windows 本机的 Windows Defender 攻击防护设置。配置文件包含四种不同的保护方法。这些方法涵盖不同的漏洞和攻击媒介。

攻击保护

攻击保护会自动将攻击缓解措施应用于操作系统和应用。这些缓解措施也适用于第三方防病毒程序和 Windows Defender 防病毒程序。在 Windows Defender Exploit Guard 配置文件中，您可以通过上传配置 XML 文件来配置这些设置。必须使用 Windows 安全应用或 PowerShell 创建此文件。

攻击面减少

攻击面减少规则有助于防止使用恶意软件感染设备的的典型操作。这些规则将针对以下类似操作：

Office 应用或 Web 邮件中使用的、尝试下载或运行文件的可执行文件和脚本
混淆或可疑的脚本
应用通常不使用的操作

攻击面减少规则要求启用 Windows Defender 实时保护。

受控文件夹访问

受控文件夹访问有助于保护您的宝贵数据免受恶意应用和威胁（包括勒索软件）的侵害。启用后，Windows Defender 防病毒程序将检查所有应用（.EXE、.SCR、.DLL 等）。然后，Windows Defender 会确定该应用是恶意应用还是安全应用。如果应用被标记为恶意或可疑，则 Windows 会阻止该应用更改受保护文件夹中的文件。

受保护文件夹包括常用系统文件夹。您可以将自己的文件夹添加到“受控文件夹访问”中。大多数已知和可信应用都可以访问受保护文件夹。如果您希望内部或未知应用访问受保护文件夹，则必须在创建配置文件时添加应用文件路径。

受控文件夹访问需要启用 Windows Defender 实时保护。

网络保护

网络保护可帮助保护用户和数据免受钓鱼欺诈和恶意网站的攻击。这些设置可防止用户使用任何应用访问可能包含钓鱼攻击、漏洞攻击或恶意软件的危险域。

网络保护要求启用 Windows Defender 实时保护。

其他信息

有关配置的特定攻击防护和设置的详细信息，请参阅 https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy。

创建 Defender 攻击防护配置文件

通过 Workspace ONE UEM 创建 Defender 攻击防护配置文件，以保护 Windows 设备免遭攻击和恶意软件的侵害。了解如何使用配置文件在 Windows 设备上配置 Windows Defender 攻击防护设置。

为攻击面减少、受控文件夹访问和网络保护创建规则和设置时，必须选择“已启用”、“已禁用”或“审核”。这些选项将更改规则或设置的工作方式。

已启用 - 将 Windows Defender 配置为阻止该方法的攻击。例如，如果将“受控文件夹访问”设置为“已启用”，Windows Defender 将阻止攻击访问受保护文件夹。
已禁用 - 未配置 Windows Defender 的策略。
审核 - 像“已启用”那样将 Windows Defender 配置为阻止攻击，但还会在事件查看器中记录事件。

必备条件

要在此配置文件中使用攻击保护设置，必须先在单个设备上使用 Windows 安全应用或 PowerShell 创建配置 XML 文件，然后再创建配置文件。

过程

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择 Defender Exploit Guard 负载。
上传攻击保护设置配置 XML 文件。

这些设置可自动将攻击缓解技术应用于操作系统和各个应用。您必须在单个设备上使用 Windows 安全应用或 PowerShell 创建 XML 文件。
配置攻击面减少设置。这些规则有助于防止恶意软件使用恶意代码感染设备的典型操作。选择添加以添加其他规则。

每个规则的描述介绍了规则适用于哪些应用或文件类型。攻击面减少规则要求启用 Windows Defender 实时保护。
配置受控文件夹访问设置。将受控文件夹访问设置为已启用以使用这些设置。启用后，默认情况下，该设置将保护多个文件夹。要查看列表，请指向 ? 图标。这些设置将自动保护您的数据免遭恶意软件和漏洞利用的侵害。受控文件夹访问要求启用 Windows Defender 实时保护。
- 通过选择新增并输入文件夹文件路径，添加要保护的其他文件夹。
- 通过选择新增并输入应用程序文件路径，添加可访问受保护文件夹的应用程序。默认情况下，大多数已知和受信任的应用都可以访问这些文件夹。使用此设置可添加内部或未知应用以访问受保护文件夹。
配置网络保护设置。将网络保护设置为已启用以使用这些设置。这些设置可保护用户和数据免受钓鱼欺诈和恶意网站的攻击。网络保护要求启用 Windows Defender 实时保护。
完成后，选择保存并发布以将配置文件推送到设备。

加密配置文件

通过加密配置文件对 Windows 桌面设备上的企业数据进行保护。加密配置文件会在 Windows 桌面设备上配置本机 BitLocker 加密策略，以确保数据的安全。

BitLocker 加密仅适用于 Windows 企业版、教育版和专业版设备。

由于笔记本电脑和平板电脑按设计属于移动设备，因此会带来企业数据丢失或失窃的风险。通过使用 Workspace ONE UEM 强制执行加密策略，您可以保护硬盘上的数据。BitLocker 为本机 Windows 加密，Dell 数据保护 | 加密为来自 Dell 的第三方加密解决方案。通过启用加密配置文件，Workspace ONE Intelligent Hub 可持续检查设备的加密状态。如果 Workspace ONE Intelligent Hub 发现设备未加密，则会自动对设备进行加密。

如果您决定使用 BitLocker 进行加密，则会将在加密过程中为每个驱动器（如果已配置）创建的恢复密钥存储在 Workspace ONE UEM console 中。管理员可以选择将恢复密钥设置为单个使用密钥。如果选择此选项，则在使用一次后将生成新的恢复密钥。然后，用户需要联系管理员以获取新更新的恢复密钥。有关详细信息，请参见恢复秘钥。

加密配置文件要求在设备上安装 Workspace ONE Intelligent Hub。

注意：加密配置文件未配置或启用 Dell 数据保护 | 加密。加密状态将报告给 Workspace ONE UEM Console 和自助服务门户，但必须在设备上手动配置加密。

警示：Windows 不支持没有预启动屏幕上键盘的设备。由于没有键盘，您将无法输入所需的启动 PIN 码以解锁硬盘驱动器和在设备上启动 Windows。如果将簇配置文件推送到无预启动屏幕上键盘的设备，将会中断设备。

BitLocker 功能

加密配置文件使用先进的 BitLocker 功能控制 BitLocker 加密的身份验证和部署。

BitLocker 使用设备上的受信任平台模块 (TPM) 来存储设备的加密密钥。如果从主板上取下驱动器，驱动器会保持加密。为了增强身份验证，您可以启用加密 PIN 来引导系统。您还可以在 TPM 不可用时要求输入设备密码。

部署行为

Windows 本机 BitLocker 加密功能可确保 Windows 桌面设备上数据安全无虞。部署加密配置文件时，最终用户可能需要执行其他操作，例如创建 PIN 或密码。

如果加密配置文件推送到加密设备，并且当前加密设置与配置文件设置匹配，则 Workspace ONE Intelligent Hub 会添加 BitLocker 保护程序并将恢复密钥发送到 Workspace ONE UEM console。

使用此功能时，如果用户或管理员尝试在设备上禁用 BitLocker，则加密配置文件可以对设备进行重新加密。即使设备处于离线状态，也会执行加密。

如果现有的加密不符合加密配置文件的验证设置，则会删除现有的保护程序，并应用符合加密配置文件设置的新保护程序。

如果现有的加密方法与加密配置文件不匹配，Workspace ONE UEM 会将现有的方法保留在原位，而不会将其覆盖。如果将一个版本的加密配置文件添加到由现有加密配置文件管理的设备，则此功能也适用。现有的加密方式不发生改变。

注意：BIOS 配置文件更改将在加密配置文件后应用。对 BIOS 配置文件的更改（如禁用或清除 TPM）可能会导致发生恢复事件，该事件需要使用恢复密钥来重新启动系统。在对 BIOS 进行任何更改之前，挂起 BitLocker。

加密状态

如果 BitLocker 已启用且正在使用中，您可以在列出的区域中查看有关加密状态的信息。

Workspace ONE UEM 设备详细信息
- 设备详细信息会显示恢复密钥信息。使用查看恢复密钥链接可查看和复制所有加密驱动器的恢复密钥。
- 在摘要选项卡上查看多种 BitLocker 状态，这些状态包括已加密、正在加密、正在解密、已挂起和部分受保护。
  - 已挂起（剩余 X 次重新引导）状态表示磁盘保护已挂起，但磁盘仍处于加密状态。如果操作系统已更新或正在对系统进行系统级别更改，您可能会看到此状态。重新引导次数用尽后，将自动重新启用 BitLocker 保护。
  - 部分受保护状态表示操作系统驱动器已加密但其他驱动器未加密。
- 在设备详细信息的安全选项卡上，查看驱动器的加密状态和加密方法。您可以一目了然地了解计算机是否未使用您在加密配置文件中设置的加密级别。Workspace ONE UEM 仅显示加密方法。即使磁盘与加密配置文件中的加密方法设置不匹配，它也不会对磁盘进行解密。
Workspace ONE UEM 自助服务门户
- 自助服务门户的“安全”页面显示了 BitLocker 恢复密钥。
- BitLocker 保护设置将显示为“已启用”。

恢复密钥

在加密配置文件中为加密卷启用此设置后，Workspace ONE UEM 将托管操作系统驱动器和所有固定硬盘驱动器的恢复密钥。如果需要恢复某个驱动器，则该恢复密钥可用于每个单独的驱动器。

管理员可以通过从加密配置文件设置中选择启用单用途恢复密钥，将恢复密钥设置为一次性使用。有关详细信息，请参见配置加密配置文件。如果在使用恢复密钥恢复驱动器后启用，则 Intelligent Hub 会生成新的恢复密钥并将其托管回 UEM Console。

在短时间内，在新的恢复密钥成功托管到 UEM Console 之前，以前的个人恢复密钥（旧）和个人恢复密钥（新）将可供使用。成功托管新恢复密钥后，以前的恢复密钥将被删除，且无法再用于恢复驱动器。

出于故障排除目的，您可以看到谁使用特定密钥恢复了可移动驱动器、恢复是何时发生的以及哪个管理员帮助了该过程。在 Workspace ONE UEM Console 中，转到 设备 > 详细信息视图 > 更多 - 故障排除 > 事件日志以查找详细信息。

移除行为

如果从 Workspace ONE UEM Console 移除配置文件，Workspace ONE UEM 不再强制加密，且设备会自动解密。从控制面板中执行企业擦除或手动卸载 Workspace ONE Intelligent Hub 将禁用 BitLocker 加密。

创建加密配置文件时，您可以启用保持系统始终加密选项。此设置可确保即使移除配置文件、擦除设备或与 Workspace ONE UEM 的通信结束，设备仍保持加密状态。

如果最终用户决定在 BitLocker 加密进程中取消注册，除非从控制面板手动关闭，否则加密进程将继续进行。

BitLocker 与合规策略

您可以配置合规策略，以支持要强制执行的 BitLocker 加密状态。在合规策略的“规则”部分中，选择加密 > 是，然后选择选项不应用于系统驱动器、不应用于部分驱动器（部分受保护）或已挂起。

BitLocker To Go 支持

使用加密配置文件，您可以要求使用 BitLocker To Go 对 Windows 设备的可移动驱动器进行加密。选择启用 BitLocker To Go 支持复选框以启用此功能。可移动驱动器在加密之前为只读。在“加密方法”下拉列表中选择一个选项，您可以选择使用哪种方法对设备进行加密。

适用于 Windows 的 Workspace ONE Intelligent Hub 会提示用户创建一个密码以访问和使用驱动器。管理员可以在控制台的 BitLocker To Go 设置下设置该密码的最小长度。用户将加密驱动器插入 Windows 设备后，他们可以使用密码访问该驱动器，将内容复制到驱动器，编辑文件，删除内容或使用可移动驱动器执行任何其他任务。管理员还可以选择是希望仅加密驱动器上的已用空间还是加密整个驱动器。

在哪里可以找到恢复密钥信息？

如果用户丢失密码，您可以从控制台的设备 > 外围设备 > 列表视图 > 可移动存储中恢复驱动器。使用驱动器的查看链接复制恢复密钥并通过电子邮件将其发送给适用的用户。您还可以从用户帐户的帐户 > 用户 > 列表视图访问此页面，选择用户，然后选择可移动存储选项卡。

对于具有数千个恢复 ID 的部署，您可以在可移动存储页面上筛选内容。筛选内容的方法有很多种。

让用户为您提供密钥 ID，然后在恢复 ID 列种选择筛选器插入符号并键入值。结果中将显示具有该密钥 ID 的恢复 ID。
在用户名列中选择筛选器插入符号，然后键入适用的用户名以查找驱动器及其恢复密钥。

出于审核目的，您可以看到谁使用特定密钥恢复了可移动驱动器、恢复是何时发生的以及哪个管理员帮助了该过程。在 Workspace ONE UEM console 中，转到设备 > 外围设备 > 列表视图 > 事件以查找详细信息。

您可以按用户查找密钥信息。在 Workspace ONE UEM console 中，转到帐户 > 用户 > 列表视图，然后选择用户。如果用户至少加密了一个驱动器，则其记录具有可移动存储选项卡。

从控制台挂起 BitLocker

现在，您可以从控制台挂起和恢复 BitLocker 加密。此菜单项作为一项操作添加到设备记录中。在设备 > 列表视图中找到它，选择设备，然后选择更多操作菜单项。此选项对于没有 BitLocker 管理权限但需要设备帮助的用户非常有用。

当您选择为设备挂起 BitLocker 时，控制台会显示多个选项，其中一个选项用于重新引导次数。例如，帮助用户更新其 BIOS 可能需要系统重新引导两次，因此，请选择 3。此值会使系统额外重新引导一次并挂起加密，以确保 BIOS 在恢复 BitLocker 之前正确更新。

但是，如果您不知道任务需要重新引导多少次，请选择一个较大值。完成任务后，您可以使用更多操作 > 恢复 BitLocker 操作。

配置加密配置文件

创建加密配置文件，以便使用本机 BitLocker 和 BitLocker To Go 加密来保护 Windows 桌面设备上的数据。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。

选择加密配置文件并配置相应设置。

设置	说明
加密宗卷	使用下拉菜单来选取下列加密类型。操作系统驱动器和所有固定硬盘驱动器 - 加密设备上的所有硬盘驱动器，包括安装了操作系统的系统分区。操作系统驱动器 - 加密安装了 Windows 的驱动器及其从中引导的驱动器。
加密方法	选择设备的加密方法。
默认使用系统加密方法	如果 OEM 为给定类型的设备指定了默认加密方法，请选中此复选框。此设置将应用默认加密算法。
在初次加密时仅加密已使用的空间	启用此选项之后，可将 BitLocker 加密限制为在加密时仅加密驱动器上的已用空间。
恢复密钥的自定义 URL	输入要在指示最终用户获取恢复密钥的锁定屏幕上显示的 URL。考虑输入 Workspace ONE UEM 在其上托管恢复密钥的自助服务门户的 URL。
强制加密	启用此选项可强制在设备上加密。实施这项强制措施意味着，如果手动禁用了 BitLocker，设备将立即重新加密。为了避免在升级或企业擦除过程中出现问题，可以考虑禁用此设置。
保持系统始终加密	启用此选项可始终保持设备加密。使用此选项可确保设备擦除、配置文件移除或与 Workspace ONE UEM 中断通信时不会对设备进行解密。如果您启用此设置并擦除设备，则只能在 30 天内从 Workspace ONE UEM console 访问恢复功能。30 天后，系统可能无法恢复。
启用 BitLocker To Go 支持	启用此选项以要求 BitLocker 加密 Windows 设备上的可移动驱动器。选中后，可移动驱动器在加密之前为只读。管理员可以配置加密方法、最小密码长度，以及他们想要在初始加密期间仅加密已用空间还是加密所有内容。用户必须创建一个密码才能访问驱动器。如果用户忘记了密码，请在控制台中的设备 > 外围设备 > 列表视图 > 可移动存储中找到这些加密驱动器的恢复 ID 和密钥。
BitLocker 身份验证设置：身份验证模式	选择身份验证方法，以验证对 BitLocker 加密设备的访问。 TPM — 使用设备的受信任的平台模块。要求设备上有 TPM。密码 — 使用密码进行身份验证。
BitLocker 身份验证设置：启动时需要使用 PIN	选中此复选框可要求用户输入 PIN 以启动设备。选择此选项后，在用户输入正确的 PIN 之前，操作系统无法启动，也无法自动从挂起或休眠状态中恢复。
BitLocker 身份验证设置：PIN 长度	选择此设置可在启动时配置 PIN 的特定长度。除非已配置启动时允许增强 PIN，否则此 PIN 为数字。
BitLocker 身份验证设置：启动时允许增强 PIN	选中此复选框可允许用户设置不仅包含数字的 PIN。用户可以设置大写和小写字母并使用符号、数字和空格。如果计算机在预启动环境中不支持增强 PIN，则此设置不起作用。
BitLocker 身份验证设置：如果 TPM 不存在，则使用密码	选中此复选框可在 TPM 不可用时将密码用作备用方案来对设备进行加密。如果未启用此设置，则无法加密任何没有 TPM 的设备。
BitLocker 身份验证设置：在 TPM 初始化之前挂起 BitLocker	选择此选项可推迟设备加密，直至在计算机上初始化 TPM。对于需要在 TPM 初始化之前进行加密的注册（例如 OOBE），请使用此选项。
BitLocker 身份验证设置：密码长度下限	选择密码必须包含的最少字符数。如果将身份验证模式设置为密码，或者如果启用如果 TPM 不存在，则使用密码，则会显示此选项。

| BitLocker 恢复密钥设置：启用一次性恢复密钥 | 选中该复选框以使恢复密钥一次性使用。使用后，将生成新的恢复密钥。用户必须与管理员联系以获取更新的恢复密钥。|

完成后，选择保存并发布将配置文件推送到设备。

Exchange ActiveSync 配置文件

Exchange ActiveSync 配置文件允许您配置 Windows 桌面设备，以访问 Exchange ActiveSync 服务器，以便使用电子邮件和日历。

使用由受信任的第三方证书颁发机构 (CA) 签名的证书。证书中的错误会暴露您原本安全的网络，并因此遭致潜在的中间人攻击。此类攻击会降低产品组件间所传输数据的机密性和完整性，并且可能会允许攻击程序对传输中的数据进行拦截或修改。

Exchange ActiveSync 配置文件支持 Windows 桌面专用的原生邮件客户端。配置将根据您所使用的邮件客户端而发生变化。

移除配置文件或执行企业擦除

如果使用移除配置文件命令、合规策略或者通过执行企业擦除来移除配置文件，则所有电子邮件数据均会被删除，包括：

用户帐户/登录信息。
电子邮件数据。
通讯录和日历信息。
保存到内部应用程序存储中的附件。

用户名和密码

如果电子邮件用户名与用户的电子邮件地址不同，则可使用 {EmailUserName} 文本框，此文本框与进行目录服务集成时导入的电子邮件用户名相对应。即使用户名与他们的电子邮件地址相同，仍使用 {EmailUserName} 文本框，因为此文本框会使用通过目录服务集成导入的电子邮件地址。

创建 Exchange ActiveSync 配置文件，使 Windows 桌面设备能够访问 Exchange ActiveSync 服务器以使用电子邮件和日历。

配置 Exchange ActiveSync 配置文件

创建 Exchange ActiveSync 配置文件，使 Windows 桌面设备能够访问 Exchange ActiveSync 服务器以使用电子邮件和日历。

注意：Workspace ONE UEM 不支持 Outlook 2016 for Exchange ActiveSync 配置文件。Microsoft Exchange 2016 版本不再支持通过 Workspace ONE UEM 在 Windows 桌面设备上为 Outlook 应用程序配置 Exchange Web 服务 (EWS) 配置文件。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面作为平台。
选择用户配置文件。
为配置文件配置常规设置。
选择 Exchange ActiveSync 负载。

配置 Exchange ActiveSync 设置：

设置	说明
邮件客户端	选择 EAS 配置文件所配置的邮件客户端。Workspace ONE UEM 支持原生邮件客户端。
帐户名称	输入 Exchange ActiveSync 帐户名称。
Exchange ActiveSync 主机	输入托管 EAS 服务器的服务器的 URL 或 IP 地址。
使用 SSL	启用该设置以通过安全套接字层发送所有通信。
域	输入电子邮件域。此配置文件支持用于插入注册用户登录信息的查找值。
用户名	输入电子邮件用户名。
电子邮件地址	输入电子邮件地址。此文本框为必填设置。
密码	输入电子邮件密码。
标识证书	选择 EAS 负载的证书。
下一次同步间隔 (分钟)	选择设备与 EAS 服务器同步的频率（以分钟为单位）。
要同步邮件的天数	选择将过去多少天的电子邮件同步到设备上。
诊断日志记录	启用此选项，可记录关于故障排查目的的信息。
需要在锁定状态下使用数据保护	启用此选项，可要求数据在设备锁定时得到保护。
允许电子邮件同步	启用此选项，可允许同步电子邮件消息。
允许联系人同步	启用此选项，可允许同步通讯录。
允许日历同步	启用此选项，可允许同步日历事件。

选择保存，将配置文件保存在 Workspace ONE UEM Console 中，或者选择保存并发布将配置文件推送至设备。

Exchange Web 服务配置文件

创建一个 Exchange Web 服务配置文件，以允许最终用户通过其设备访问企业电子邮件基础结构和 Microsoft Outlook 帐户。

重要提示：初次进行配置时，设备必须拥有对内部 Exchange 服务器的访问权限。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择用户配置文件。
为配置文件配置常规设置。

选择 Exchange Web 服务配置文件并配置相应设置：

设置	说明
域	输入最终用户所属的电子邮件域的名称。
电子邮件服务器	输入 Exchange 服务器的名称。
电子邮件地址	输入电子邮件帐户的地址。

完成后，选择保存并发布将配置文件推送到设备。

如果从设备上移除 Exchange Web 服务配置文件，同时会移除所有 Outlook 账户。

防火墙配置文件

创建防火墙配置文件以配置本机 Windows 桌面防火墙设置。此配置文件使用比防火墙（旧版）配置文件更高级的功能。

Workspace ONE UEM 会自动信任 OMA-URI 代理，以确保 Workspace ONE UEM console 始终可以与设备通信。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择防火墙负载。

配置全局设置。

设置	说明
有状态的 FTP	设置防火墙处理 FTP 流量的方式。如果选择“启用”，防火墙将跟踪所有 FTP 流量。如果选择禁用，防火墙不会检查 FTP 流量。
安全关联空闲时间	选择已配置，并设置在删除闲置安全关联之前设备等待的最长时间（以秒为单位）。安全关联是两个对等方或端点之间的协议。这些协议包含安全地交换数据所需的所有信息。
预共享密钥编码	选择用于预共享密钥的编码类型。
IPSec 豁免	选择要使用的 IPSec 豁免。
认证吊销列表验证	选择如何强制实施证书吊销列表验证。
每 KM 的机会匹配身份验证集	选择关键模块如何忽略身份验证套件。启用此选项后，将强制关键模块仅忽略其不支持的身份验证套件。禁用此选项后，如果关键模块不支持集中的所有身份验证套件，则将强制关键模块忽略整个身份验证集。
启用数据包队列	选择数据包队列在设备上的工作方式。此设置允许您确保进行适当的缩放。

配置防火墙在连接到域、专用和公共网络时的行为。

设置	说明
防火墙	设置为启用可对网络流量强制执行策略设置。如果禁用，则无论其他策略设置如何，设备都允许所有网络流量。
出站操作	选择防火墙对出站连接采取的默认操作。如果将此设置设定为阻止，则除非另行明确指定，否则防火墙将阻止所有出站流量。
入站操作。	选择防火墙对入站连接采取的默认操作。如果将此设置设定为阻止，则除非另行明确指定，否则防火墙将阻止所有入站流量。
单播响应多播或广播网络流量	设置对多播或广播网络流量的响应行为。如果禁用此选项，则防火墙将阻止对多播或广播网络流量的所有响应。
当 Windows 防火墙屏蔽新应用时通知用户	设置防火墙的通知行为。如果选择启用，则防火墙可能会在阻止新应用时向用户发送通知。如果选择禁用，防火墙不会发送任何通知。
隐藏模式	要在隐藏模式下设置设备，请选择启用。隐藏模式有助于防止不良参与者获取有关网络设备和服务的信息。启用后，隐藏模式将阻止来自端口的无法访问的出站 ICMP 以及 TCP 重置消息，而不是应用主动侦听该端口。
允许隐藏模式下的 IPSec 网络流量	设置防火墙如何处理受 IPSec 保护的未经请求的流量。如果选择启用，防火墙将允许由 IPSec 保护的未经请求的网络流量。只有在启用隐藏模式时，此设置才适用。
本地防火墙规则	设置防火墙与本地防火墙规则交互的方式。如果选择启用，防火墙将遵循本地规则。如果选择“禁用”，防火墙将忽略本地规则，并且不会强制执行这些规则。
本地连接规则	设置防火墙与本地安全连接规则交互的方式。如果选择启用，防火墙将遵循本地规则。如果选择“禁用”，则无论架构和连接安全版本如何，防火墙都将忽略本地规则，并且不会强制执行这些规则。
全局端口防火墙规则	设置防火墙与全局端口防火墙规则交互的方式。如果选择启用，防火墙将遵循全局端口防火墙规则。如果选择禁用，防火墙将忽略这些规则，并且不会强制执行这些规则。
授权的应用程序规则	设置防火墙与本地授权的应用程序规则交互的方式。如果选择启用，防火墙将遵循本地规则。如果选择“禁用”，防火墙将忽略本地规则，并且不会强制执行这些规则。

要配置您自己的防火墙规则，请选择添加防火墙规则。添加规则后，请根据需要配置设置。您可以根据需要添加任意数量的规则。
完成后，选择保存并发布以将配置文件推送到设备。

防火墙（旧版）配置文件

利用适用于 Windows 桌面设备的防火墙（旧版）配置文件，您可以对设备的 Windows 防火墙设置进行配置。请考虑使用适用于 Windows 桌面的新防火墙配置文件，因为新配置文件使用新的 Windows 功能。

重要提示：防火墙配置文件要求在设备上安装 Workspace ONE Intelligent Hub。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择防火墙（旧版）负载。
启用使用 Windows 推荐的设置以使用 Windows 推荐的设置，同时禁用此配置文件的所有其他可用选项。这些设置将自动更改为建议的设置，您无法对其进行更改。

配置专用网络设置：

设置	说明
防火墙	启用此选项以在设备连接到专用网络连接时使用防火墙。
屏蔽所有入站连接，包括允许的应用列表上的连接	启用此选项以屏蔽所有入站连接。此设置允许出站连接。
当 Windows 防火墙屏蔽新应用时通知用户	启用此选项以允许在 Windows 防火墙屏蔽新应用时显示通知。

配置公用网络设置：

设置	说明
防火墙	启用此选项以在设备连接到专用网络连接时使用防火墙。
屏蔽所有入站连接，包括允许的应用列表上的连接	启用此选项以屏蔽所有入站连接。此设置允许出站连接。
当 Windows 防火墙屏蔽新应用时通知用户	启用此选项以允许在 Windows 防火墙屏蔽新应用时显示通知。

完成后，选择保存并发布以将配置文件推送到设备。

Kiosk 配置文件

配置 Kiosk 配置文件以将您的 Windows 桌面设备转换为多应用 Kiosk 设备。通过此配置文件，您可以配置设备开始菜单中显示的应用。

您可以上载自己的自定义 XML 来配置 Kiosk 配置文件，或创建自己的 Kiosk，使其作为配置文件的一部分。此配置文件不支持域帐户或域组。此用户是 Windows 创建的一个内置用户帐户。

受支持的应用
- .EXE 应用
  - MSI 和 ZIP 文件要求您添加文件路径。
- 内置应用
  - 选择自动添加到设计器的内置应用。这些应用包括：
  - 新闻
  - Microsoft Edge
  - 天气
  - 警报和时钟
  - 便签
  - 地图
  - 计算器和照片。

过程

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。您必须先添加分配，才能配置 Kiosk 配置文件。
选择 Kiosk 配置文件。
如果已有自定义 XML，请选择“上载 Kiosk XML”，然后完成分配访问配置 XML 设置。选择上载并添加您的已分配访问配置 XML。您也可以将 XML 粘贴到文本框中。有关更多信息，请参见 https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp。
如果没有任何自定义 XML，请选择创建您的 Kiosk 并配置应用布局。

此布局是网格形式的设备开始菜单。显示在左侧的应用是分配给所选分配组的应用。某些应用带有齿轮图标，图标右上角有一个红点。添加到 Kiosk 布局时需要附加设置的应用会显示此图标。配置设置后，红点即会消失，但图标仍然保留。您可以选择箭头图标来更改应用的大小。对于经典的桌面应用，只能选择“小”或“中”。

对于需要附加支持应用程序的应用程序，Kiosk 配置文件支持使用“其他设置”选项添加这些支持应用程序。例如，VMware Horizon 客户端最多需要四个支持应用程序在 Kiosk 模式下运行。通过添加其他应用程序可执行文件路径来配置主要 kiosk 应用程序时，请添加这些附加支持应用程序。
将您要添加至开始菜单的所有应用拖至中心。您可以为自己的应用创建最多四个组。这些组可以将您的应用合并到开始菜单上的各个部分中。
添加所需的所有应用和组之后，请选择保存。
在 Kiosk 配置文件屏幕上，选择保存并发布。

结果

配置文件需要等到其内的所有应用安装之后，才会安装到设备上。接收配置文件后，设备将重新启动，并在 Kiosk 模式下运行。如果从设备中移除该配置文件，设备会禁用 Kiosk 模式，然后重新启动，并移除 Kiosk 用户。

OEM 更新配置文件

使用 OEM 更新配置文件为精选 Dell 企业设备配置 OEM 更新设置。此配置文件要求集成 Dell Command | Update。

对 OEM 更新配置文件设置的支持因 Dell 企业设备而异。Workspace ONE UEM 仅推送设备支持的设置。您可以在设备更新页面上查看部署到 Windows 桌面设备的所有 OEM 更新，该页面可在资源 > 设备更新 > OEM 更新选项卡中找到。

注意：OEM 更新配置文件支持 Dell Command | Update 版本 3.x 以上。Dell Command | Update 的当前版本已测试每个控制台版本。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择 OEM 更新负载并配置以下设置。
- 检查更新 - 选择检查更新的时间间隔。
- 星期几 - 选择在一周中的哪一天检查更新。仅当检查更新设置为每周一次时，才会显示。
- 日期 - 选择在每月几号检查更新。仅当检查更新设置为每月时，才会显示。
- 时间 - 选择在一天的什么时间检查更新。
- 更新行为 - 选择检查更新时执行的操作。
  - 选择扫描通知以扫描更新并在更新可用时通知用户。
  - 选择扫描下载通知以更新扫描、下载任何可用更新并在更新可供下载时通知用户。
  - 选择扫描通知应用重新启动以扫更新、下载任何可用更新、安装更新，然后重新启动设备。
- 重新引导延迟 - 选择下载更新后设备延迟重新引导的时间。
- 紧急更新 - 选择启用以将紧急更新应用到设备。
- 推荐的更新 - 选择启用以将推荐的更新应用到设备。
- 可选更新 - 选择启用以将可选更新应用到设备。
- 硬件驱动程序 - 选择启用以将 OEM 提供的硬件驱动程序更新应用到设备。
- 应用程序软件 - 选择启用以将 OEM 提供的应用程序软件更新应用到设备。
- BIOS 更新 - 选择启用以将 OEM 提供的 BIOS 更新应用到设备。如果 BIOS 密码由 BIOS 配置文件管理，则无需禁用该密码。
- 固件更新 - 选择启用以将 OEM 提供的固件更新应用到设备。
- 工具软件 - 选择启用以将 OEM 提供的工具软件更新应用到设备。
- 其他 - 选择启用以将 OEM 提供的其他更新应用到设备。
- 音频 - 选择启用以将 OEM 提供的音频设备更新应用到设备。
- 芯片组 - 选择启用以将 OEM 提供的芯片组设备更新应用到设备。
- 输入 - 选择启用以将 OEM 提供的输入设备更新应用到设备。
- 网络 - 选择启用以将 OEM 提供的网络设备更新应用到设备。
- 存储 - 选择启用以将 OEM 提供的存储设备更新应用到设备。
- 视频 - 选择启用以将 OEM 提供的视频设备更新应用到设备。
- 其他 - 选择启用以将 OEM 提供的其他设备更新应用到设备。
选择保存并发布。

密码配置文件

每次从空闲状态恢复时都需要输入密码，从而使用密码配置文件来保护您的 Windows 设备。了解 Workspace ONE UEM 的密码配置文件如何确保受管设备上的所有敏感企业信息一直受到保护。

使用此配置文件设置的密码只有比现有密码更为严格才会生效。例如，如果与密码负载的要求相比，现有 Microsoft 账户密码要求更严格的设置，则设备将继续使用 Microsoft 账户密码。

重要提示：密码负载不适用于已加入域的设备。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择密码配置文件。

配置密码设置：

设置	说明
密码复杂程度	可根据首选密码难度设置为“简单”或“复杂”。
需要字母数字值	启用此选项以要求密码为字母数字密码。
密码长度下限	输入密码必须包含的最低字符数。
最长密码期限（天）	输入系统要求最终用户更改密码之前，可以使用密码的最长天数。
最短密码期限（天）	输入系统要求最终用户更改密码之前，必须使用密码的最短天数。
设备锁定超时 (分钟)	输入设备自动锁定并要求重新输入通行码前的分钟数。
失败尝试次数上限	输入最终用户在设备重启之前可以输入的最多尝试次数。
密码历史记录 (出现次数)	输入系统要记住的密码出现次数。如果最终用户重复使用的密码在记录的出现次数内，将不能再使用此密码。例如，如果您在此字段中输入 12，最终用户则无法重新使用之前出现过的 12 个密码。
使密码过期	启用此选项使设备上的现有密码过期并要求创建新密码。需要在设备上安装 Workspace ONE Intelligent Hub。
密码过期 (天)	配置密码在过期之前的有效天数。
密码存储的可还原加密	启用此选项将操作系统设置为使用可还原加密来存储密码。使用可还原加密存储密码和存储密码的纯文本版本在本质上是一样的。因此，除非应用程序的要求超过保护密码信息的需求，否则不要启用此策略。
使用适用于 Windows 设备的 Protection Agent	启用此选项可使用 Workspace ONE Intelligent Hub（而不是本机 DM 功能）来执行密码配置文件设置。如果您在使用本机 DM 功能时遇到问题，请启用此设置。

完成后，选择保存并发布将配置文件推送到设备。

对等分发配置文件

Workspace ONE Peer Distribution 使用 Windows 操作系统内置的本机 Windows BranchCache 功能。此功能提供对等技术替代方案。

使用 Peer Distribution Windows Desktop 配置文件在 Windows 设备上配置对等分发。对等分发支持已分发、已托管和本地 BranchCache 模式及其配置设置：磁盘空间百分比和最长缓存期限。您还可以从“对等分发详细信息”面板中的应用与图书 > 本机 > 列表视图 > 应用程序详细信息下查看应用程序的 BranchCache 统计信息。

使用 Workspace ONE 进行对等分发时，您可以将 Windows 应用部署到企业网络。此配置文件使用 Windows 操作系统中内置的本机 Windows BranchCache 功能。

配置对等分发配置文件

使用 Workspace ONE 进行对等分发时，您可以将 Windows 应用部署到企业网络。此配置文件使用 Windows 操作系统中内置的本机 Windows BranchCache 功能。

在使用对等分发配置文件进行对等分发之前，必须满足 Workspace ONE 的对等分发要求。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择对等分发配置文件，然后选择配置。

您必须先配置文件存储，然后才能创建对等分发配置文件。有关详细信息，请参见 Workspace ONE Peer Distribution 要求。

选择要使用的 Workspace ONE Peer Distribution 模式。

设置	说明
已分发	选择此选项后，您的设备可从本地子网中的对等方下载应用。
已托管	选择此选项后，您的设备可从托管缓存服务器下载应用。
本地	选择此选项后，您的设备只能从本地设备缓存下载应用。
禁用	选择此选项以禁用对等分发。

配置缓存设置：

设置	说明
最长缓存期限 (天)	输入在设备清除项目之前，对等分发项目应保留在缓存中的最长天数。
用于 BranchCache 的磁盘空间百分比	输入设备应允许对等分发使用的本地磁盘空间量。

如果将分发模式设置为“已托管”，请配置托管缓存服务器设置。必须至少为设备添加一个托管缓存服务器，才能从中下载内容和将内容上载到该服务器。
选择保存并发布。

个性化配置文件

为 Windows 桌面设备配置个性化配置文件，以配置 Windows 个性化设置。这些设置包括桌面背景和“开始”菜单设置。

此配置文件中的选项都是可选的。请考虑仅配置满足个性化要求所需的设置。

此配置文件不会创建像 Kiosk 配置文件这样的多应用 Kiosk 设备。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择个性化配置文件。

配置图像设置：

设置	说明
桌面映像	选择上载以添加要用作桌面背景的图像。
锁屏图像	选择上载以添加要用作锁屏背景的图像。

上载开始布局 XML。此 XML 文件将覆盖默认“开始”菜单布局，并防止用户对布局进行更改。您可以配置磁贴的布局、组数量以及每个组中的应用。您必须自己创建此 XML。有关创建开始布局 XML 的详细信息，请参阅 https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout。
配置“开始”菜单策略设置。这些设置允许您控制“开始”菜单中允许的快捷方式。您还可以选择隐藏或显示某些选项，例如关闭选项或应用列表。
选择保存并发布。

代理配置文件

创建代理配置文件，为 Windows 桌面设备配置代理服务器。这些设置不适用于 VPN 连接。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。

选择代理配置文件并配置相应设置：

设置	说明
自动检测设置	启用可让系统自动尝试查找代理自动配置 (PAC) 脚本的路径。
使用设置脚本	启用可输入 PAC 脚本的文件路径。
脚本地址	输入 PAC 脚本的文件路径。当启用使用设置脚本时，将显示此选项。
使用代理服务器	启用可对以太网和 Wi-Fi 连接使用静态代理服务器。此代理服务器用于所有协议。这些设置不适用于 VPN 连接。
代理服务器地址	输入代理服务器地址。该地址必须采用以下格式：`<server>[“:”<port>]`。
例外	输入不应使用代理服务器的任何地址。系统不会对这些地址使用代理服务器。请使用分号 (;) 分隔条目。
对本地（内联网）地址使用代理	启用可对本地（内联网）地址使用代理服务器。

选择保存并发布。

限制配置文件

使用限制配置文件来禁用最终用户对设备功能的访问权限，以确保您的 Windows 设备不被篡改。了解如何通过 Workspace ONE UEM 限制配置文件控制最终用户可使用或更改的设置和选项。

用于更改将哪些限制应用于设备的 Windows 版本。

导航到资源 > 配置文件和基准 > 配置文件，然后选择添加。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。
选择限制配置文件。

配置管理设置：

设置	说明
允许手动取消 MDM 注册	允许最终用户通过工作区/工作单位访问注册手动从 Workspace ONE UEM 取消注册。Windows 家庭版设备不支持此限制。
安装置备软件包的运行时配置 Hub	启用此选项以允许使用预配包将设备注册到 Workspace ONE UEM（批量预置）。Windows 家庭版设备不支持此限制。
位置	选择怎样在设备上运行定位服务。Windows 家庭版设备不支持此限制。
移除预配包的运行时配置代理	启用此选项以允许移除预配包。Windows 家庭版设备不支持此限制。
发送诊断和使用情况遥测数据	选择要发送到 Microsoft 的遥测数据的级别。Windows 家庭版设备不支持此限制。
需要 Microsoft 账户才能使用 MDM	启用此选项以要求设备使用 Microsoft 账户来接收策略或应用程序。
需要 Microsoft 账户才能使用现代应用程序	启用此选项以要求设备使用 Microsoft 账户来下载和安装 Windows 应用。
置备软件包必须有设备信任的颁发机构签发的证书	启用此选项以要求所有预配包必须有受信任的证书 (批量预置)。Windows 家庭版设备不支持此限制。
允许用户更改自动播放设置	允许用户更改用于自动播放文件类型的程序。Windows 家庭版设备不支持此限制。
允许用户更改流量感知设置	允许用户更改流量感知设置，以限制设备上的数据使用量。Windows 家庭版设备不支持此限制。
日期/时间	允许用户更改日期/时间设置。Windows 家庭版设备不支持此限制。
语言	允许用户更改语言设置。Windows 家庭版设备不支持此限制。
允许用户更改电源和休眠设置	允许用户更改电源和休眠的设置Windows 家庭版设备不支持此限制。
地区	允许用户更改地区设置。Windows 家庭版设备不支持此限制。
允许用户更改登录选项	允许用户更改登录的选项Windows 家庭版设备不支持此限制。
VPN	允许用户更改 VPN 设置。Windows 家庭版设备不支持此限制。
允许用户更改工作区设置	允许用户更改工作区设置并更改 MDM 在设备上的工作方式。Windows 家庭版设备不支持此限制。
允许用户更改账户设置。	允许用户更改账户的设置。Windows 家庭版设备不支持此限制。
蓝牙	允许在设备上使用蓝牙。Windows 家庭版设备不支持此限制。
设备蓝牙广告	允许设备广播蓝牙广告。Windows 家庭版设备不支持此限制。
启用蓝牙的设备可以发现设备	允许其他蓝牙设备通过蓝牙发现设备。Windows 家庭版设备不支持此限制。
摄像头	允许访问设备的摄像头功能。Windows 家庭版设备不支持此限制。
Cortana	允许访问 Cortana 应用程序。Windows 家庭版设备不支持此限制。
在锁屏上启用设备发现 UX	允许在锁定屏幕上启用设备发现 UX 以发现投影仪及其他显示设备。启用时，Win+P 和 Win+K 快捷键无法工作。Windows 家庭版设备不支持此限制。
IME 日志记录	启用此选项以允许用户开启和关闭对错误转换的日志记录功能，以及将自动调节结果保存至某个文件和基于历史的预测输入。Windows 家庭版设备不支持此限制。
IME 网络访问	启用此选项以允许用户开启 “打开扩展字典”功能，通过集成 Internet 搜索来提供本地字典中不存在的输入建议。Windows 家庭版设备不支持此限制。
智能屏幕	启用此选项以允许最终用户使用 Microsoft SmartScreen 功能，这是一种安全功能，要求最终用户绘制图像的形状以解锁设备。此选项还允许用户将 PIN 用作密码。注意：禁用此功能后，您将无法通过 Workspace ONE UEM MDM 重新启用此功能。要重新启用，您必须使设备恢复出厂设置。 Windows 家庭版设备不支持此限制。
利用定位信息搜索	允许使用设备的定位信息进行搜索。Windows 家庭版设备不支持此限制。
存储卡	启用此选项，可允许使用 SD 卡和设备的 USB 端口。Windows 家庭版设备不支持此限制。
Windows 同步设置	允许用户跨设备同步 Windows 设置。Windows 家庭版设备不支持此限制。
Windows 提示	允许在设备上显示 Windows 提示为用户提供帮助。Windows 家庭版设备不支持此限制。
用户帐户控制设置	选择当需要设备的管理员权限才能更改操作系统时发送给最终用户的通知级别。
允许非 Microsoft 应用商店信任的应用程序	允许下载和安装不受 Microsoft 应用商店信任的应用程序。
应用商店自动更新	启用此选项以允许从 Microsoft 应用商店下载的应用在有可用新版本时自动更新。Windows 家庭版设备不支持此限制。
允许开发者解锁	允许使用开发者解锁设置将应用程序旁加载至设备。Windows 家庭版设备不支持此限制。
允许 DVR 和游戏广播	启用此选项已允许在设备上录制和广播游戏。Windows 家庭版设备不支持此限制。
允许在同一应用的多个用户之间共享数据	允许在某一应用的多个用户之间共享数据。Windows 家庭版设备不支持此限制。
将应用数据限制在系统卷	将应用数据限制在操作系统同一卷中，而不是辅助卷或可删除媒体上。Windows 家庭版设备不支持此限制。
将应用程序安装限制在系统驱动器	将应用的安装限制在系统驱动器，而不是辅助驱动器或可删除媒体上。Windows 家庭版设备不支持此限制。
自动连接到 Wi-Fi 热点	启用此选项以允许设备使用 Wi-Fi 感知功能自动连接至 Wi-Fi 热点。Windows 家庭版设备不支持此限制。
漫游时使用手机网络数据	启用此选项以允许在漫游时使用手机网络数据。Windows 家庭版设备不支持此限制。
Internet 共享	启用此选项以允许在设备间共享 Internet。Windows 家庭版设备不支持此限制。
漫游数据用量	启用此选项以允许最终用户在漫游时传输和接收数据。此限制适用于所有 Windows 设备。
通过蜂窝网络使用 VPN	允许通过蜂窝数据连接使用 VPN。Windows 家庭版设备不支持此限制。
漫游时通过蜂窝网络使用 VPN	允许在漫游时通过蜂窝数据连接使用 VPN。Windows 家庭版设备不支持此限制。
自动填充	允许使用自动填充功能填写用户信息。Windows 家庭版设备不支持此限制。
Cookie	允许使用 Cookie。Windows 家庭版设备不支持此限制。
请勿跟踪	允许使用“不跟踪”请求。Windows 家庭版设备不支持此限制。
密码管理器	允许使用密码管理器。Windows 家庭版设备不支持此限制。
弹出窗口	允许弹出式浏览器窗口。Windows 家庭版设备不支持此限制。
地址栏中的搜索建议	允许在地址栏中显示搜索建议。Windows 家庭版设备不支持此限制。
智能屏幕	允许使用 SmartScreen 恶意网站和内容筛选器。Windows 家庭版设备不支持此限制。
将 Intranet 流量发送到 Internet Explorer	允许 Intranet 流量使用 Internet Explorer。此限制适用于所有 Windows 设备。
企业网站列表 URL	输入企业网站列表的 URL。此限制适用于所有 Windows 设备。

完成后，选择保存并发布将配置文件推送到设备。

SCEP 配置文件

简单证书注册协议 (SCEP) 配置文件允许您将证书静默安装到设备，而无需最终用户的交互操作。

即便使用强密码和其他限制策略，您的基础结构还会很容易受到暴力破解和字典攻击，甚至会因员工差错而受到影响。为了提高安全性，您可以实施数字证书来保护企业资产。要使用 SCEP 将证书静默安装到设备，您必须先定义证书颁发机构，然后配置 SCEP 负载以及 EAS、Wi-Fi 或 VPN 负载。其中每个负载中都含有用于关联 SCEP 负载中所定义的证书颁发机构的设置。

为了将证书推送到设备，您必须配置 SCEP 负载，作为您为 EAS、Wi-Fi 和 VPN 设置创建的配置文件的组成部分。

配置 SCEP 配置文件

SCEP 配置文件将证书静默安装到设备，以供在进行设备身份验证时使用。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择用户配置文件或设备配置文件。
为配置文件配置常规设置。
选择 SCEP 配置文件。

配置 SCEP 设置，包括：

设置	说明
凭证来源	此处的下拉菜单总是被设置为已定义的证书颁发机构。
证书颁发机构	选择您要使用的证书颁发机构。
证书模板	选择证书的可用模板。
密钥位置	选择存放证书私钥的位置。 TPM (如果存在) - 如果设备上存在受信任的平台模块 (TPM)，选择此选项将私钥存储在 TPM，否则将之存储在操作系统内。需要 TPM - 选择此选项将私钥存储在受信任的平台模块。如果 TPM 不存在，则不会安装证书，且设备上将显示错误消息。软件 - 选择此选项将私钥存储在设备操作系统中。 Passport - 选择此选项将私钥保存在 Microsoft Passport 内。此选项需要 Azure AD 集成。
Container 名称	指定 Passport for Work（现在称为“Windows Hello 企业版”）容器名称。当您将密钥位置设置为 Passport 时，将显示此设置。

配置 Wi-Fi、VPN 或 EAS 配置文件。
完成后，选择保存并发布将配置文件推送到设备。

单应用模式配置文件

使用单应用模式配置文件，您可以将设备上的访问范围限制在单一应用程序。在单应用模式下，设备将被锁定在单一应用程序内，直到该负载被移除。此策略在设备重启后启用。

单应用模式有一些局限和限制。

仅适用于 Windows 通用应用或现代应用。单应用模式不支持旧版 .msi 或 .exe 应用程序。
用户只能是本地标准用户。他们不能是域用户、管理员用户、Microsoft 账户或来宾。标准用户必须是本地用户。域账户不受支持。

过程

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面
选择用户配置文件。
为配置文件配置常规设置。
选择单应用模式配置文件。
为应用程序名称配置单应用模式设置，然后输入应用程序的友好名称。对于 Windows 应用，友好名称是包名称或包 ID。可运行 PowerShell 命令来获取设备上安装的应用的友好名称。命令“Get-AppxPackage”将以“name”形式返回应用程序友好名称。
配置单应用模式配置文件之后，必须在设备上设置单应用模式。
- 在设备上接收单应用模式配置文件后，重启设备以开始。
- 设备重启之后，系统将提示您使用标准用户账户登录设备。

登录之后，策略随即启动，并可随时使用单应用模式。如果您必须从单应用模式中注销，快速连按 Windows 键 5 次即会启动可供不同用户登录的登录屏幕。

VPN 配置文件

Workspace ONE UEM 支持对设备 VPN 设置进行配置，以便用户能够安全地远程访问贵组织的内部网络。了解 VPN 配置文件如何提供详细的 VPN 设置控制，包括特定 VPN 提供商设置和每应用 VPN 访问权限。

重要提示：启用 VPN 锁定之前，请验证 VPN 配置文件的 VPN 配置是否有效。如果 VPN 配置不正确，则很可能会因为没有 Internet 连接而无法从设备删除 VPN 配置文件。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择用户配置文件或设备配置文件。
为配置文件配置常规设置。
选择 VPN 配置文件。
配置连接信息设置。
- 连接名称 - 输入 VPN 连接的名称。
- 连接类型 - 选择 VPN 连接的类型：
- 服务器 - 输入 VPN 服务器主机名或 IP 地址。
- 端口 - 输入 VPN 服务器使用的端口。
- 高级连接设置 - 启用此选项，可配置设备 VPN 连接的高级路由规则。
- 路由地址 - 选择添加，可输入 VPN 服务器的 IP 地址和子网前缀长度。您可以根据需要添加更多路由地址。
- DNS 路由规则 - 选择“添加”，可输入域名，以便控制何时使用 VPN。输入用于每个特定域的 DNS 服务器和 Web 代理服务器。
- 路由策略 - 选择强制所有流量经由 VPN 或允许直接访问外部资源。
  - 强制所有流量经由 VPN (强制隧道)：在此流量规则下，所有 IP 流量必须仅通过 VPN 接口。
  - 允许直接访问外部资源 (拆分隧道)在此流量规则下，只有用于 VPN 接口的流量 (由网络堆栈确定) 才能通过此接口。互联网流量可继续通过其他接口。
- 代理 - 选择自动检测以检测 VPN 使用的任何代理服务器。选择手动以配置代理服务器。
- 服务器 - 输入代理服务器的 IP 地址。当代理服务器设置为手动时显示。
- 代理服务器的配置 URL - 输入代理服务器配置设置的 URL。当代理服务器设置为手动时显示。
- 对本地网络绕过代理服务器 - 启用此选项，可在设备检测到其位于本地网络上时绕过代理服务器。
- 协议 - 选择 VPN 的身份验证协议：
  - EAP – 允许各种身份验证方法。
  - 机器证书 - 在设备证书存储中检测用于身份验证的客户端证书。
- EAP 类型|选择 EAP 身份验证的类型：
  - EAP-TLS – 智能卡或客户端证书身份验证
  - EAP-MSCHAPv2 – 用户名和密码
  - EAP-TTLS
  - PEAP
  - 自定义配置 - 允许所有 EAP 配置。只有当协议被设为EAP时显示。
- 凭证类型 - 选择使用证书以使用客户端证书。选择使用智能卡，以使用智能卡进行身份验证。当 EAP 类型设置为 EAP-TLS 时显示。
- 简单证书选择 - 启用此设置可简化供用户选择的证书列表。证书按各实体机构最新颁布的证书排列显示。当 EAP 类型设置为 EAP-TLS 时显示。
- 使用 Windows 登录凭证 - 启用此选项，可使用与 Windows 设备相同的凭证。当 EAP 类型设置为 EAP-MSCHAPv2 时显示。
- 标识隐私 - 输入客户端对服务器标识进行身份验证之前要发送到服务器的值。当 EAP 类型设置为 EAP-TTLS 时显示。
- 内部身份验证方法 - 选择用于内部标识身份验证的身份验证方法。当 EAP 类型设置为 EAP-TTLS 时显示。
- 启用快速重新连接 - 启用此选项，可缩短客户端发出身份验证请求到服务器做出响应之间的延迟时间。当 EAP 类型设置为 PEAP 时显示。
- 启用标识隐私 - 启用此选项，可保护用户标识，直到客户端向服务器进行身份验证。
- 每应用 VPN 规则 - 选择添加，为旧版和新版应用程序添加流量规则。
- 应用程序 ID - 首先选择应用是应用商店应用还是桌面应用。然后，输入桌面应用的应用程序文件路径。您还可以输入商店应用的软件包系列名称，以指定流量规则适用的应用。
  - 文件路径如下例所示：%ProgramFiles%/ Internet Explorer/iexplore.exe
  - 程序包系列名称如下例所示：使用 AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4 PFN 查找值，可以通过选择搜索图标来搜索应用程序 PFN。在随即打开的显示窗口中，您可以选择您要配置每应用 VPN 规则来对其监管的应用程序。然后，将自动填充 PFN。
- 按需接入 VPN - 启用此选项，可在应用程序启动时自动连接 VPN。
- 路由策略 - 选择应用的路由策略。
  - 允许直接访问外部资源允许 VPN 流量和其他流量通过本地网络连接。
  - 强制所有流量经由 VPN 强制所有流量通过 VPN。
- DNS 路由规则 - 启用此选项，可为应用流量添加 DNS 路由规则。选择添加可为路由规则添加筛选类型和筛选值。只有来自特定应用程序且符合这些规则的流量可以通过 VPN 发送。
  - IP　地址: 一个指定所允许的远程 IP 地址范围的逗号分隔值列表。
  - 端口：一个指定所允许的远程端口范围的逗号分隔值列表。例如，100-120、200、300-320。端口仅在协议设置为 TCP 或 UDP 时有效。
  - IP 协议: 介于 0 到 255 之间的数值，表示允许的 IP 协议。例如，TCP = 6 和 UDP = 17。
- 设备范围 VPN 规则 - 选择添加，可在设备级别添加流量规则。选择添加可为路由规则添加筛选类型和筛选值。只有符合这些规则的流量可以通过 VPN 发送。
  - IP　地址: 一个指定所允许的远程 IP 地址范围的逗号分隔值列表。
  - 端口：一个指定所允许的远程端口范围的逗号分隔值列表。例如，100-120、200、300-320。端口仅在协议设置为 TCP 或 UDP 时有效。
  - IP 协议: 0 到 255 之间的数值，代表了允许的 IP 协议。例如，TCP = 6 和 UDP = 17。有关所有协议的数值列表，请参阅 https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml。
- 记住凭证 - 启用此选项可记住最终用户的登录凭证。
- 始终开启 - 启用此选项可强制 VPN 连接始终保持开启状态。
- VPN 锁定 - 启用此选项可强制 VPN 始终保持开启状态，永远不会断开连接；如果未连接 VPN，则禁用任何网络访问，并阻止其他 VPN 配置文件连接到设备。将新 VPN 配置文件推送给设备前，必须先删除已启用 VPN 锁定的 VPN 配置文件。只有当配置文件设置为“设备”上下文时，才会显示此功能。
- 对本地流量绕过 - 启用此选项可对本地 Intranet 流量绕过 VPN 连接。
- 受信任网络检测 - 输入受信任的网络地址（用逗号隔开）。检测到受信任网络连接时，VPN 不会连接。
- 域 - 选择添加新域以添加要通过 VMware Tunnel 服务器进行解析的域。添加的任何域均通过 VMware Tunnel 服务器解析，而不管流量源自哪个应用。例如，如果您使用受信任的 Chrome 应用或不受信任的 Edge 应用，vmware.com 将通过 VMware Tunnel 服务器进行解析。只有在创建作为用户配置文件的 VPN 配置文件时，才会显示该选项。
完成后，选择保存并发布将配置文件推送到设备。

Workspace ONE UEM VPN 配置文件支持为 Windows 设备配置每应用 VPN 设置。了解如何将 VPN 配置文件配置为使用特定流量规则和逻辑来启用每应用 VPN 访问。

使用 VPN 配置文件的 Windows 的每应用 VPN

Workspace ONE UEM VPN 配置文件支持为 Windows 设备配置每应用 VPN 设置。了解如何将 VPN 配置文件配置为使用特定流量规则和逻辑来启用每应用 VPN 访问。

每应用 VPN 允许您根据特定的应用程序来配置 VPN 流量规则。配置完成后，VPN 会在特定应用程序启动时自动连接，并通过 VPN 连接发送该应用程序的流量，但不发送来自其他应用程序的流量。利用这种灵活性，您既能确保企业数据保持安全，同时又不限制设备自由访问互联网。

“每应用 VPN 规则”部分下的每个规则组都使用逻辑 OR 运算符。因此，如果流量符合配置的任何策略，则允许流量通过 VPN。

显示“每应用 VPN 规则”框

适用于每应用 VPN 流量规则的应用程序既可以是旧版 Windows 应用程序（比如 .exe 文件），也可以是从 Microsoft 应用商店下载的现代应用。通过将特定应用程序设置为启动并使用 VPN 连接，则只有来自这些应用的流量可使用 VPN，而不是所有设备流量都能使用 VPN。此逻辑使您可以确保企业数据的安全，同时减少通过您的 VPN 发送流量的带宽消耗。

为了帮助您减少 VPN 带宽限制，您可以为每应用 VPN 连接设置 DNS 路由规则。这些路由规则将通过 VPN 发送的流量限制为仅允许符合相应规则的流量。逻辑规则使用 AND 运算符。因此，如果您设置 IP 地址、端口和 IP 协议，则流量必须符合所有筛选条件才能通过 VPN。

每应用 VPN 允许您以应用到应用为基础来配置对 VPN 连接的精细控制。

网页剪辑配置文件

Web Clip 配置文件允许您将便于访问重要网站的 URL 推送到最终用户的设备。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择用户配置文件。
为配置文件配置常规设置。
选择 Web Clip 配置文件。

配置 Web Clip 设置，包括：

设置	说明
标签	输入对 Web Clip 的描述。
URL	输入 Web Clip 的目标 URL 。
在应用目录中显示	启用此选项，在应用目录中显示 Web Clip。

完成后，选择保存并发布将配置文件推送到设备。

Wi-Fi 配置文件

通过 Workspace ONE UEM 创建 Wi-Fi 配置文件，将设备连接到隐藏、加密或受密码保护的企业网络。了解 Wi-Fi 配置文件对于需要访问多个网络的最终用户，或者在配置设备以自动连接到适当无线网络时的具体用处。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。

选择 Wi-Fi 配置文件并配置设置。

设置	说明
服务集标识符	输入所需 Wi-Fi 网络名称 (SSID) 的标识符。网络 SSID 不能包含空格。
隐藏网络	如果网络使用隐藏 SSID，则启用此选项。
自动加入	启用此选项以将设备设置为自动加入网络。
安全类型	使用下拉菜单来选取 Wi-Fi 网络的安全类型 (例如：WPA2 个人) 。
加密	使用下拉菜单来选取所用的加密类型。系统将根据安全类型来显示此设置。
密码	为使用静态密码的网络输入加入 Wi-Fi 网络所需的密码。选中“显示字符”复选框，以在文本框中禁用隐藏字符。系统将根据安全类型来显示此设置。
代理	启用此选项以配置 Wi-Fi 连接的代理设置。
URL	输入代理的 URL。
端口	输入代理的端口。
协议	选择要使用的协议类型：证书：PEAP-MsChapv2 EAP-TTLS：自定义当安全类型设置为 WPA Enterprise 或 WPA2 Enterprise 时，将显示此部分。
内部标识	选择使用 EAP-TTLS 进行身份验证的方法：用户名/密码证书当协议选项设置为 EAP-TTLS 或 PEAP-MsChapv2 时，将显示此部分。
需要加密绑定	启用此选项以要求对上述两种身份验证均使用密码绑定。此菜单项可限制中间人攻击。
使用 Windows 登录凭证	启用此选项以使用 Windows 登录凭证（用户名/密码）进行身份验证。此选项在用户名/密码被设为内部标识时显示。
标识证书	选择“标识证书”，您可以使用凭证负载对其进行配置。此选项在证书被设为内部标识时显示。
受信任的证书	选择添加为 Wi-Fi 配置文件添加受信任的证书。此部分在安全类型被设为“WPA 企业”或“WPA2 企业”时显示。
允许信任例外	启用此选项以允许由用户通过对话框作出的信任决策。

完成后，选择保存并发布将配置文件推送到设备。

Windows Hello 配置文件

Microsoft Hello 是一种可取代使用密码的安全选项。Windows Hello 配置文件可为 Windows 桌面设备配置 Windows Hello for Business，以便最终用户无需发送密码即可访问您的数据。

使用用户名和密码来保护设备和帐户，可能会导致潜在的安全漏洞。用户可能会忘记密码或与员工外的其他人共享密码，致使您的企业数据陷入风险之中。使用 Windows Hello，Windows 设备可代表用户安全地完成应用程序、网站和网络身份验证，而无需发送密码。用户无需记住密码，且中间人攻击不太可能危及您的安全。

Windows Hello 需要用户先验证对 Windows 设备的所有权，然后才能使用 PIN 或 Windows Hello 生物识别验证进行身份验证。使用 Windows Hello 进行身份验证后，设备将获得对网站、应用程序和网络的即时访问权限。

重要提示：Windows Hello for Business 需要 Azure AD 集成才能工作。

创建 Windows Hello 配置文件，为 Windows 桌面设备配置 Windows Hello for Business，以便最终用户无需输入密码即可访问应用程序、网站和网络。

创建 Windows Hello 配置文件

创建 Windows Hello 配置文件，为 Windows 桌面设备配置 Windows Hello for Business，以便最终用户无需输入密码即可访问应用程序、网站和网络。

重要提示：Windows Hello 配置文件仅适用于通过 Azure AD 集成注册的设备。

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。

选择 Windows Hello 配置文件并配置以下设置：

设置	说明
生物识别手势	启用此设置即可允许最终用户使用设备生物识别阅读器。
TPM	设置为“必需”，以便对未安装受信任平台模块的设备禁用 Passport。
PIN 长度下限	输入 PIN 必须包含的最低数字位数。
PIN 长度上限	输入 PIN 可以包含的最高数字位数。
数字	设置在 PIN 中使用数字的权限级别。
大写字母	设置在 PIN 中使用大写字母的权限级别。
小写字母	设置在 PIN 中使用小写字母的权限级别。
特殊字符	设置在 PIN 中使用特殊字符的权限级别。 `! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ { \| } ~`

选择保存并发布，可将配置文件推送到设备。

Windows 许可配置文件

配置 Windows 许可配置文件，以便为您的 Windows 设备提供 Windows 企业版或 Windows 教育版许可证密钥。另可使用此配置文件为原装系统并非 Windows 企业版的设备升级。

重要提示：

此升级无法逆转。如果您将配置文件推送到 BYOD 设备，则将无法通过 MDM 移除许可授权。Windows 只能按照特定的升级途径进行升级：

Windows 企业版升级到 Windows 教育版
Windows 家庭版升级到 Windows 教育版
Windows 专业版升级到 Windows 教育版
Windows 专业版升级到 Windows 企业版

过程

导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择添加配置文件。
选择 Windows，然后选择 Windows 桌面。
选择设备配置文件。
为配置文件配置常规设置。

选择 Windows 许可负载并配置以下设置：

设置	说明
Windows 版本	可选择 Enterprise 或 Education 版本。
输入有效的许可证密钥	输入您所使用的 Windows 版本的许可证密钥。

选择保存并发布，可将配置文件推送到设备。

Windows 更新配置文件

创建一份 Windows 更新配置文件，使用 Windows 10 版本 2004 及更高版本来管理 Windows 桌面设备的 Windows 更新设置。此配置文件比 Windows 更新（旧版）配置文件具有更多增强功能和更多功能。使用更新的版本将确保您的所有设备都是最新的，并且能够利用添加到控制台的新功能以及改善设备和网络安全。

要创建或配置 Windows 更新配置文件，请使用 Windows 设备管理器。

导航到设备 > 配置文件和资源 > 配置文件 > 添加 >，然后选择添加配置文件。
选择 Windows > Windows 桌面 > 设备配置文件。
从设备配置文件中，选择 Windows 更新，然后单击按钮以配置该配置文件。

配置后，您可以根据需要自定义设置。下表提供了有关每个设置的含义的更多信息。

设置	说明
定义
Windows 更新源	选择 Windows 更新源。 Microsoft 更新服务 - 选择此设置可使用默认的 Microsoft 更新服务器。企业 WSUS - 选择此设置可使用企业服务器，并输入 WSUS 服务器 URL 和 WSUS 组。设备必须至少与 WSUS 通信一次，此设置才会生效。通过选择企业 WSUS 作为更新源，您的 IT 管理员可以查看已安装的更新和 WSUS 组中设备的状态。注：源在设置后无法更改。
更新分支	选择更新要遵循的更新分支。 Windows Insider - Dev Channel – 此频道中的 Insider Preview 大约每周发布一次，其中包含最新的功能。这使得它们成为功能探索的理想方法。） Windows Insider- Beta Channel – 此频道中的 Insider Preview 大约每月发布一次，并且比 Fast Ring 版本更稳定，使它们更适合用于验证目的。 Windows Insider - Release Preview Channel – 此频道中的 Insider Preview 内部版本是用于验证即将发布的 GA 版本的即将完成的 GA 版本。正式发布频道（定向） – 没有 Insider Preview，功能更新每年发布一次。
管理预览内部版本	选择预览内部版本的访问权限。如果要在 Insider Preview 中运行设备，请确保将此选项设置为“启用预览内部版本”：禁用预览内部版本在下一个版本为公共版本后，可禁用预览内部版本启用预览内部版本
设备计划
启用设备调度	启用后，可以定义设备如何处理更新安装和自动（强制）重新引导的计划。启用后，您将看到更多选项，用于配置自动更新行为、设置活动时段，以及配置用户在自动将更新推送到其设备之前的天数。
更新行为
启用更新行为	启用后，您可以定义提供的更新类型，以及符合条件的设备何时接收更新。启用后，您将看到更多选项：禁用双重扫描、允许 Microsoft 应用程序更新、设置推迟功能更新的时间，以及排除 Windows 驱动程序和/或禁用安全措施。
设备行为
启用设备行为	启用后，您可以定义设备如何处理更新行为配置。启用后，您将看到更多选项，以允许自动 Windows 更新通过计量网络下载，忽略 AP 更新的蜂窝数据下载限制，以及忽略系统更新的蜂窝数据下载限制。
交付优化
启用交付优化	启用后，您可以定义如何减少带宽消耗。启用后，您将看到更多选项以选择下载模式、缓存主机源、组 ID 源、HTTP 源、缓存服务器源、网络、设备要求和网络带宽限制。
操作系统版本
操作系统版本	启用后，您可以指定在服务结束前应移动或显示的目标版本和目标产品版本。

完成配置文件自定义后，请记得选择保存并发布将配置文件推送到您的设备。

功能和质量更新故障排除

由于 Windows 更新可能会导致与特定驱动程序或应用程序一起出现问题，因此添加了三个按钮以帮助对这些情况进行故障排除。暂停按钮允许您在功能和质量更新发出之前对其进行暂停（但仅 35 天）。回滚按钮将允许在解决问题时，对已进行但导致不可预见的问题的更新暂时返回到以前的版本。恢复按钮将再次启用 Windows 更新搜索和安装。

Windows 更新（旧版）配置文件

Windows 更新（旧版）配置文件适用于使用 Windows 10、1909 或更低版本的 Windows 桌面设备。请考虑迁移或使用新的 Windows 更新配置文件，以便能够利用 2004 年之后的新功能和增强功能。该配置文件确保您的所有设备都使用最新版本，从而提高设备和网络的安全性。

重要提示：有关每个更新分支支持的操作系统版本，请参阅有关 Windows 版本信息的 Microsoft 文档：https://technet.microsoft.com/en-us/windows/release-info.aspx。

要创建或配置 Windows 更新旧版配置文件，请使用 Windows 设备管理器。

导航到设备 > 配置文件和资源 > 配置文件 > 添加 >，然后选择添加配置文件。
选择 Windows > Windows 桌面 > 设备配置文件。
在设备配置文件中，您将看到一个可自定义项目的菜单。选择 Windows 更新（旧版），然后单击按钮以配置设置。

注意：您可能会注意到一个警示，通知您能否将现有配置文件迁移到新版本。您可以选择使用迁移按钮将您的设置迁移到新的 Windows 更新配置文件。请注意，如果确实迁移了配置文件，则某些设置已得到增强和更新，从而导致某些旧选项不再有效。这些更改不会从以前的版本迁移。

配置后，您可以自定义旧版配置文件的设置（同样适用于 Windows 10 2004 或之前版本）。下表提供了有关每个设置的含义的更多信息。

设置	说明
分支和延迟
Windows 更新源	选择 Windows 更新源。 Microsoft 更新服务 - 选择此设置可使用默认的 Microsoft 更新服务器。企业 WSUS - 选择此设置可使用企业服务器，并输入 WSUS 服务器 URL 和 WSUS 组。设备必须至少与 WSUS 通信一次，此设置才会生效。通过选择企业 WSUS 作为更新源，您的 IT 管理员可以查看已安装的更新和 WSUS 组中设备的状态。
更新分支	选择更新要遵循的更新分支。半年频道 Windows Insider 分支 - 快速（不太稳定，开发内部版本） Windows Insider 分支 - 慢速（更稳定，开发内部版本） Insider - 发布（更稳定、公共内部版本）
会员版本	允许下载 Windows 的 Windows 预览体验内部版本。不允许 - 已将其添加到 Windows 10 版本 1709，并指定是否允许访问 Windows 10 Insider Preview 内部版本。
延迟功能更新时段 (天)	选择在将功能更新安装到设备上之前推迟的天数。在 Windows 版本 1703 中，可推迟更新的最大天数已更改。运行 1703 之前版本的设备只能推迟 180 天。运行高于 1703 的版本的设备最多可推迟 365 天。如果推迟更新的天数超过 180 天，并在 1703 更新之前将配置文件推送到运行 Windows 的设备，则无法在设备上安装该配置文件。
暂停功能更新	启用此设置后，将在 60 天内暂停所有功能更新，或直至禁用此设置为止。此设置覆盖延迟功能更新时段（以天为单位）设置。可使用此选项推迟安装会导致问题的更新，而通过遵循您的延期设置即可正常安装这些更新。
延迟质量更新时段 (天)	选择在将质量更新安装到设备上之前推迟的天数。
暂停质量更新	启用此设置后，将在 60 天内暂停所有质量更新，或直至禁用此设置为止。此设置覆盖延迟质量更新时段（以天为单位）设置。可使用此选项推迟安装会导致问题的更新，而通过遵循您的延期设置即可正常安装这些更新。
启用早期 Windows 版本的设置	选择此设置可启用针对早期 Windows 版本的延期设置。此设置为旧版本的 Windows 10（如 1511 及更低版本）启用延迟功能。在当前设置的 1607 周年更新中修改了这些设置。
更新安装行为
自动更新	设置来自所选更新分支的更新的处理方法：自动安装更新（推荐）。自动安装更新，但由用户计划计算机重新启动日程。自动安装更新，然后在特定时间重新启动。自动安装更新，防止用户修改控制面板设置。检查更新，但让用户选择是否下载和安装更新。永不检查更新（不推荐）。
最长活动时段 (小时)	输入防止系统因更新而重新引导的最长活动时段。
活动时段开始时间	输入活动时段的开始时间。设置活动时段，以阻止系统在这些时段重新启动。
活动时段结束时间	显示活动时段的结束时间。此时间由活动时段开始时间和最长活动时段决定。
质量更新自动重新启动截止时间	设置在安装质量或功能更新后，在强制重新引导系统之前可以经过的最长天数。
功能更新自动重新启动截止时间	设置在安装功能更新后，在强制重新引导系统之前可以经过的最长天数。
自动重新启动通知 (分钟)	选择在自动重新启动之前显示警告的分钟数。
需要自动重新启动通知	设置自动重新启动通知的关闭方式。自动关闭 - 自动关闭。用户关闭- 要求用户关闭通知。
质量更新有效重新启动截止时间	“预定重新启动”允许管理在活动时段内安装质量或功能更新后，何时重新引导设备。使用此选项可以设置在非活动时段内自动计划重新引导之前用户可以预定重新引导的天数。
功能更新有效重新启动截止时间	“预定重新启动”允许管理在活动时段内安装功能更新后，何时重新引导设备。使用此选项可以设置在非活动时段内自动计划重新引导之前用户可以预定重新引导的天数。
质量更新有效重新启动推迟计划	输入用户可以推迟预定重新启动的天数。推迟时段过后，将在非活动时段内计划重新引导时间。
功能更新有效重新启动推迟计划	输入用户可以推迟预定重新启动的天数。推迟时段过后，将在非活动时段内计划重新引导时间。
计划的自动重新启动警告 (小时)	选择计划的自动重新启动前警告用户的小时数。
计划的自动重新启动警告 (分钟)	选择计划的自动重新启动前警告用户的分钟数。
计划的即将发生重新启动警告 (分钟)	选择计划的即将自动重新启动前警告用户的分钟数。
更新策略
允许公共更新	允许来自公共 Windows 更新服务的更新。不允许此服务可能会导致 Microsoft 应用商店出现问题。
允许 Microsoft 更新	允许来自 Microsoft 更新服务的更新。
更新扫描频率 (小时)	设置两次更新扫描之间的小时数。
双扫描	启用此项可在使用 Windows Server Update Services 提供所有其他内容时，使用 Windows 更新作为主要更新源。
从质量更新中排除 Windows 更新驱动程序	启用此项可防止在质量更新期间自动在设备上安装驱动程序更新。
安装来自第三方实体的签名更新	允许安装来自批准的第三方提供的更新。
移动运营商应用下载限制	选择是否忽略任何移动运营商下载限制，以便通过蜂窝网络下载应用及其更新。
移动运营商更新下载限制	选择是否忽略任何移动运营商下载限制，以便通过蜂窝网络下载操作系统更新。
管理员批准的更新
需要更新审批	启用此选项，要求更新在下载到设备前已经过审批。启用此选项，要求在将更新下载到设备之前，由管理员明确批准更新。通过更新组或个别更新审批进行此审批。此选项要求您在将更新推送到设备前，代表最终用户接受所有要求的 EULA。如果必须接受 EULA，系统会打开一个对话框，其中显示 EULA。要审批更新，请导航到生命周期 > Windows 更新。
交付优化
对等更新	允许使用对等方法下载更新。

完成配置文件自定义后，请记得选择保存并发布将配置文件推送到您的设备。

适用于 Windows 桌面的设备更新

Workspace ONE UEM 支持查看并审批 Windows 设备的操作系统更新和 OEM 更新。设备更新页面列出了适用于已在选定组织组中注册的 Windows 设备的所有更新。

Windows 桌面配置文件上的受管应用程序

管理员可以管理设备上受管应用程序的移除。管理员可以在添加新的 Windows 桌面配置文件 > 受管应用程序下启用或禁用将受管应用程序保留在设备上的功能（如果已取消注册）。

Windows 选项卡

在 Windows 选项卡中，可以审批更新，并按照您的业务需求将更新分配到特定的智能组。此选项卡显示所有更新及其发布日期、平台、分类和分配的组。仅显示适用于已在选定组织组 (OG) 中注册的 Windows 设备的更新。如果未在 OG 中注册任何 Windows 设备，则不会显示任何更新。

选择更新名称会显示一个包含详细信息的窗口、指向该更新的 Microsoft 知识库页面的链接和更新的安装状态。

此过程需要将 Windows 更新配置文件发布到已启用要求更新审批的设备。

更新程序的安装状态显示了该更新在您的各设备中的部署情况。通过在列表中选择更新，或在“安装状态”列中选择查看来查看更新的部署状态。

状态	说明
已分配	更新已被批准并分配到设备。
已批准	已批准的更新成功分配到设备。
可用	更新可在设备上安装。
待安装	更新已被批准且可用，但尚未安装。
待重新启动	安装暂停，等待设备重新启动。
已安装	已成功安装更新。
失败	更新安装失败。

OEM 更新选项卡

在此选项卡中，您可以查看已部署到您的 Windows 桌面设备的所有 OEM 更新。您可以按名称、级别、类型和设备类别对列表进行排序。您可以使用筛选器（包括音频驱动程序、芯片组驱动程序、BIOS 更新以及更多筛选条件）来筛选显示的更新。

通过选择更新名称查看更新部署的安装状态。