Sdílet prostřednictvím


Standardní hodnoty zabezpečení HoloLens 2

Důležitý

Některé zásady používané v tomto standardním plánu zabezpečení jsou zavedeny v našem nejnovějším buildu Insider. Tyto zásady budou fungovat jenom na zařízeních aktualizovaných na nejnovější build Insider.

Tento článek uvádí a popisuje různá nastavení standardních hodnot zabezpečení, která můžete nakonfigurovat na HoloLens 2 pomocí poskytovatelů konfiguračních služeb (CSP). Jako součást správy mobilních zařízení pomocí Microsoft Endpoint Manageru (formálně označovaného jako Microsoft Intune) použijte následující standardní nebo upřesňující nastavení standardních hodnot zabezpečení v závislosti na zásadách a potřebách vaší organizace. Tato nastavení standardních hodnot zabezpečení vám pomůžou chránit prostředky organizace.

  • Standardní nastavení standardních hodnot zabezpečení se vztahují na všechny typy uživatelů bez ohledu na scénář použití a oborové svisle.
  • Rozšířená nastavení standardních hodnot zabezpečení jsou doporučená nastavení pro uživatele, kteří mají přísné bezpečnostní prvky svého prostředí, a vyžadují přísné zásady zabezpečení pro zařízení používaná ve svém prostředí.

Tato nastavení standardních hodnot zabezpečení vycházejí z osvědčených pokynů a zkušeností Microsoftu při nasazování a podpoře zařízení HoloLens 2 pro zákazníky v různých odvětvích.

Jakmile si prohlédnete standardní hodnoty zabezpečení a rozhodnete se použít jeden, oba nebo části, podívejte se , jak tyto základní řádky zabezpečení povolit

1. Standardní nastavení standardních hodnot zabezpečení

Následující části popisují doporučená nastavení jednotlivých poskytovatelů CSP jako součást standardního profilu standardních hodnot zabezpečení.

1.1 CSP zásad

názvu zásady hodnoty popis
účtů
účty / AllowMicrosoftAccountConnection 0 – Nepovoleno Omezte uživatele na používání účtu MSA pro ověřování a služby připojení nesouvisené s e-mailem.
správy aplikací
ApplicationManagement/AllowAllTrustedApps 0 – Explicitní zamítnutí Explicitně odepřít aplikace mimo Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Povoleno Povolit automatickou aktualizaci aplikací z Microsoft Storu
ApplicationManagement/AllowDeveloperUnlock 0 – Explicitní zamítnutí Omezte uživatele na odemknutí vývojářského režimu, který uživateli umožňuje instalovat aplikace do zařízení z integrovaného vývojového prostředí (IDE).
prohlížeče
prohlížeč / AllowCookies 1 – Blokování pouze souborů cookie z webových stránek třetích stran Pomocí této zásady můžete microsoft Edge nakonfigurovat tak, aby blokovala jenom soubory cookie třetích stran nebo blokovala všechny soubory cookie.
Prohlížeč/ AllowPasswordManager 0 – Nepovoleno Nepovolte Microsoft Edgi používat správce hesel.
Prohlížeč/AllowSmartScreen 1 – Zapnuto Zapne filtr SmartScreen v programu Windows Defender a zabrání uživatelům v vypnutí.
připojení
připojení / AllowUSBConnection 0 – Nepovoleno Zakáže připojení USB mezi zařízením a počítačem k synchronizaci souborů se zařízením nebo k nasazení nebo ladění aplikací pomocí vývojářských nástrojů.
zámku zařízení
DeviceLock/AllowIdleReturnWithoutPassword 0 – Nepovoleno Zákaz návratu z nečinnosti bez KÓDU PIN nebo hesla
DeviceLock/AllowSimpleDevicePassword 0 – Blokováno Zablokujte PIN kódy nebo hesla, například 1111 nebo 1234.
DeviceLock/AlphanumericDevicePasswordRequired 1 – Vyžaduje se heslo nebo číselný PIN kód Vyžadovat heslo nebo alfanumerický PIN kód
DeviceLock/DevicePasswordEnabled 0 – Povoleno Zámek zařízení je povolený.
DeviceLock/MaxInactivityTimeDeviceLock Celé číslo X, kde 0 < X < 999 Doporučená hodnota: 3 Určuje maximální dobu (v minutách) povolenou po nečinnosti zařízení, která způsobí, že se zařízení stane KÓDEM PIN nebo heslem uzamčené.
DeviceLock/MinDevicePasswordComplexCharacters 1 – pouze číslice Počet složitých typů prvků (velká a malá písmena, číslice a interpunkce) vyžadovaných pro silný PIN kód nebo heslo.
DeviceLock/MinDevicePasswordLength Celé číslo X, kde 4 < X < 16 pro klientská zařízeníPotvení hodnoty: 8 Určuje minimální počet nebo znaky vyžadované v PIN kódu nebo hesle.
registrace MDM
prostředí / AllowManualMDMUnenrollment 0 – Nepovoleno Nepovolte uživateli odstranit pracovní účet pomocí ovládacího panelu pracoviště.
identity
MixedReality/AADGroupMembershipCacheValidityInDays Počet dnů, po které má být mezipaměť platná hodnota: 7 dnů Počet dnů, po které by měla být mezipaměť členství ve skupinách Microsoft Entra platná.
Power
Power/DisplayOffTimeoutPluggedIn Doba nečinnosti v počtu sekundPovolené hodnoty: 60 sekund Umožňuje určit dobu nečinnosti, než systém Windows vypne zobrazení.
Nastavení
Nastavení / AllowVPN 0 – Nepovoleno Nepovolte uživateli změnit nastavení sítě VPN.
nastavení / PageVisibilityList Zkrácený název stránek, které jsou viditelné pro uživatele. Zobrazí uživatelské rozhraní pro výběr nebo zrušení výběru názvů stránek. Pokud chcete skrýt doporučené stránky, podívejte se na komentáře. Povolit, aby se uživateli v aplikaci Nastavení zobrazovaly jenom uvedené stránky.
System
System/AllowStorageCard 0 – Nepovoleno Použití karty SD není povolené a jednotky USB jsou zakázané. Toto nastavení nezabrání programovému přístupu k paměťové kartě.
aktualizace
Update/AllowUpdateService 1 – Povoleno Povolte přístup ke službě Microsoft Update, Windows Server Update Services (WSUS) nebo Microsoft Storu.
Update/ManagePreviewBuilds 0. Zakázání buildů Preview Zakázat instalaci buildů Preview na zařízení.

1.2 clientCertificateInstall CSP

Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale nemáme doporučení pro konkrétní hodnoty pro každý uzel v tomto poskytovateli CSP.

1.3 CSP PassportForWork

název uzlu hodnoty popis
ID tenanta id tenanta Globálně jedinečný identifikátor (GUID) bez složených závorek ( { , } ), který se používá jako součást zřizování a správy Windows Hello pro firmy.
Id tenanta/Policies/UsePassportForWork Pravdivý Nastaví Windows Hello pro firmy jako metodu pro přihlášení k Windows.
ID tenanta/Policies/RequireSecurityDevice Pravdivý Vyžaduje čip TPM (Trusted Platform Module) pro Windows Hello pro firmy.
ID tenanta/Policies/ExcludeSecurityDevices/TPM12 Falešný Moduly TPM revize 1.2 se dají používat s Windows Hello pro firmy.
Id tenanta/Policies/EnablePinRecovery Falešný Tajný kód pro obnovení KÓDU PIN se nevytvoří ani neuloží.
TenantId/Policies/UseCertificateForOnPremAuth Falešný PIN kód se zřídí, když se uživatel přihlásí, aniž by čekal na datovou část certifikátu.
ID tenanta/Policies/PINComplexity/MinimumPINLength 6 Délka KÓDU PIN musí být větší nebo rovna tomuto číslu.
Id tenanta/Policies/PINComplexity/MaximumPINLength 6 Délka KÓDU PIN musí být menší nebo rovna tomuto číslu.
Id tenanta/Policies/PINComplexity/UppercaseLetters 2 Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené.
Id tenanta/Policies/PINComplexity/LowercaseLetters 2 Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené.
Id tenanta/Policies/PINComplexity/SpecialCharacters 2 Nepovoluje použití speciálních znaků v PIN kódu.
ID tenanta/Policies/PINComplexity/Digits 0 Povolí použití číslic v PIN kódu.
ID tenanta/Policies/PINComplexity/History 10 Počet předchozích PIN kódů, které se dají přidružit k uživatelskému účtu, který se nedá znovu použít.
ID tenanta/Policies/PINComplexity/Expiration 90 Časové období (ve dnech), po které je možné pin kód použít dříve, než systém vyžaduje, aby ho uživatel změnil.
Id tenanta/Policies/UseHelloCertificatesAsSmartCardCertificates Falešný Aplikace nepoužívají certifikáty Windows Hello pro firmy jako certifikáty čipových karet a biometrické faktory jsou k dispozici, když se uživateli zobrazí výzva k autorizaci použití privátního klíče certifikátu.

1.4 CSP RootCATrustedCertificates

Doporučujeme nakonfigurovat uzly root, CA, TrustedPublisher a TrustedPeople v tomto poskytovateli CSP, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP konkrétní hodnoty.

1.5 CSP tenantLockdownu

název uzlu hodnoty popis
RequireNetworkInOOBE Pravdivý Když zařízení prochází prvním přihlášením nebo po resetování zařízení, musí uživatel před pokračováním zvolit síť. Možnost "Prozatím přeskočit" neexistuje. Tato možnost zajistí, že zařízení zůstane vázané na tenanta v případě náhodného nebo úmyslného resetování nebo vymazání.

1.6 POSKYTOVATELE CSP VPNv2

Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale pro každý uzel v tomto poskytovateli CSP nemáme doporučení pro konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.

1.7 wi-fi CSP

Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale pro každý uzel v tomto poskytovateli CSP nemáme doporučení pro konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.

2 Pokročilé nastavení standardních hodnot zabezpečení

Následující části popisují doporučená nastavení jednotlivých poskytovatelů CSP jako součást rozšířeného profilu standardních hodnot zabezpečení.

2.1 CSP zásad

názvu zásady hodnoty popis
účtů
účty / AllowMicrosoftAccountConnection 0 – Nepovoleno Omezte uživatele na používání účtu MSA pro ověřování a služby připojení nesouvisené s e-mailem.
správy aplikací
ApplicationManagement/AllowAllTrustedApps 0 – Explicitní zamítnutí Explicitně odepřít aplikace mimo Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Povoleno Povolit automatickou aktualizaci aplikací z Microsoft Storu
ApplicationManagement/AllowDeveloperUnlock 0 – Explicitní zamítnutí Omezte uživatele na odemknutí vývojářského režimu, který uživateli umožňuje instalovat aplikace do zařízení z integrovaného vývojového prostředí (IDE).
ověřování
ověřování / AllowFastReconnect 0 – Nepovoleno Nepovolte rychlé opětovné připojení protokolu EAP k pokusu o protokol TLS metody EAP.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – Nepovoleno Jiná zařízení nebudou moct toto zařízení rozpoznat.
prohlížeče
prohlížeč / AllowAutofill 0 – Zabráněno nebo nepovoleno Zabrání uživatelům, kteří používají funkci automatického vyplňování k automatickému naplnění polí formuláře v Microsoft Edgi.
prohlížeč / AllowCookies 1 – Blokování pouze souborů cookie z webových stránek třetích stran Blokovat pouze soubory cookie z webových stránek třetích stran.
prohlížeč / AllowDoNotTrack 0 – Nikdy neposílejte informace o sledování Nikdy neodesílejte informace o sledování.
Prohlížeč/ AllowPasswordManager 0 – Nepovoleno Nepovolte Microsoft Edgi používat správce hesel.
Prohlížeč/ AllowPopups 1 – Zapnutí blokování automaticky otevíraných oken Zapněte automaticky otevírané okno blokování automaticky otevíraných oken.
Prohlížeč/AllowSearchSuggestionsinAddressBar 0 – Zabráněno nebo nepovoleno Skryjte návrhy hledání na panelu Adresa v Microsoft Edgi.
Prohlížeč/AllowSmartScreen 1 – Zapnuto Zapne filtr SmartScreen v programu Windows Defender a zabrání uživatelům v vypnutí.
připojení
připojení / AllowBluetooth 0 – Zakázat Bluetooth Ovládací panel Bluetooth je neaktivní a uživatel nebude moct zapnout Bluetooth.
připojení / AllowUSBConnection 0 – Nepovoleno Zakáže připojení USB mezi zařízením a počítačem k synchronizaci souborů se zařízením nebo k nasazení nebo ladění aplikací pomocí vývojářských nástrojů.
zámku zařízení
DeviceLock/AllowIdleReturnWithoutPassword 0 – Nepovoleno Zákaz návratu z nečinnosti bez KÓDU PIN nebo hesla
DeviceLock/AllowSimpleDevicePassword 0 – Blokováno Zablokujte PIN kódy nebo hesla, například 1111 nebo 1234.
DeviceLock/AlphanumericDevicePasswordRequired 0 – Vyžaduje se heslo nebo alfanumerický PIN kód. Vyžadovat heslo nebo alfanumerický PIN kód
DeviceLock/DevicePasswordEnabled 0 – Povoleno Zámek zařízení je povolený.
DeviceLock/DevicePasswordHistory Celé číslo X, kde 0 < X < 50Potvení hodnoty: 15 Určuje, kolik hesel je možné uložit v historii, která se nedají použít.
DeviceLock/MaxDevicePasswordFailedAttempts Celé číslo X, kde 4 < X < 16 pro klientská zařízeníPotvení hodnoty: 10 Počet chyb ověřování povolených před vymazáním zařízení.
DeviceLock/MaxInactivityTimeDeviceLock Celé číslo X, kde 0 < X < 999 Doporučená hodnota: 3 Určuje maximální dobu (v minutách) povolenou po nečinnosti zařízení, která způsobí, že se zařízení stane KÓDEM PIN nebo heslem uzamčené.
DeviceLock/MinDevicePasswordComplexCharacters 3 – Jsou vyžadovány číslice, malá písmena a velká písmena. Počet složitých typů prvků (velká a malá písmena, číslice a interpunkce) vyžadovaných pro silný PIN kód nebo heslo.
DeviceLock/MinDevicePasswordLength Celé číslo X, kde 4 < X < 16 pro klientská zařízeníPotvení hodnoty: 12 Určuje minimální počet nebo znaky vyžadované v PIN kódu nebo hesle.
registrace MDM
prostředí / AllowManualMDMUnenrollment 0 – Nepovoleno Nepovolte uživateli odstranit pracovní účet pomocí ovládacího panelu pracoviště.
identity
MixedReality/AADGroupMembershipCacheValidityInDays Počet dnů, po které má být mezipaměť platná hodnota: 7 dnů Počet dnů, po které by měla být mezipaměť členství ve skupinách Microsoft Entra platná.
Power
Power/DisplayOffTimeoutPluggedIn Doba nečinnosti v počtu sekundPovolené hodnoty: 60 sekund Umožňuje určit dobu nečinnosti, než systém Windows vypne zobrazení.
ochrana osobních údajů
ochrana osobních údajů /LetAppsAccess
AccountInfo
2 . Vynucené odepření Odmítne přístup aplikací pro Windows k informacím o účtu.
ochrana osobních údajů /LetAppsAccess
AccountInfo_ForceAllowTheseApps
Seznam částečně dvojtečky oddělených názvů rodin balíčků aplikací pro Windows Uvedené aplikace pro Windows mají povolený přístup k informacím o účtu.
ochrana osobních údajů /LetAppsAccess
AccountInfo_ForceDenyTheseApps
Seznam částečně dvojtečky oddělených názvů rodin balíčků aplikací pro Windows Uvedené aplikace pro Windows mají odepřený přístup k informacím o účtu.
ochrana osobních údajů /LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Seznam částečně dvojtečky oddělených názvů rodin balíčků aplikací pro Windows Uživatel může řídit nastavení ochrany osobních údajů v informacích o účtu pro uvedené aplikace pro Windows.
ochrana osobních údajů /LetAppsAccess
backgroundSpatialPerception
2 . Vynucené odepření Odepřít aplikacím pro Windows přístup k pohybu hlavy, rukou, ovladačů pohybu a dalších sledovaných objektů uživatele, zatímco aplikace běží na pozadí.
ochrana osobních údajů /LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Seznam středník oddělených názvů rodin balíčků aplikací pro Windows Store Aplikace uvedené v seznamu mají povolený přístup k pohybu uživatelů, zatímco aplikace běží na pozadí.
ochrana osobních údajů /LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Seznam středník oddělených názvů rodin balíčků aplikací pro Windows Store Uvedené aplikace jsou odepřeny přístup k pohybu uživatele, zatímco aplikace běží na pozadí.
ochrana osobních údajů /LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Seznam středník oddělených názvů rodin balíčků aplikací pro Windows Store Uživatel může řídit nastavení ochrany osobních údajů pro uvedené aplikace.
ochrana osobních údajů /LetAppsAccess
Microphone_ForceDenyTheseApps
Seznam středník oddělených názvů rodin balíčků aplikací z Microsoft Storu Uvedené aplikace mají odepřený přístup k mikrofonu.
ochrana osobních údajů /LetAppsAccess
Microphone_UserInControlOfTheseApps
Seznam středník oddělených názvů rodin balíčků aplikací z Microsoft Storu Uživatel může řídit nastavení ochrany osobních údajů mikrofonu pro uvedené aplikace.
hledání
hledání / AllowSearchToUseLocation 0 – Nepovoleno Zakázat vyhledávání, aby bylo možné použít informace o poloze.
zabezpečení
zabezpečení / AllowAddProvisioningPackage 0 – Nepovoleno Zakažte agenta konfigurace modulu runtime k instalaci zřizovacích balíčků.
Nastavení
Nastavení / AllowVPN 0 – Nepovoleno Nepovolte uživateli změnit nastavení sítě VPN.
nastavení / PageVisibilityList Zkrácený název stránek, které jsou viditelné pro userWill poskytnout uživatelské rozhraní pro výběr nebo zrušení výběru názvů stránek. Pokud chcete skrýt doporučené stránky, podívejte se na komentáře. Povolit, aby se uživateli v aplikaci Nastavení zobrazovaly jenom uvedené stránky.
System
System/AllowStorageCard 0 – Nepovoleno Použití karty SD není povolené a jednotky USB jsou zakázané. Toto nastavení nezabrání programovému přístupu k paměťové kartě.
System/AllowTelemetry 0 – Nepovoleno Zakázat odesílání diagnostických dat a telemetrických dat o využití, jako je Watson.
aktualizace
Update/AllowUpdateService 1 – Povoleno Povolte přístup ke službě Microsoft Update, Windows Server Update Services (WSUS) nebo Microsoft Storu.
Update/ManagePreviewBuilds 0. Zakázání buildů Preview Zakázat instalaci buildů Preview na zařízení.
Wi-Fi
Wi-Fi / AllowManualWiFiConfiguration 0 – Nepovoleno Zakázat připojení k Wi-Fi mimo sítě nainstalované na serveru MDM.

2.2 CSP accountManagement

název uzlu hodnoty popis
UserProfileManagement/EnableProfileManager Pravdivý Povolte správu životnosti profilu pro scénáře sdílených nebo sdílených zařízení.
UserProfileManagement/DeletionPolicy 2 . Odstranění při prahové hodnotě kapacity úložiště i prahové hodnotě nečinnosti profilu Konfiguruje, kdy budou profily odstraněny.
UserProfileManagement/StorageCapacityStartDeletion 25% Začněte odstraňovat profily, pokud dostupná kapacita úložiště klesne pod tuto prahovou hodnotu vzhledem k procentu celkového úložiště dostupného pro profily. Profily, které byly neaktivní, se nejdříve odstraní.
UserProfileManagement/StorageCapacityStopDeletion 50% Pokud se k této prahové hodnotě zobrazí dostupná kapacita úložiště, přestaňte odstraňovat profily, které jsou pro profily k dispozici v procentech.
UserProfileManagement/ProfileInactivityThreshold 30 Začněte odstraňovat profily, pokud se během zadaného období nezaprotokolovaly, a to podle počtu dnů.

2.3 CSP ApplicationControl

název uzlu hodnoty popis
Zásady / IDENTIFIKÁTOR GUID zásad ID zásad v objektu blob zásad ID zásady v objektu blob zásad.
Zásady / identifikátor GUID zásad/Policy objektu blob zásad Binární objekt blob zásad kódovaný v base64.

2.4 clientCertificateInstall CSP

Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale nemáme doporučení pro konkrétní hodnoty pro každý uzel v tomto poskytovateli CSP.

2.5 CSP PassportForWork

název uzlu hodnoty popis
ID tenanta id tenanta Globálně jedinečný identifikátor (GUID) bez složených závorek ( { , } ), který se používá jako součást zřizování a správy Windows Hello pro firmy.
Id tenanta/Policies/UsePassportForWork Pravdivý Nastaví Windows Hello pro firmy jako metodu pro přihlášení k Windows.
ID tenanta/Policies/RequireSecurityDevice Pravdivý Vyžaduje čip TPM (Trusted Platform Module) pro Windows Hello pro firmy.
ID tenanta/Policies/ExcludeSecurityDevices/TPM12 Falešný Moduly TPM revize 1.2 se dají používat s Windows Hello pro firmy.
Id tenanta/Policies/EnablePinRecovery Falešný Tajný klíč pro obnovení KÓDU PIN se nevytvoří ani neuloží.
TenantId/Policies/UseCertificateForOnPremAuth Falešný PIN kód se zřídí, když se uživatel přihlásí, aniž by čekal na datovou část certifikátu.
ID tenanta/Policies/PINComplexity/MinimumPINLength 6 Délka KÓDU PIN musí být větší nebo rovna tomuto číslu.
Id tenanta/Policies/PINComplexity/MaximumPINLength 6 Délka KÓDU PIN musí být menší nebo rovna tomuto číslu.
Id tenanta/Policies/PINComplexity/UppercaseLetters 2 Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené.
Id tenanta/Policies/PINComplexity/LowercaseLetters 2 Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené.
Id tenanta/Policies/PINComplexity/SpecialCharacters 2 Nepovoluje použití speciálních znaků v PIN kódu.
ID tenanta/Policies/PINComplexity/Digits 0 Povolí použití číslic v PIN kódu.
ID tenanta/Policies/PINComplexity/History 10 Počet předchozích PIN kódů, které se dají přidružit k uživatelskému účtu, který se nedá znovu použít.
ID tenanta/Policies/PINComplexity/Expiration 90 Časové období (ve dnech), po které je možné pin kód použít dříve, než systém vyžaduje, aby ho uživatel změnil.
Id tenanta/Policies/UseHelloCertificatesAsSmartCardCertificates Falešný Aplikace nepoužívají certifikáty Windows Hello pro firmy jako certifikáty čipových karet a biometrické faktory jsou k dispozici, když se uživateli zobrazí výzva k autorizaci použití privátního klíče certifikátu.

2.6 CSP RootCATrustedCertificates

Doporučujeme nakonfigurovat uzly root, CA, TrustedPublisher a TrustedPeople v tomto poskytovateli CSP, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP používat konkrétní hodnoty.

2.7 CSP tenantlockdownu

název uzlu hodnoty popis
RequireNetworkInOOBE Pravdivý Když zařízení projde prvním přihlášením nebo po resetování zařízení, musí uživatel před pokračováním zvolit síť. Možnost "Prozatím přeskočit" neexistuje. Tím zajistíte, že zařízení zůstane vázané na tenanta v případě náhodného nebo úmyslného resetování nebo vymazání.

2.8 VPNv2 CSP

Doporučujeme nakonfigurovat profily VPN jako osvědčený postup, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.

2.9 CSP wi-fi

Doporučujeme nakonfigurovat profily Wi-Fi jako osvědčený postup, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.

Jak povolit tyto základní řádky zabezpečení

  1. Zkontrolujte standardní hodnoty zabezpečení a rozhodněte se, co se má použít.
  2. Určete skupiny Azure, ke kterým přiřadíte směrný plán. (Více o uživatelích a skupinách)
  3. Vytvořte směrný plán.

Tady je postup vytvoření směrného plánu.

Mnoho nastavení lze přidat pomocí katalogu Nastavení, ale někdy může existovat nastavení, které ještě nebylo vyplněno v katalogu Nastavení. V takových případech použijete vlastní zásady nebo OMA-URI (Open Mobile Alliance – Uniform Resource Identifier). Začněte tím, že se podíváte do katalogu Nastavení a pokud ho nenajdete, postupujte podle pokynů níže pro vytvoření vlastní zásady prostřednictvím OMA-URI.

Katalog nastavení

Přihlaste se ke svému účtu v centru pro správu MEM.

  1. Přejděte na Zařízení – konfigurační profily+Vytvořitprofilu . Pro platformu vyberte Windows 10 a novějšía pro typ profilu vyberte Nastavení katalogu (Preview).
  2. Vytvořte název profilu a vyberte tlačítko Další.
  3. Na obrazovce Nastavení konfigurace vyberte + Přidat nastavení.

Pomocí názvu zásady z výše uvedeného směrného plánu můžete zásadu vyhledat. Katalog nastavení vysadí název, takže pokud chcete najít "Accounts/AllowMicrosoftAccountConnection", budete muset vyhledat "Povolit připojení účtu Microsoft". Po hledání se zobrazí seznam zásad, které jsou omezené jenom na poskytovatele CSP, který tuto zásadu obsahuje. Jakmile níže uvidíte výsledek zásad, vyberte Účty (nebo relevantní poskytovatel CSP pro aktuální vyhledávání). Zaškrtněte políčko pro zásadu.

Snímek obrazovky s možností pro výběr nastavení

Po dokončení panel vlevo přidá kategorii CSP a nastavení, které jste přidali. Odsud ho můžete nakonfigurovat z výchozího nastavení do jednoho bezpečnějšího.

Snímek obrazovky katalogu nastavení

Můžete dál přidávat více konfigurací do stejného profilu, což usnadňuje přiřazování najednou.

Přidání vlastních zásad OMA-URI

Některé zásady ještě nemusí být v katalogu Nastavení k dispozici. U těchto zásad budete muset vytvořit vlastní profil OMA-URI. Přihlaste se ke svému účtu v centru pro správuMEM .

  1. Přejděte na Zařízení – konfigurační profily+Vytvořitprofilu . Pro platformu vyberte Windows 10 a novějšía pro typ profilu vyberte Šablony a vyberte Vlastní.
  2. Vytvořte název profilu a vyberte tlačítko Další.
  3. Vyberte tlačítko Přidat.

Budete muset vyplnit několik polí.

  • Název, můžete ho pojmenovat cokoli, co potřebujete v souvislosti se zásadou. Může to být zkrácený název, který použijete k jeho rozpoznávání.
  • Popis bude další podrobnosti, které možná budete potřebovat.
  • OMA-URI bude úplný řetězec OMA-URI, ve kterém se zásada nachází. Příklad: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Datový typ je typ hodnoty, kterou tato zásada přijímá. V tomto příkladu je to číslo od 0 do 60, takže bylo vybráno celé číslo.
  • Jakmile vyberete datový typ, budete moct zapsat nebo nahrát hodnotu potřebnou do pole.

snímek obrazovky s konfigurací OMA-URI

Po dokončení se vaše zásady přidají do hlavního okna. Můžete pokračovat v přidávání všech vlastních zásad do stejné vlastní konfigurace. To pomáhá snížit správu více konfigurací zařízení a usnadňuje přiřazení.

snímek obrazovky s konfigurací OMA-URI