Введение в поставщиков служб конфигурации (CSP) для ИТ-специалистов

  • Статья

Поставщики служб конфигурации (CSP) предоставляют доступ к параметрам конфигурации устройств в Windows 10. Этот раздел написан для пользователей, у которых нет опыта работы с поставщиками служб конфигурации.

Поставщики служб конфигурации описываются в Центре разработки оборудования, поскольку их используют, в основном, поставщики служб управления мобильными устройствами (MDM). В этом разделе объясняется, как ИТ-специалисты и системные администраторы могут воспользоваться множеством параметров поставщиков служб конфигурации для настройки устройств под управлением Windows 10 и Windows 10 Mobile в своих организациях.

Примечание  

Описание и документация для CSP также применимы к Windows Mobile 5, Windows Mobile 6, Windows Phone 7 и Windows Phone 8, но ссылки представлены на текущих поставщиков служб конфигурации для Windows 10 и Windows 10 Mobile.

 

Что такое поставщик служб конфигурации (CSP)?

CSP — это интерфейс в клиентской операционной системе для взаимодействия между параметрами конфигурации, указанными в документе подготовки, и параметрами конфигурации на устройстве. Они работают аналогично клиентским расширениям групповой политики в том смысле, что они предоставляют интерфейс для чтения, установки, изменения и удаления параметров конфигурации для определенной функции. Обычно эти параметры сопоставляются разделам реестра, файлам или разрешениям. Некоторые из этих параметров можно изменять, а другие доступны только для чтения.

Поставщики служб конфигурации использовались для управления мобильными устройствами Windows начиная с Windows Mobile 5.0. На платформе Windows 10 применяется общий подход к управлению настольными и мобильными устройствами, при этом одинаковые поставщики служб конфигурации используются для настройки всех устройств Windows 10 и управления ими.

Каждый CSP предоставляет доступ к определенным параметрам. Например, Wi-Fi CSP содержит параметры для создания профиля Wi-Fi.

Поставщики служб конфигурации стоят за многими задачами и политиками управления для Windows 10 в Microsoft Intune и сторонних поставщиках служб MDM. Например, в Intune политика, разрешающая поиск рекомендаций в адресной строке Microsoft Edge, использует параметр Браузер/AllowSearchSuggestionsinAddressBarпоставщика служб конфигурации политики.

Сопоставление Intune с поставщиками служб конфигурации

Поставщики служб конфигурации получают политики конфигурации в формате SyncML, основанном на XML, с MDM-совместимых серверов управления, таких как Microsoft Intune. Традиционные корпоративные системы управления, например System Center Configuration Manager, также могут работать с поставщиками служб шифрования с помощью клиентского моста WMI-CSP.

Язык разметки синхронизации (SyncML)

Протокол управления устройствами Open Mobile Alliance (OMA-DM) использует основанный на XML язык разметки синхронизации (SyncML) для обмена данными между совместимыми серверами и клиентами. SyncML предлагает открытый стандарт для использования в качестве альтернативы разрабатываемым отдельными поставщиками решениям, например WMI. Польза для корпораций, переходящих на стандартные отраслевые протоколы управления, заключается в том, что это позволяет осуществлять управление более широким набором устройств различных поставщиков с помощью одной платформы (например Microsoft Intune). Политики устройств, в том числе профили VPN-соединений, передаются клиентским устройствам в формате, аналогичном SyncML. Получающий эти данные поставщик служб конфигурации считывает эту информацию и применяет необходимые настройки.

Мост WMI-CSP

Мост WMI-CSP представляет собой компонент, который позволяет настраивать поставщики служб конфигурации Windows 10 с помощью скриптов и стандартного программного обеспечения корпоративного управления, например Configuration Manager с использованием инструментария управления Windows (WMI). Мост отвечает за считывание команд WMI и с помощью компонента, называемого общим конфигуратором устройств, передает их поставщику служб конфигурации для приложения на устройстве.

Узнайте, как использовать WMI Bridge Provider с PowerShell.

Почему следует изучить поставщики служб конфигурации?

Обычно для настройки устройств и управления ими предприятия используют групповую политику или MDM. Для настройки устройств под управлением Windows службы MDM применяются поставщики служб конфигурации.

Кроме того, на предприятии могут быть неуправляемые устройства или множество устройств, которые нужно настроить перед регистрацией в системе управления или к которым требуется применить собственные настройки, недоступные в службе MDM. Документация по CSP поможет вам понять параметры, которые можно настроить или запросить.

Кроме того, некоторые из разделов в библиотеке Windows 10 и Windows 10 Mobile на портале Technet содержат ссылки на соответствующие справочные разделы, посвященные CSP, например Интеграция Кортаны в вашей компании или организации, где указана ссылка на поставщик служб конфигурации политик. В разделах, посвященных CSP, описываются все доступные параметры конфигурации.

Поставщики служб конфигурации в конструкторе образов и конфигураций Windows (ICD)

С помощью Windows ICD можно создать пакеты подготовки, чтобы применить параметры при первом включении и после настройки устройства. Вы можете использовать пакеты подготовки для настройки подключения устройства и его регистрации в службе MDM. Многие параметры среды выполнения в Windows ICD зависят от поставщиков служб конфигурации.

Для множества параметров в Windows ICD на центральной панели отображается документация, которая содержит ссылку на поставщика CSP, если параметр использует его, как показано на следующем изображении.

Отображение содержимого справки в ICD

Настройка устройств без MDM — описание способов использования средства Windows ICD из комплекта средств для развертывания и оценки Windows (ADK) для Windows 10, чтобы создать пакет подготовки среды выполнения.

Поставщики служб конфигурации в MDM

Большинство, если не все, поставщики служб конфигурации доступны через службу MDM. Если вы видите поставщика CSP, который предоставляет нужную возможность, и не можете ее найти в службе MDM, обратитесь к поставщику MDM за помощью. Может быть, имя требуемой возможности отличается от предполагаемого. Поставщики служб конфигурации, которые поддерживаются MDM, описаны в справочнике по поставщикам служб конфигурации.

Если поставщик CSP доступен, но не включен явно в ваше решение MDM, вы можете использовать CSP с помощью параметров OMA-URI. Например, в Intune для развертывания параметров можно применять пользовательские параметры политики. В Intune задокументирован частичный список параметров, которые можно ввести в разделе Параметры OMA-URI пользовательской политики, если служба MDM предоставляет данное расширение. Вы заметите, что в списке не объясняется смысл разрешенных значений и значений по умолчанию, поэтому воспользуйтесь справочной документацией CSP, чтобы найти эти сведения.

Поставщики служб конфигурации в XML-коде блокировки

XML-код блокировки можно использовать для настройки устройств под управлением Windows 10 Mobile. Вы можете вручную создать файл XML-кода блокировки, чтобы использовать параметры конфигурации, предоставляемые поставщиком служб конфигурации EnterpriseAssignedAccess.

Как использовать документацию по поставщикам служб конфигурации?

Все поставщики служб конфигурации в Windows 10 описаны в справочнике по поставщикам служб конфигурации.

В основном разделе CSP указано, какие поставщики CSP поддерживаются в каждом выпуске Windows 10, и представлены ссылки на документацию для каждого отдельного CSP.

Поставщики служб конфигурации по выпускам Windows

В документации для каждого CSP используется одинаковая структура. После введения, где описывается цель CSP, отображается схема с частями CSP в формате дерева.

Полный путь к определенному параметру конфигурации представлен его универсальным кодом ресурса Open Mobile Alliance (OMA-URI). URI относителен для корневого узла устройства (например MSFT). Возможности, поддерживаемые определенным поставщиком служб конфигурации, можно задать, используя полный путь OMA-URI.

В следующем примере показана схема для AssignedAccess CSP. Схема соответствует XML для этого поставщика CSP. Обратите внимание на разные фигуры на схеме. Закругленные элементы — это узлы, а прямоугольные элементы — это параметры и политики, для которых необходимо установить значение.

Дерево для AssignedAccess CSP

Элемент на древовидной схеме после корневого узла представляет собой имя CSP. Зная эту структуру, можно распознать в XML-коде части пути URI этого поставщика CSP. Если вы увидите их в XML, вы будете знать, к какому справочнику по CSP следует обратиться. Например, в следующем пути OMS-URI для параметров приложения в режиме полного экрана, можно увидеть, что здесь используется AssignedAccess CSP.

./Vendor/MSFT/AssignedAccess/KioskModeApp

Если элемент схемы использует курсивный шрифт, это означает заполнитель для определенной информации, например для идентификатора клиента, как в следующем примере.

Заполнитель в дереве CSP

После схемы в документации приводится описание каждого элемента. Для каждого параметра или политики указаны допустимые значения.

Например, в AssignedAccess CSP это KioskModeApp. В документации указано, что значение KioskModeApp — это строка JSON, содержащая имя учетной записи пользователя и идентификатор пользовательской модели (AUMID) приложения в режиме киоска.

Документация для большинства CSP также содержит пример XML-кода.

Примеры CSP

Поставщики CSP предоставляют доступ к ряду полезных для предприятий параметров. В этом разделе рассматриваются два особенно полезных для предприятий поставщика.

  • Поставщик служб конфигурации EnterpriseAssignedAccess

    Поставщик служб конфигурации EnterpriseAssignedAccess позволяет ИТ-администраторам настраивать параметры на устройстве Windows 10 Mobile. Предприятие может использовать этот CSP, чтобы создавать мобильные устройства с одной или ограниченной сферой применения, например наладонное устройство, на котором работает только приложение для проверки цен.

    Помимо обоев и темы экрана блокировки, часового пояса и языка, EnterpriseAssignedAccess CSP предоставляет параметр AssignedAccessXml, который можно использовать для блокировки устройства с помощью следующих настроек:

    • включение и отключение центра поддержки;
    • настройка количества столбцов плиток на начальном экране;
    • выбор приложений, которые будут доступны на устройстве;
    • выбор параметров, которые будут доступны пользователю;
    • выбор аппаратных кнопок, которые будут доступны;
    • ограничение доступа к контекстному меню;
    • включение и отключение операций с плитками;
    • создание конфигураций для определенных ролей.

  • Поставщик служб конфигурации политики

    Поставщик служб конфигурации политики позволяет предприятию настроить политики в Windows 10 и Windows 10 Mobile. Некоторые из этих параметров политики также можно применять с помощью групповой политики. В документации CSP перечислены соответствующие параметры групповой политики.

    Далее описаны некоторые параметры, доступные в поставщике служб конфигурации политики.

    • Учетные записи — позволяет указать, можно ли добавить на устройство стороннюю учетную запись, и т. д.
    • Управление приложениями — разрешение установки только приложений из Магазина Windows и т. д.
    • Bluetooth — позволяет выбрать службы, которым разрешено использовать эту функцию, и т. д.
    • Браузер — позволяет ограничить просмотр InPrivate и т. д.
    • Подключение — позволяет указать, можно ли подключить устройство к компьютеру по USB, и т. д.
    • Защитник (только для рабочего стола) — выбор даты и времени сканирования и т. д.
    • Блокировка устройства — выбор типа ПИН-кода или пароля для разблокировки устройства и т. д.
    • Взаимодействие — включение или выключение Кортаны и т. д.
    • Безопасность — разрешение пакетов подготовки и т. д.
    • Параметры — позволяет разрешить пользователям изменять параметры VPN и т. д.
    • Пуск — позволяет, например, применить стандартный макет начального экрана.
    • Система — позволяет разрешить пользователю сбросить устройство и т. д.
    • Ввод текста — позволяет разрешить устройству отправлять анонимные образцы ввода текста пользователями корпорации Майкрософт и т. д.
    • Обновление — позволяет указать, будет ли устройство использовать Центр обновления Майкрософт, службы обновления Windows Server (WSUS) или Магазин Windows, и т. д.
    • Wi-Fi — позволяет, например, включить общий доступ к Интернету

Вот список поставщиков служб конфигурации, поддерживаемых в Windows 10 Корпоративная, Windows 10 Mobile Корпоративная или в обеих системах.

Связанные разделы

Блокировка Windows 10

Управление корпоративными устройствами

Новые политики для Windows 10

Windows 10 Mobile и MDM

Изменения параметров групповой политики начального экрана Windows 10