Standardní hodnoty zabezpečení HoloLens 2
Důležitý
Některé zásady používané v tomto standardním plánu zabezpečení jsou zavedeny v našem nejnovějším buildu Insider. Tyto zásady budou fungovat jenom na zařízeních aktualizovaných na nejnovější build Insider.
Tento článek uvádí a popisuje různá nastavení standardních hodnot zabezpečení, která můžete nakonfigurovat na HoloLens 2 pomocí poskytovatelů konfiguračních služeb (CSP). Jako součást správy mobilních zařízení pomocí Microsoft Endpoint Manageru (formálně označovaného jako Microsoft Intune) použijte následující standardní nebo upřesňující nastavení standardních hodnot zabezpečení v závislosti na zásadách a potřebách vaší organizace. Tato nastavení standardních hodnot zabezpečení vám pomůžou chránit prostředky organizace.
- Standardní nastavení standardních hodnot zabezpečení se vztahují na všechny typy uživatelů bez ohledu na scénář použití a oborové svisle.
- Rozšířená nastavení standardních hodnot zabezpečení jsou doporučená nastavení pro uživatele, kteří mají přísné bezpečnostní prvky svého prostředí, a vyžadují přísné zásady zabezpečení pro zařízení používaná ve svém prostředí.
Tato nastavení standardních hodnot zabezpečení vycházejí z osvědčených pokynů a zkušeností Microsoftu při nasazování a podpoře zařízení HoloLens 2 pro zákazníky v různých odvětvích.
Jakmile si prohlédnete standardní hodnoty zabezpečení a rozhodnete se použít jeden, oba nebo části, podívejte se , jak tyto základní řádky zabezpečení povolit
1. Standardní nastavení standardních hodnot zabezpečení
Následující části popisují doporučená nastavení jednotlivých poskytovatelů CSP jako součást standardního profilu standardních hodnot zabezpečení.
1.1 CSP zásad
| názvu zásady |
hodnoty |
popis |
|---|---|---|
| účtů |
||
| účty / AllowMicrosoftAccountConnection | 0 – Nepovoleno | Omezte uživatele na používání účtu MSA pro ověřování a služby připojení nesouvisené s e-mailem. |
| správy aplikací |
||
| ApplicationManagement/AllowAllTrustedApps | 0 – Explicitní zamítnutí | Explicitně odepřít aplikace mimo Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Povoleno | Povolit automatickou aktualizaci aplikací z Microsoft Storu |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Explicitní zamítnutí | Omezte uživatele na odemknutí vývojářského režimu, který uživateli umožňuje instalovat aplikace do zařízení z integrovaného vývojového prostředí (IDE). |
| prohlížeče |
||
| prohlížeč / AllowCookies | 1 – Blokování pouze souborů cookie z webových stránek třetích stran | Pomocí této zásady můžete microsoft Edge nakonfigurovat tak, aby blokovala jenom soubory cookie třetích stran nebo blokovala všechny soubory cookie. |
| Prohlížeč/ AllowPasswordManager | 0 – Nepovoleno | Nepovolte Microsoft Edgi používat správce hesel. |
| Prohlížeč/AllowSmartScreen | 1 – Zapnuto | Zapne filtr SmartScreen v programu Windows Defender a zabrání uživatelům v vypnutí. |
| připojení | ||
| připojení / AllowUSBConnection | 0 – Nepovoleno | Zakáže připojení USB mezi zařízením a počítačem k synchronizaci souborů se zařízením nebo k nasazení nebo ladění aplikací pomocí vývojářských nástrojů. |
| zámku zařízení | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nepovoleno | Zákaz návratu z nečinnosti bez KÓDU PIN nebo hesla |
| DeviceLock/AllowSimpleDevicePassword | 0 – Blokováno | Zablokujte PIN kódy nebo hesla, například 1111 nebo 1234. |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Vyžaduje se heslo nebo číselný PIN kód | Vyžadovat heslo nebo alfanumerický PIN kód |
| DeviceLock/DevicePasswordEnabled | 0 – Povoleno | Zámek zařízení je povolený. |
| DeviceLock/MaxInactivityTimeDeviceLock | Celé číslo X, kde 0 < X < 999 Doporučená hodnota: 3 | Určuje maximální dobu (v minutách) povolenou po nečinnosti zařízení, která způsobí, že se zařízení stane KÓDEM PIN nebo heslem uzamčené. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 – pouze číslice | Počet složitých typů prvků (velká a malá písmena, číslice a interpunkce) vyžadovaných pro silný PIN kód nebo heslo. |
| DeviceLock/MinDevicePasswordLength | Celé číslo X, kde 4 < X < 16 pro klientská zařízeníPotvení hodnoty: 8 | Určuje minimální počet nebo znaky vyžadované v PIN kódu nebo hesle. |
| registrace MDM | ||
| prostředí / AllowManualMDMUnenrollment | 0 – Nepovoleno | Nepovolte uživateli odstranit pracovní účet pomocí ovládacího panelu pracoviště. |
| identity |
||
| MixedReality/AADGroupMembershipCacheValidityInDays | Počet dnů, po které má být mezipaměť platná hodnota: 7 dnů | Počet dnů, po které by měla být mezipaměť členství ve skupinách Microsoft Entra platná. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Doba nečinnosti v počtu sekundPovolené hodnoty: 60 sekund | Umožňuje určit dobu nečinnosti, než systém Windows vypne zobrazení. |
| Nastavení | ||
| Nastavení / AllowVPN | 0 – Nepovoleno | Nepovolte uživateli změnit nastavení sítě VPN. |
| nastavení / PageVisibilityList | Zkrácený název stránek, které jsou viditelné pro uživatele. Zobrazí uživatelské rozhraní pro výběr nebo zrušení výběru názvů stránek. Pokud chcete skrýt doporučené stránky, podívejte se na komentáře. | Povolit, aby se uživateli v aplikaci Nastavení zobrazovaly jenom uvedené stránky. |
| System | ||
| System/AllowStorageCard | 0 – Nepovoleno | Použití karty SD není povolené a jednotky USB jsou zakázané. Toto nastavení nezabrání programovému přístupu k paměťové kartě. |
| aktualizace | ||
| Update/AllowUpdateService | 1 – Povoleno | Povolte přístup ke službě Microsoft Update, Windows Server Update Services (WSUS) nebo Microsoft Storu. |
| Update/ManagePreviewBuilds | 0. Zakázání buildů Preview | Zakázat instalaci buildů Preview na zařízení. |
1.2 clientCertificateInstall CSP
Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale nemáme doporučení pro konkrétní hodnoty pro každý uzel v tomto poskytovateli CSP.
1.3 CSP PassportForWork
| název uzlu | hodnoty |
popis |
|---|---|---|
| ID tenanta | id tenanta | Globálně jedinečný identifikátor (GUID) bez složených závorek ( { , } ), který se používá jako součást zřizování a správy Windows Hello pro firmy. |
| Id tenanta/Policies/UsePassportForWork | Pravdivý | Nastaví Windows Hello pro firmy jako metodu pro přihlášení k Windows. |
| ID tenanta/Policies/RequireSecurityDevice | Pravdivý | Vyžaduje čip TPM (Trusted Platform Module) pro Windows Hello pro firmy. |
| ID tenanta/Policies/ExcludeSecurityDevices/TPM12 | Falešný | Moduly TPM revize 1.2 se dají používat s Windows Hello pro firmy. |
| Id tenanta/Policies/EnablePinRecovery | Falešný | Tajný kód pro obnovení KÓDU PIN se nevytvoří ani neuloží. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falešný | PIN kód se zřídí, když se uživatel přihlásí, aniž by čekal na datovou část certifikátu. |
| ID tenanta/Policies/PINComplexity/MinimumPINLength | 6 | Délka KÓDU PIN musí být větší nebo rovna tomuto číslu. |
| Id tenanta/Policies/PINComplexity/MaximumPINLength | 6 | Délka KÓDU PIN musí být menší nebo rovna tomuto číslu. |
| Id tenanta/Policies/PINComplexity/UppercaseLetters | 2 | Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené. |
| Id tenanta/Policies/PINComplexity/LowercaseLetters | 2 | Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené. |
| Id tenanta/Policies/PINComplexity/SpecialCharacters | 2 | Nepovoluje použití speciálních znaků v PIN kódu. |
| ID tenanta/Policies/PINComplexity/Digits | 0 | Povolí použití číslic v PIN kódu. |
| ID tenanta/Policies/PINComplexity/History | 10 | Počet předchozích PIN kódů, které se dají přidružit k uživatelskému účtu, který se nedá znovu použít. |
| ID tenanta/Policies/PINComplexity/Expiration | 90 | Časové období (ve dnech), po které je možné pin kód použít dříve, než systém vyžaduje, aby ho uživatel změnil. |
| Id tenanta/Policies/UseHelloCertificatesAsSmartCardCertificates | Falešný | Aplikace nepoužívají certifikáty Windows Hello pro firmy jako certifikáty čipových karet a biometrické faktory jsou k dispozici, když se uživateli zobrazí výzva k autorizaci použití privátního klíče certifikátu. |
1.4 CSP RootCATrustedCertificates
Doporučujeme nakonfigurovat uzly root, CA, TrustedPublisher a TrustedPeople v tomto poskytovateli CSP, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP konkrétní hodnoty.
1.5 CSP tenantLockdownu
| název uzlu | hodnoty |
popis |
|---|---|---|
| RequireNetworkInOOBE | Pravdivý | Když zařízení prochází prvním přihlášením nebo po resetování zařízení, musí uživatel před pokračováním zvolit síť. Možnost "Prozatím přeskočit" neexistuje. Tato možnost zajistí, že zařízení zůstane vázané na tenanta v případě náhodného nebo úmyslného resetování nebo vymazání. |
1.6 POSKYTOVATELE CSP VPNv2
Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale pro každý uzel v tomto poskytovateli CSP nemáme doporučení pro konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.
1.7 wi-fi CSP
Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale pro každý uzel v tomto poskytovateli CSP nemáme doporučení pro konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.
2 Pokročilé nastavení standardních hodnot zabezpečení
Následující části popisují doporučená nastavení jednotlivých poskytovatelů CSP jako součást rozšířeného profilu standardních hodnot zabezpečení.
2.1 CSP zásad
| názvu zásady |
hodnoty |
popis |
|---|---|---|
| účtů |
||
| účty / AllowMicrosoftAccountConnection | 0 – Nepovoleno | Omezte uživatele na používání účtu MSA pro ověřování a služby připojení nesouvisené s e-mailem. |
| správy aplikací |
||
| ApplicationManagement/AllowAllTrustedApps | 0 – Explicitní zamítnutí | Explicitně odepřít aplikace mimo Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Povoleno | Povolit automatickou aktualizaci aplikací z Microsoft Storu |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Explicitní zamítnutí | Omezte uživatele na odemknutí vývojářského režimu, který uživateli umožňuje instalovat aplikace do zařízení z integrovaného vývojového prostředí (IDE). |
| ověřování |
||
| ověřování / AllowFastReconnect | 0 – Nepovoleno | Nepovolte rychlé opětovné připojení protokolu EAP k pokusu o protokol TLS metody EAP. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – Nepovoleno | Jiná zařízení nebudou moct toto zařízení rozpoznat. |
| prohlížeče |
||
| prohlížeč / AllowAutofill | 0 – Zabráněno nebo nepovoleno | Zabrání uživatelům, kteří používají funkci automatického vyplňování k automatickému naplnění polí formuláře v Microsoft Edgi. |
| prohlížeč / AllowCookies | 1 – Blokování pouze souborů cookie z webových stránek třetích stran | Blokovat pouze soubory cookie z webových stránek třetích stran. |
| prohlížeč / AllowDoNotTrack | 0 – Nikdy neposílejte informace o sledování | Nikdy neodesílejte informace o sledování. |
| Prohlížeč/ AllowPasswordManager | 0 – Nepovoleno | Nepovolte Microsoft Edgi používat správce hesel. |
| Prohlížeč/ AllowPopups | 1 – Zapnutí blokování automaticky otevíraných oken | Zapněte automaticky otevírané okno blokování automaticky otevíraných oken. |
| Prohlížeč/AllowSearchSuggestionsinAddressBar | 0 – Zabráněno nebo nepovoleno | Skryjte návrhy hledání na panelu Adresa v Microsoft Edgi. |
| Prohlížeč/AllowSmartScreen | 1 – Zapnuto | Zapne filtr SmartScreen v programu Windows Defender a zabrání uživatelům v vypnutí. |
| připojení | ||
| připojení / AllowBluetooth | 0 – Zakázat Bluetooth | Ovládací panel Bluetooth je neaktivní a uživatel nebude moct zapnout Bluetooth. |
| připojení / AllowUSBConnection | 0 – Nepovoleno | Zakáže připojení USB mezi zařízením a počítačem k synchronizaci souborů se zařízením nebo k nasazení nebo ladění aplikací pomocí vývojářských nástrojů. |
| zámku zařízení | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nepovoleno | Zákaz návratu z nečinnosti bez KÓDU PIN nebo hesla |
| DeviceLock/AllowSimpleDevicePassword | 0 – Blokováno | Zablokujte PIN kódy nebo hesla, například 1111 nebo 1234. |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – Vyžaduje se heslo nebo alfanumerický PIN kód. | Vyžadovat heslo nebo alfanumerický PIN kód |
| DeviceLock/DevicePasswordEnabled | 0 – Povoleno | Zámek zařízení je povolený. |
| DeviceLock/DevicePasswordHistory | Celé číslo X, kde 0 < X < 50Potvení hodnoty: 15 | Určuje, kolik hesel je možné uložit v historii, která se nedají použít. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Celé číslo X, kde 4 < X < 16 pro klientská zařízeníPotvení hodnoty: 10 | Počet chyb ověřování povolených před vymazáním zařízení. |
| DeviceLock/MaxInactivityTimeDeviceLock | Celé číslo X, kde 0 < X < 999 Doporučená hodnota: 3 | Určuje maximální dobu (v minutách) povolenou po nečinnosti zařízení, která způsobí, že se zařízení stane KÓDEM PIN nebo heslem uzamčené. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 – Jsou vyžadovány číslice, malá písmena a velká písmena. | Počet složitých typů prvků (velká a malá písmena, číslice a interpunkce) vyžadovaných pro silný PIN kód nebo heslo. |
| DeviceLock/MinDevicePasswordLength | Celé číslo X, kde 4 < X < 16 pro klientská zařízeníPotvení hodnoty: 12 | Určuje minimální počet nebo znaky vyžadované v PIN kódu nebo hesle. |
| registrace MDM | ||
| prostředí / AllowManualMDMUnenrollment | 0 – Nepovoleno | Nepovolte uživateli odstranit pracovní účet pomocí ovládacího panelu pracoviště. |
| identity |
||
| MixedReality/AADGroupMembershipCacheValidityInDays | Počet dnů, po které má být mezipaměť platná hodnota: 7 dnů | Počet dnů, po které by měla být mezipaměť členství ve skupinách Microsoft Entra platná. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Doba nečinnosti v počtu sekundPovolené hodnoty: 60 sekund | Umožňuje určit dobu nečinnosti, než systém Windows vypne zobrazení. |
| ochrana osobních údajů | ||
| ochrana osobních údajů /LetAppsAccess AccountInfo |
2 . Vynucené odepření | Odmítne přístup aplikací pro Windows k informacím o účtu. |
| ochrana osobních údajů /LetAppsAccess AccountInfo_ForceAllowTheseApps |
Seznam částečně dvojtečky oddělených názvů rodin balíčků aplikací pro Windows | Uvedené aplikace pro Windows mají povolený přístup k informacím o účtu. |
| ochrana osobních údajů /LetAppsAccess AccountInfo_ForceDenyTheseApps |
Seznam částečně dvojtečky oddělených názvů rodin balíčků aplikací pro Windows | Uvedené aplikace pro Windows mají odepřený přístup k informacím o účtu. |
| ochrana osobních údajů /LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Seznam částečně dvojtečky oddělených názvů rodin balíčků aplikací pro Windows | Uživatel může řídit nastavení ochrany osobních údajů v informacích o účtu pro uvedené aplikace pro Windows. |
| ochrana osobních údajů /LetAppsAccess backgroundSpatialPerception |
2 . Vynucené odepření | Odepřít aplikacím pro Windows přístup k pohybu hlavy, rukou, ovladačů pohybu a dalších sledovaných objektů uživatele, zatímco aplikace běží na pozadí. |
| ochrana osobních údajů /LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Seznam středník oddělených názvů rodin balíčků aplikací pro Windows Store | Aplikace uvedené v seznamu mají povolený přístup k pohybu uživatelů, zatímco aplikace běží na pozadí. |
| ochrana osobních údajů /LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Seznam středník oddělených názvů rodin balíčků aplikací pro Windows Store | Uvedené aplikace jsou odepřeny přístup k pohybu uživatele, zatímco aplikace běží na pozadí. |
| ochrana osobních údajů /LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Seznam středník oddělených názvů rodin balíčků aplikací pro Windows Store | Uživatel může řídit nastavení ochrany osobních údajů pro uvedené aplikace. |
| ochrana osobních údajů /LetAppsAccess Microphone_ForceDenyTheseApps |
Seznam středník oddělených názvů rodin balíčků aplikací z Microsoft Storu | Uvedené aplikace mají odepřený přístup k mikrofonu. |
| ochrana osobních údajů /LetAppsAccess Microphone_UserInControlOfTheseApps |
Seznam středník oddělených názvů rodin balíčků aplikací z Microsoft Storu | Uživatel může řídit nastavení ochrany osobních údajů mikrofonu pro uvedené aplikace. |
| hledání |
||
| hledání / AllowSearchToUseLocation | 0 – Nepovoleno | Zakázat vyhledávání, aby bylo možné použít informace o poloze. |
| zabezpečení | ||
| zabezpečení / AllowAddProvisioningPackage | 0 – Nepovoleno | Zakažte agenta konfigurace modulu runtime k instalaci zřizovacích balíčků. |
| Nastavení | ||
| Nastavení / AllowVPN | 0 – Nepovoleno | Nepovolte uživateli změnit nastavení sítě VPN. |
| nastavení / PageVisibilityList | Zkrácený název stránek, které jsou viditelné pro userWill poskytnout uživatelské rozhraní pro výběr nebo zrušení výběru názvů stránek. Pokud chcete skrýt doporučené stránky, podívejte se na komentáře. | Povolit, aby se uživateli v aplikaci Nastavení zobrazovaly jenom uvedené stránky. |
| System | ||
| System/AllowStorageCard | 0 – Nepovoleno | Použití karty SD není povolené a jednotky USB jsou zakázané. Toto nastavení nezabrání programovému přístupu k paměťové kartě. |
| System/AllowTelemetry | 0 – Nepovoleno | Zakázat odesílání diagnostických dat a telemetrických dat o využití, jako je Watson. |
| aktualizace | ||
| Update/AllowUpdateService | 1 – Povoleno | Povolte přístup ke službě Microsoft Update, Windows Server Update Services (WSUS) nebo Microsoft Storu. |
| Update/ManagePreviewBuilds | 0. Zakázání buildů Preview | Zakázat instalaci buildů Preview na zařízení. |
| Wi-Fi | ||
| Wi-Fi / AllowManualWiFiConfiguration | 0 – Nepovoleno | Zakázat připojení k Wi-Fi mimo sítě nainstalované na serveru MDM. |
2.2 CSP accountManagement
| název uzlu | hodnoty |
popis |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Pravdivý | Povolte správu životnosti profilu pro scénáře sdílených nebo sdílených zařízení. |
| UserProfileManagement/DeletionPolicy | 2 . Odstranění při prahové hodnotě kapacity úložiště i prahové hodnotě nečinnosti profilu | Konfiguruje, kdy budou profily odstraněny. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Začněte odstraňovat profily, pokud dostupná kapacita úložiště klesne pod tuto prahovou hodnotu vzhledem k procentu celkového úložiště dostupného pro profily. Profily, které byly neaktivní, se nejdříve odstraní. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Pokud se k této prahové hodnotě zobrazí dostupná kapacita úložiště, přestaňte odstraňovat profily, které jsou pro profily k dispozici v procentech. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Začněte odstraňovat profily, pokud se během zadaného období nezaprotokolovaly, a to podle počtu dnů. |
2.3 CSP ApplicationControl
| název uzlu | hodnoty |
popis |
|---|---|---|
| Zásady / IDENTIFIKÁTOR GUID zásad | ID zásad v objektu blob zásad | ID zásady v objektu blob zásad. |
| Zásady / identifikátor GUID zásad/Policy | objektu blob zásad |
Binární objekt blob zásad kódovaný v base64. |
2.4 clientCertificateInstall CSP
Doporučujeme tento poskytovatel CSP nakonfigurovat jako osvědčený postup, ale nemáme doporučení pro konkrétní hodnoty pro každý uzel v tomto poskytovateli CSP.
2.5 CSP PassportForWork
| název uzlu | hodnoty |
popis |
|---|---|---|
| ID tenanta | id tenanta | Globálně jedinečný identifikátor (GUID) bez složených závorek ( { , } ), který se používá jako součást zřizování a správy Windows Hello pro firmy. |
| Id tenanta/Policies/UsePassportForWork | Pravdivý | Nastaví Windows Hello pro firmy jako metodu pro přihlášení k Windows. |
| ID tenanta/Policies/RequireSecurityDevice | Pravdivý | Vyžaduje čip TPM (Trusted Platform Module) pro Windows Hello pro firmy. |
| ID tenanta/Policies/ExcludeSecurityDevices/TPM12 | Falešný | Moduly TPM revize 1.2 se dají používat s Windows Hello pro firmy. |
| Id tenanta/Policies/EnablePinRecovery | Falešný | Tajný klíč pro obnovení KÓDU PIN se nevytvoří ani neuloží. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falešný | PIN kód se zřídí, když se uživatel přihlásí, aniž by čekal na datovou část certifikátu. |
| ID tenanta/Policies/PINComplexity/MinimumPINLength | 6 | Délka KÓDU PIN musí být větší nebo rovna tomuto číslu. |
| Id tenanta/Policies/PINComplexity/MaximumPINLength | 6 | Délka KÓDU PIN musí být menší nebo rovna tomuto číslu. |
| Id tenanta/Policies/PINComplexity/UppercaseLetters | 2 | Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené. |
| Id tenanta/Policies/PINComplexity/LowercaseLetters | 2 | Číslice jsou povinné a všechny ostatní znakové sady nejsou povolené. |
| Id tenanta/Policies/PINComplexity/SpecialCharacters | 2 | Nepovoluje použití speciálních znaků v PIN kódu. |
| ID tenanta/Policies/PINComplexity/Digits | 0 | Povolí použití číslic v PIN kódu. |
| ID tenanta/Policies/PINComplexity/History | 10 | Počet předchozích PIN kódů, které se dají přidružit k uživatelskému účtu, který se nedá znovu použít. |
| ID tenanta/Policies/PINComplexity/Expiration | 90 | Časové období (ve dnech), po které je možné pin kód použít dříve, než systém vyžaduje, aby ho uživatel změnil. |
| Id tenanta/Policies/UseHelloCertificatesAsSmartCardCertificates | Falešný | Aplikace nepoužívají certifikáty Windows Hello pro firmy jako certifikáty čipových karet a biometrické faktory jsou k dispozici, když se uživateli zobrazí výzva k autorizaci použití privátního klíče certifikátu. |
2.6 CSP RootCATrustedCertificates
Doporučujeme nakonfigurovat uzly root, CA, TrustedPublisher a TrustedPeople v tomto poskytovateli CSP, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP používat konkrétní hodnoty.
2.7 CSP tenantlockdownu
| název uzlu | hodnoty |
popis |
|---|---|---|
| RequireNetworkInOOBE | Pravdivý | Když zařízení projde prvním přihlášením nebo po resetování zařízení, musí uživatel před pokračováním zvolit síť. Možnost "Prozatím přeskočit" neexistuje. Tím zajistíte, že zařízení zůstane vázané na tenanta v případě náhodného nebo úmyslného resetování nebo vymazání. |
2.8 VPNv2 CSP
Doporučujeme nakonfigurovat profily VPN jako osvědčený postup, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.
2.9 CSP wi-fi
Doporučujeme nakonfigurovat profily Wi-Fi jako osvědčený postup, ale nedoporučujeme pro každý uzel v tomto poskytovateli CSP konkrétní hodnoty. Většina nastavení souvisí s prostředím zákazníka.
Jak povolit tyto základní řádky zabezpečení
- Zkontrolujte standardní hodnoty zabezpečení a rozhodněte se, co se má použít.
- Určete skupiny Azure, ke kterým přiřadíte směrný plán. (Více o uživatelích a skupinách)
- Vytvořte směrný plán.
Tady je postup vytvoření směrného plánu.
Mnoho nastavení lze přidat pomocí katalogu Nastavení, ale někdy může existovat nastavení, které ještě nebylo vyplněno v katalogu Nastavení. V takových případech použijete vlastní zásady nebo OMA-URI (Open Mobile Alliance – Uniform Resource Identifier). Začněte tím, že se podíváte do katalogu Nastavení a pokud ho nenajdete, postupujte podle pokynů níže pro vytvoření vlastní zásady prostřednictvím OMA-URI.
Katalog nastavení
Přihlaste se ke svému účtu v centru pro správu MEM.
- Přejděte na
Zařízení – konfigurační profily– +Vytvořit profilu . Pro platformu vyberte Windows 10 a novějšía pro typ profilu vyberte Nastavení katalogu (Preview). - Vytvořte název profilu a vyberte tlačítko Další.
- Na obrazovce Nastavení konfigurace vyberte + Přidat nastavení.
Pomocí názvu zásady z výše uvedeného směrného plánu můžete zásadu vyhledat. Katalog nastavení vysadí název, takže pokud chcete najít "Accounts/AllowMicrosoftAccountConnection", budete muset vyhledat "Povolit připojení účtu Microsoft". Po hledání se zobrazí seznam zásad, které jsou omezené jenom na poskytovatele CSP, který tuto zásadu obsahuje. Jakmile níže uvidíte výsledek zásad, vyberte Účty (nebo relevantní poskytovatel CSP pro aktuální vyhledávání). Zaškrtněte políčko pro zásadu.
Po dokončení panel vlevo přidá kategorii CSP a nastavení, které jste přidali. Odsud ho můžete nakonfigurovat z výchozího nastavení do jednoho bezpečnějšího.
Můžete dál přidávat více konfigurací do stejného profilu, což usnadňuje přiřazování najednou.
Přidání vlastních zásad OMA-URI
Některé zásady ještě nemusí být v katalogu Nastavení k dispozici. U těchto zásad budete muset
- Přejděte na
Zařízení – konfigurační profily– +Vytvořit profilu . Pro platformu vyberte Windows 10 a novějšía pro typ profilu vyberte Šablony a vyberte Vlastní. - Vytvořte název profilu a vyberte tlačítko Další.
- Vyberte tlačítko Přidat.
Budete muset vyplnit několik polí.
- Název, můžete ho pojmenovat cokoli, co potřebujete v souvislosti se zásadou. Může to být zkrácený název, který použijete k jeho rozpoznávání.
- Popis bude další podrobnosti, které možná budete potřebovat.
- OMA-URI bude úplný řetězec OMA-URI, ve kterém se zásada nachází. Příklad:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Datový typ je typ hodnoty, kterou tato zásada přijímá. V tomto příkladu je to číslo od 0 do 60, takže bylo vybráno celé číslo.
- Jakmile vyberete datový typ, budete moct zapsat nebo nahrát hodnotu potřebnou do pole.
Po dokončení se vaše zásady přidají do hlavního okna. Můžete pokračovat v přidávání všech vlastních zásad do stejné vlastní konfigurace. To pomáhá snížit správu více konfigurací zařízení a usnadňuje přiřazení.
