安全核心計算機設定鎖定

在企業組織中，IT 系統管理員會在其公司裝置上強制執行原則，讓裝置保持符合規範的狀態，並防止使用者變更設定並建立設定漂移來保護作業系統。 當具有本機系統管理員許可權的用戶變更設定，並讓裝置與安全策略不同步時，就會發生設定漂移。 在下次使用 MDM 同步處理和設定重設之前，處於不符合規範狀態的裝置可能會容易受到攻擊。 具有設定鎖定的 Windows 11 可讓 IT 系統管理員防止設定漂移，並讓 OS 設定保持在所需的狀態。 利用設定鎖定，作業系統會監視設定登錄機碼，其會設定每個功能，而當其偵測到漂移時，會在數秒內還原為 IT 所需的狀態。

安全核心設定鎖定 (設定鎖定) 是新的 安全核心計算機 (SCPC) 功能，可防止設定偏離非預期錯誤所造成的安全核心計算機功能。 簡言之，它可確保要作為安全核心計算機的裝置仍為安全核心計算機。

總而言之，設定鎖定：

• 透過 MDM 管理時，讓 IT 能夠「鎖定」安全核心電腦功能
• 在幾秒內偵測漂移補救
• 無法防止惡意攻擊

Windows 版本和授權需求

下表列出支援安全核心設定鎖定的 Windows 版本：

安全核心設定鎖定授權權利由下列授權授與：

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

組態流程

安全 核心電腦 到達桌面之後，設定鎖定會偵測裝置是否為安全核心計算機，以防止設定漂移。 當裝置不是安全核心計算機時，即不會套用鎖定。 如果裝置是安全核心計算機，設定鎖定會鎖定原則清單下所列 的原則。

使用 Microsoft Intune 啟用組態鎖定

默認不會啟用設定鎖定，或由操作系統在開機期間開啟。 相反地，您需要開啟它。

使用 Microsoft Intune 開啟設定鎖定的步驟如下：

1. 請確定要開啟設定鎖定的裝置已在 Microsoft Intune 中註冊。

2. 在 Intune 系統管理中心中，選取 [ 裝置>組態配置檔>] [建立配置檔]。

3. 選取下列專案，然後按 [ 建立]：

   • 平臺： Windows 10 and later
   • 設定檔案類型： Templates
   • 範本名稱：自定義

   

4. 為您的設定檔命名。

5. 當您到達 [組態設定] 步驟時，請選取 [新增]，然後新增下列資訊：

   • OMA-URI： ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
   • 資料類型： Integer
   • 值： 1

   若要關閉設定鎖定，請將值變更為 0。

   

6. 選取要開啟設定鎖定的裝置。 如果您使用測試租使用者，您可以選取 [+ 新增所有裝置]。

7. 您不需要針對測試目的設定任何適用性規則。

8. 檢閱設定，如果一切正確，請選取 [建立]。

9. 裝置與 Microsoft Intune 伺服器同步之後，您可以確認是否已成功啟用設定鎖定。

   

   

設定安全核心計算機功能

設定鎖定的設計目的是要確保安全核心計算機不會意外設定錯誤。 您能夠啟用或停用 SCPC 功能，例如韌體保護。 您可以使用組策略或 MDM 服務進行這些變更，例如 Microsoft Intune。

常見問題集

• 我可以停用設定鎖定嗎？ 是。 您可以使用 MDM 完全關閉設定鎖定，或將它放在技術服務人員活動的暫時解除鎖定模式中。

鎖定的原則清單