HoloLens 2 Sicherheitsbaselines
Wichtig
Einige der in dieser Sicherheitsbaseline verwendeten Richtlinien werden in unserem neuesten Insider-Build eingeführt. Diese Richtlinien funktionieren nur auf Geräten, die auf den neuesten Insider-Build aktualisiert wurden.
In diesem Artikel werden die verschiedenen Sicherheitsbaselineeinstellungen aufgeführt und beschrieben, die Sie auf HoloLens 2 mithilfe von Konfigurationsdienstanbietern (Configuration Service Providers, CSP) konfigurieren können. Verwenden Sie im Rahmen der Verwaltung mobiler Geräte mithilfe von Microsoft Endpoint Manager (formal als Microsoft Intune bezeichnet) die folgenden Standard- oder erweiterten Sicherheitsbaselineeinstellungen, abhängig von Den Richtlinien und Anforderungen Ihrer Organisation. Verwenden Sie diese Sicherheitsbaselineeinstellungen, um Ihre Organisationsressourcen zu schützen.
- Standardeinstellungen für die Sicherheitsbaseline gelten für alle Benutzertypen, unabhängig vom Anwendungsszenario und branchenspezifischen Branchenszenario.
- Erweiterte Sicherheitsbaselineeinstellungen sind empfohlene Einstellungen für Benutzer, die über strenge Sicherheitskontrollen ihrer Umgebung verfügen und strenge Sicherheitsrichtlinien für Geräte erfordern, die in ihrer Umgebung verwendet werden.
Diese Sicherheitsbaselineeinstellungen basieren auf den Best Practices-Richtlinien und Erfahrungen von Microsoft bei der Bereitstellung und Unterstützung von HoloLens 2 Geräten für Kunden in verschiedenen Branchen.
Nachdem Sie die Sicherheitsbaseline überprüft und entschieden haben, beide Teile oder Teile zu verwenden, sehen Sie sich an, wie Sie diese Sicherheitsbasislinien aktivieren können.
1. Standardeinstellungen für die Sicherheitsbaseline
In den folgenden Abschnitten werden die empfohlenen Einstellungen jedes CSP als Teil des Standardprofils für die Sicherheitsbaseline beschrieben.
1.1 Richtlinien-CSP
Richtlinienname | Wert | Beschreibung |
---|---|---|
Konten | ||
Accounts/AllowMicrosoftAccountConnection | 0 – Nicht zulässig | Beschränken Sie den Benutzer auf die Verwendung eines MSA-Kontos für die Verbindungsauthentifizierung und -dienste ohne E-Mail. |
Anwendungsverwaltung: | ||
ApplicationManagement/AllowAllTrustedApps | 0 : Explizite Ablehnung | Explizite Ablehnung von Nicht-Microsoft Store-Apps. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Zulässig | Lassen Sie die automatische Aktualisierung von Apps aus dem Microsoft Store zu. |
ApplicationManagement/AllowDeveloperUnlock | 0 : Explizite Ablehnung | Beschränken Sie den Benutzer auf das Entsperren des Entwicklermodus, der es dem Benutzer ermöglicht, Apps über eine IDE auf dem Gerät zu installieren. |
Browser | ||
Browser/AllowCookies | 1 – Nur Cookies von Websites von Drittanbietern blockieren | Mit dieser Richtlinie können Sie Microsoft Edge so konfigurieren, dass nur Drittanbietercookies blockiert oder alle Cookies blockiert werden. |
Browser/AllowPasswordManager | 0 – Nicht zulässig | Verbieten Sie Microsoft Edge, den Kennwort-Manager zu verwenden. |
Browser/AllowSmartScreen | 1 – Aktiviert | Aktiviert Windows Defender SmartScreen und verhindert, dass Benutzer ihn deaktivieren. |
Konnektivität | ||
Connectivity/AllowUSBConnection | 0 – Nicht zulässig | Deaktiviert die USB-Verbindung zwischen dem Gerät und einem Computer, um Dateien mit dem Gerät zu synchronisieren oder Entwicklertools zum Bereitstellen oder Debuggen von Anwendungen zu verwenden. |
Gerätesperre | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nicht zulässig | Lassen Sie die Rückgabe aus dem Leerlauf ohne PIN oder Kennwort nicht zu. |
DeviceLock/AllowSimpleDevicePassword | 0 – Blockiert | Blockieren sie PINs oder Kennwörter wie "1111" oder "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 1 – Kennwort oder numerische PIN erforderlich | Kennwort oder alphanumerische PIN erforderlich. |
DeviceLock/DevicePasswordEnabled | 0 – Aktiviert | Die Gerätesperre ist aktiviert. |
DeviceLock/MaxInactivityTimeDeviceLock | Eine ganze Zahl X, wobei 0 < x < 999 Empfohlener Wert: 3 | Gibt die maximal zulässige Zeit (in Minuten) an, nachdem sich das Gerät im Leerlauf befindet, die dazu führt, dass das Gerät zu einer PIN- oder Kennwortsperre wird. |
DeviceLock/MinDevicePasswordComplexCharacters | 1 : Nur Ziffern | Anzahl der komplexen Elementtypen (Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen), die für eine sichere PIN oder ein sicheres Kennwort erforderlich sind. |
DeviceLock/MinDevicePasswordLength | Eine ganzzahlige X, wobei 4 < x < 16 für ClientgeräteRecommended-Wert: 8 | Gibt die Mindestanzahl oder Zeichen an, die in der PIN oder dem Kennwort erforderlich sind. |
MDM-Registrierung | ||
Experience/AllowManualMDMUnenrollment | 0 – Nicht zulässig | Verbieten Sie es dem Benutzer, das Arbeitsplatzkonto über die Arbeitsplatzsteuerung zu löschen. |
Identität | ||
MixedReality/AADGroupMembershipCacheValidityInDays | Anzahl der Tage, die der Cache gültig sein sollRecommended-Wert: 7 Tage | Anzahl der Tage, an der der Microsoft Entra Gruppenmitgliedschaftscache gültig sein sollte. |
Energie | ||
Power/DisplayOffTimeoutPluggedIn | Leerlaufzeit in Anzahl von SekundenRecommended-Werte: 60 Sek. | Ermöglicht das Angeben des Zeitraums der Inaktivität, bevor Windows die Anzeige deaktiviert. |
Einstellungen | ||
Settings/AllowVPN | 0 – Nicht zulässig | Verbieten Sie es dem Benutzer, VPN-Einstellungen zu ändern. |
Einstellungen/PageVisibilityList | Verkürzter Name der Seiten, die für den Benutzer sichtbar sind. Stellt eine Benutzeroberfläche zum Auswählen oder Aufheben der Auswahl der Seitennamen bereit. Empfohlene Seiten zum Ausblenden finden Sie unter Kommentare. | Zulassen, dass dem Benutzer in der Einstellungen-App nur aufgelistete Seiten angezeigt werden. |
System | ||
System/AllowStorageCard | 0 – Nicht zulässig | Die Verwendung von SD-Karte ist nicht zulässig, und USB-Laufwerke sind deaktiviert. Diese Einstellung verhindert nicht den programmgesteuerten Zugriff auf den Speicher Karte. |
Updates | ||
Update/AllowUpdateService | 1 – Zulässig | Erlauben Sie den Zugriff auf Microsoft Update, Windows Server Update Services (WSUS) oder Microsoft Store. |
Aktualisieren/VerwaltenPreviewBuilds | 0: Deaktivieren von Vorschaubuilds | Lassen Sie die Installation von Vorschaubuilds auf dem Gerät nicht zu. |
1.2 ClientCertificateInstall CSP
Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, aber es gibt keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP.
1.3 PassportForWork CSP
Node Name (Knotenname) | Wert | Beschreibung |
---|---|---|
Mandanten-ID | TenantId | Ein global eindeutiger Bezeichner (GUID) ohne geschweifte Klammern ( { , } ), der als Teil der Windows Hello for Business Bereitstellung und Verwaltung verwendet wird. |
TenantId/Policies/UsePassportForWork | True | Legt Windows Hello for Business als Methode für die Anmeldung bei Windows fest. |
TenantId/Policies/RequireSecurityDevice | True | Erfordert ein Trusted Platform Module (TPM) für Windows Hello for Business. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM Revision 1.2-Module dürfen mit Windows Hello for Business verwendet werden. |
TenantId/Policies/EnablePinRecovery | False | Das PIN-Wiederherstellungsgeheimnis wird nicht erstellt oder gespeichert. |
TenantId/Policies/UseCertificateForOnPremAuth | False | Die PIN wird bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Die PIN-Länge muss größer oder gleich dieser Zahl sein. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Die PIN-Länge muss kleiner oder gleich dieser Zahl sein. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Die Verwendung von Sonderzeichen in der PIN ist nicht zulässig. |
TenantId/Policies/PINComplexity/Digits | 0 | Ermöglicht die Verwendung von Ziffern in PIN. |
TenantId/Policies/PINComplexity/History | 10 | Anzahl der vergangenen PINs, die einem Benutzerkonto zugeordnet werden können, die nicht wiederverwendet werden können. |
TenantId/Policies/PINComplexity/Expiration | 90 | Zeitraum (in Tagen), in dem eine PIN verwendet werden kann, bevor das System die Änderung durch den Benutzer erfordert. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | Anwendungen verwenden Windows Hello for Business Zertifikate nicht als Smart Karte-Zertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren. |
1.4 RootCATrustedCertificates CSP
Es wird empfohlen , Root-, CA-, TrustedPublisher- und TrustedPeople-Knoten in diesem CSP als bewährte Methode zu konfigurieren, wird jedoch nicht für bestimmte Werte für jeden Knoten in diesem CSP empfohlen.
1.5 TenantLockdown CSP
Node Name (Knotenname) | Wert | Beschreibung |
---|---|---|
RequireNetworkInOOBE | True | Wenn das Gerät bei der ersten Anmeldung oder nach einem Zurücksetzen OOBE durchläuft, muss der Benutzer ein Netzwerk auswählen, bevor er fortfahren kann. Es gibt keine Option "Vorerst überspringen". Diese Option stellt sicher, dass das Gerät bei versehentlichem oder absichtlichem Zurücksetzen oder Zurücksetzen an den Mandanten gebunden bleibt. |
1.6 VPNv2 CSP
Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, aber es gibt keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.
1.7 Wlan-CSP
Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, aber es gibt keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.
2 Erweiterte Sicherheitsbaselineeinstellungen
In den folgenden Abschnitten werden die empfohlenen Einstellungen jedes CSP als Teil des erweiterten Sicherheitsbaselineprofils beschrieben.
2.1 Richtlinien-CSP
Richtlinienname | Wert | Beschreibung |
---|---|---|
Konten | ||
Accounts/AllowMicrosoftAccountConnection | 0 – Nicht zulässig | Beschränken Sie den Benutzer auf die Verwendung eines MSA-Kontos für die Verbindungsauthentifizierung und -dienste ohne E-Mail. |
Anwendungsverwaltung: | ||
ApplicationManagement/AllowAllTrustedApps | 0 : Explizite Ablehnung | Explizite Ablehnung von Nicht-Microsoft Store-Apps. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Zulässig | Lassen Sie die automatische Aktualisierung von Apps aus dem Microsoft Store zu. |
ApplicationManagement/AllowDeveloperUnlock | 0 : Explizite Ablehnung | Beschränken Sie den Benutzer auf das Entsperren des Entwicklermodus, der es dem Benutzer ermöglicht, Apps über eine IDE auf dem Gerät zu installieren. |
Authentifizierung | ||
Authentifizierung/AllowFastReconnect | 0 – Nicht zulässig | Es kann nicht zugelassen werden, dass EAP Fast Reconnect für die EAP-Methode TLS versucht wird. |
Bluetooth | ||
Bluetooth/AllowDiscoverableMode | 0 – Nicht zulässig | Andere Geräte können dieses Gerät nicht erkennen. |
Browser | ||
Browser/AllowAutofill | 0 – Verhindert/nicht zulässig | Verhindern Sie, dass Benutzer die Funktion "Automatisches Ausfüllen" verwenden, um die Formularfelder in Microsoft Edge automatisch aufzufüllen. |
Browser/AllowCookies | 1 – Nur Cookies von Websites Dritter blockieren | Nur Cookies von Websites von Drittanbietern blockieren. |
Browser/AllowDoNotTrack | 0 – Niemals Nachverfolgungsinformationen senden | Senden Sie niemals Nachverfolgungsinformationen. |
Browser/AllowPasswordManager | 0 – Nicht zulässig | Microsoft Edge darf den Kennwort-Manager nicht verwenden. |
Browser/AllowPopups | 1 – Aktivieren des Popupblockers | Aktivieren Sie den Popupblocker, der das Öffnen von Popupfenstern beendet. |
Browser/AllowSearchSuggestionsinAddressBar | 0 – Verhindert/nicht zulässig | Blenden Sie Suchvorschläge in der Adressleiste von Microsoft Edge aus. |
Browser/AllowSmartScreen | 1 – Aktiviert | Aktiviert Windows Defender SmartScreen und verhindert, dass Benutzer ihn deaktivieren. |
Konnektivität | ||
Connectivity/AllowBluetooth | 0 – Bluetooth nicht zulassen | Die Bluetooth-Systemsteuerung ist abgeblendet, und der Benutzer kann Bluetooth nicht aktivieren. |
Connectivity/AllowUSBConnection | 0 – Nicht zulässig | Deaktiviert die USB-Verbindung zwischen dem Gerät und einem Computer, um Dateien mit dem Gerät zu synchronisieren oder Entwicklertools zum Bereitstellen oder Debuggen von Anwendungen zu verwenden. |
Gerätesperre | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nicht zulässig | Die Rückgabe aus dem Leerlauf ohne PIN oder Kennwort ist nicht zulässig. |
DeviceLock/AllowSimpleDevicePassword | 0 – Blockiert | Blockieren von PINs oder Kennwörtern wie "1111" oder "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 0 – Kennwort oder alphanumerische PIN erforderlich | Kennwort oder alphanumerische PIN erforderlich. |
DeviceLock/DevicePasswordEnabled | 0 – Aktiviert | Die Gerätesperre ist aktiviert. |
DeviceLock/DevicePasswordHistory | Eine ganze X-Zahl, wobei 0 < x < 50Recommended-Wert: 15 | Gibt an, wie viele Kennwörter, die nicht mehr verwendet werden können, im Verlauf gespeichert werden können. |
DeviceLock/MaxDevicePasswordFailedAttempts | Eine ganze X-Zahl, wobei 4 < x < 16 für ClientgeräteErworbener Wert: 10 | Die Anzahl von zulässigen Authentifizierungsfehlern bevor das Gerät zurückgesetzt wird. |
DeviceLock/MaxInactivityTimeDeviceLock | Eine ganze X-Zahl, wobei 0 < x < 999 empfohlener Wert: 3 | Gibt die maximal zulässige Zeit (in Minuten) an, nachdem sich das Gerät im Leerlauf befindet, was dazu führt, dass das Gerät pin- oder kennwortgesperrt wird. |
DeviceLock/MinDevicePasswordComplexCharacters | 3 . Ziffern, Kleinbuchstaben und Großbuchstaben sind erforderlich. | Anzahl der komplexen Elementtypen (Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen), die für eine sichere PIN oder ein sicheres Kennwort erforderlich sind. |
DeviceLock/MinDevicePasswordLength | Eine ganze X-Zahl, wobei 4 < x < 16 für ClientgeräteErworbener Wert: 12 | Gibt die mindest erforderliche Anzahl oder Zeichen in der PIN oder dem Kennwort an. |
MDM-Registrierung | ||
Experience/AllowManualMDMUnenrollment | 0 – Nicht zulässig | Zulassen, dass der Benutzer das Arbeitsplatzkonto über die Arbeitsplatzsteuerung löschen kann. |
Identität | ||
MixedReality/AADGroupMembershipCacheValidityInDays | Anzahl der Tage, für die der Cache gültig sein sollRecommended-Wert: 7 Tage | Anzahl der Tage, an der der Microsoft Entra Gruppenmitgliedschaftscache gültig sein soll. |
Energie | ||
Power/DisplayOffTimeoutPluggedIn | Leerlaufzeit in SekundenAnzahl empfohlener Werte: 60 Sekunden | Hiermit können Sie den Zeitraum der Inaktivität angeben, bevor Windows die Anzeige deaktiviert. |
Datenschutz | ||
Privacy/LetAppsAccess AccountInfo |
2 – Ablehnung erzwingen | Verweigert Windows-Apps den Zugriff auf Kontoinformationen. |
Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows-Apps | Aufgelistete Windows-Apps haben Zugriff auf Kontoinformationen. |
Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows-Apps | Aufgeführten Windows-Apps wird der Zugriff auf Kontoinformationen verweigert. |
Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows-Apps | Der Benutzer kann die Einstellung zum Datenschutz für Kontoinformationen für die aufgelisteten Windows-Apps steuern. |
Privacy/LetAppsAccess BackgroundSpatialPerception |
2 – Ablehnung erzwingen | Verweigern Sie Windows-Apps den Zugriff auf die Bewegung von Kopf, Händen, Motion Controllern und anderen nachverfolgten Objekten des Benutzers, während die Apps im Hintergrund ausgeführt werden. |
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows Store-Apps | Aufgelistete Apps haben Zugriff auf die Bewegungen des Benutzers, während die Apps im Hintergrund ausgeführt werden. |
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows Store-Apps | Aufgelisteten Apps wird der Zugriff auf die Bewegungen des Benutzers verweigert, während die Apps im Hintergrund ausgeführt werden. |
Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows Store-Apps | Der Benutzer kann die Datenschutzeinstellung für benutzerverschiebungen für die aufgelisteten Apps steuern. |
Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Microsoft Store-Apps | Aufgeführten Apps wird der Zugriff auf das Mikrofon verweigert. |
Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Liste der durch Semikolons getrennten Paketfamiliennamen von Microsoft Store-Apps | Der Benutzer kann die Datenschutzeinstellung für das Mikrofon für die aufgeführten Apps steuern. |
Suchen, | ||
Search/AllowSearchToUseLocation | 0 – Nicht zulässig | Die Verwendung von Standortinformationen durch die Suche ist nicht zulässig. |
Security | ||
Security/AllowAddProvisioningPackage | 0 – Nicht zulässig | Es ist nicht zulässig, dass der Laufzeitkonfigurations-Agent Bereitstellungspakete installiert. |
Einstellungen | ||
Settings/AllowVPN | 0 – Nicht zulässig | Der Benutzer kann die VPN-Einstellungen nicht ändern. |
Einstellungen/PageVisibilityList | Verkürzter Name der Seiten, die für den Benutzer sichtbar sindWilligen Sie eine Benutzeroberfläche zum Auswählen oder Aufheben der Auswahl der Seitennamen. In den Kommentaren finden Sie die empfohlenen Seiten, die ausgeblendet werden sollen. | Zulassen, dass dem Benutzer in der Einstellungen-App nur aufgelistete Seiten angezeigt werden. |
System | ||
System/AllowStorageCard | 0 – Nicht zulässig | Die Verwendung von SD-Karte ist nicht zulässig, und USB-Laufwerke sind deaktiviert. Diese Einstellung verhindert nicht den programmgesteuerten Zugriff auf den Speicher Karte. |
System/AllowTelemetry | 0 – Nicht zulässig | Das Senden von Diagnose- und Nutzungstelemetriedaten, z. B. Watson, ist nicht zulässig. |
Updates | ||
Update/AllowUpdateService | 1 – Zulässig | Lassen Sie den Zugriff auf Microsoft Update, Windows Server Update Services (WSUS) oder Microsoft Store zu. |
Update/ManagePreviewBuilds | 0: Deaktivieren von Vorschaubuilds | Die Installation von Vorschaubuilds auf dem Gerät ist nicht zulässig. |
WLAN | ||
Wifi/AllowManualWiFiConfiguration | 0 – Nicht zulässig | Das Herstellen einer Verbindung mit Wi-Fi außerhalb der auf dem MDM-Server installierten Netzwerke ist nicht zulässig. |
2.2 AccountManagement CSP
Node Name (Knotenname) | Wert | Beschreibung |
---|---|---|
UserProfileManagement/EnableProfileManager | True | Aktivieren Sie die Profillebensdauerverwaltung für Szenarien mit gemeinsam genutzten oder gemeinschaftlichen Geräten. |
UserProfileManagement/DeletionPolicy | 2: beim Erreichen des Schwellenwerts der Speicherkapazität und des Schwellenwerts für Profilinaktivität löschen | Konfiguriert, wann Profile gelöscht werden. |
UserProfileManagement/StorageCapacityStartDeletion | 25% | Beginnen Sie mit dem Löschen von Profilen, wenn die verfügbare Speicherkapazität unter diesen Schwellenwert fällt, der als Prozentsatz des gesamt verfügbaren Speichers für Profile angegeben wird. Profile, die am längsten inaktiv waren, werden zuerst gelöscht. |
UserProfileManagement/StorageCapacityStopDeletion | 50% | Beenden Sie das Löschen von Profilen, wenn die verfügbare Speicherkapazität diesen Schwellenwert erreicht, angegeben als Prozentsatz des gesamt verfügbaren Speichers für Profile. |
UserProfileManagement/ProfileInactivityThreshold | 30 | Beginnen Sie mit dem Löschen von Profilen, wenn sie während des angegebenen Zeitraums( als Anzahl von Tagen) nicht angemeldet wurden. |
2.3 ApplicationControl CSP
Node Name (Knotenname) | Wert | Beschreibung |
---|---|---|
Richtlinien/Richtlinien-GUID | Richtlinien-ID im Richtlinienblob | Richtlinien-ID im Richtlinienblob. |
Richtlinien/Richtlinien-GUID/Richtlinie | Richtlinienblob | Binäres Richtlinienblob, das in base64 codiert ist. |
2.4 ClientCertificateInstall CSP
Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, aber es gibt keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP.
2.5 PassportForWork CSP
Node Name (Knotenname) | Wert | Beschreibung |
---|---|---|
Mandanten-ID | TenantId | Eine GUID (Globally Unique Identifier) ohne geschweifte Klammern ( { , } ), die im Rahmen der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird. |
TenantId/Policies/UsePassportForWork | True | Legt Windows Hello for Business als Methode für die Anmeldung bei Windows fest. |
TenantId/Policies/RequireSecurityDevice | True | Erfordert ein Trusted Platform Module (TPM) für Windows Hello for Business. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM-Revision 1.2-Module dürfen mit Windows Hello for Business verwendet werden. |
TenantId/Policies/EnablePinRecovery | False | Das PIN-Wiederherstellungsgeheimnis wird nicht erstellt oder gespeichert. |
TenantId/Policies/UseCertificateForOnPremAuth | False | Die PIN wird bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Die PIN-Länge muss größer oder gleich dieser Zahl sein. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Die PIN-Länge muss kleiner oder gleich dieser Zahl sein. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Die Verwendung von Sonderzeichen in der PIN ist nicht zulässig. |
TenantId/Policies/PINComplexity/Digits | 0 | Ermöglicht die Verwendung von Ziffern in der PIN. |
TenantId/Policies/PINComplexity/History | 10 | Anzahl früherer PINs, die einem Benutzerkonto zugeordnet werden können, das nicht wiederverwendet werden kann. |
TenantId/Policies/PINComplexity/Expiration | 90 | Zeitraum (in Tagen), in dem eine PIN verwendet werden kann, bevor das System die Änderung durch den Benutzer erfordert. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | Anwendungen verwenden Windows Hello for Business Zertifikate nicht als intelligente Karte Zertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren. |
2.6 RootCATrustedCertificates CSP
Es wird empfohlen , root-, CA-, TrustedPublisher- und TrustedPeople-Knoten in diesem CSP als bewährte Methode zu konfigurieren, jedoch nicht für bestimmte Werte für jeden Knoten in diesem CSP.
2.7 TenantLockdown CSP
Node Name (Knotenname) | Wert | Beschreibung |
---|---|---|
RequireNetworkInOOBE | True | Wenn das Gerät bei der ersten Anmeldung oder nach einem Zurücksetzen OOBE durchläuft, muss der Benutzer vor dem Fortfahren ein Netzwerk auswählen. Es gibt keine Option "Vorerst überspringen". Dadurch wird sichergestellt, dass das Gerät bei versehentlichem oder absichtlichem Zurücksetzen oder Zurücksetzen an den Mandanten gebunden bleibt. |
2.8 VPNv2 CSP
Es wird empfohlen, VPN-Profile als bewährte Methode zu konfigurieren, aber es wird nicht empfohlen, bestimmte Werte für jeden Knoten in diesem CSP zu verwenden. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.
2.9 Wlan-CSP
Es wird empfohlen, WLAN-Profile als bewährte Methode zu konfigurieren, aber es wird nicht empfohlen, bestimmte Werte für jeden Knoten in diesem CSP zu verwenden. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.
Aktivieren dieser Sicherheitsbasislinien
- Überprüfen Sie die Sicherheitsbaseline, und entscheiden Sie, was angewendet werden soll.
- Bestimmen Sie die Azure-Gruppen, denen Sie die Baseline zuweisen. (Weitere Informationen zu Benutzern und Gruppen)
- Erstellen Sie die Baseline.
Hier erfahren Sie, wie Sie die Baseline erstellen.
Viele der Einstellungen können mithilfe des Einstellungskatalogs hinzugefügt werden. Es kann jedoch vorkommen, dass eine Einstellung noch nicht im Einstellungskatalog aufgefüllt wurde. In diesen Fällen verwenden Sie eine benutzerdefinierte Richtlinie oder einen OMA-URI (Open Mobile Alliance – Uniform Resource Identifier). Suchen Sie zunächst im Einstellungskatalog, und wenn er nicht gefunden wird, befolgen Sie die folgenden Anweisungen zum Erstellen einer benutzerdefinierten Richtlinie über OMA-URI.
Einstellungskatalog
Melden Sie sich bei Ihrem Konto im MEM Admin Center an.
- Navigieren Sie zu Geräte ->Konfigurationsprofile ->+Profil erstellen. Wählen Sie unter Plattform die Option Windows 10 und höher und als Profiltyp die Option Einstellungenkatalog (Vorschau) aus.
- Erstellen Sie einen Namen für das Profil, und wählen Sie die Schaltfläche Weiter aus.
- Wählen Sie auf dem Bildschirm Konfigurationseinstellungen die Option + Einstellungen hinzufügen aus.
Mithilfe des Namens der Richtlinie aus der obigen Baseline können Sie nach der Richtlinie suchen. Der Einstellungskatalog enthält einen Leerzeichen für den Namen. Um nach "Accounts/AllowMicrosoftAccountConnection" zu suchen, müssen Sie nach "Microsoft-Kontoverbindung zulassen" suchen. Nach der Suche wird die Liste der Richtlinien auf den CSP reduziert, der über diese Richtlinie verfügt. Wählen Sie Konten (oder den relevanten CSP für die aktuelle Suche) aus. Sobald Sie dies tun, wird das Richtlinienergebnis unten angezeigt. Aktivieren Sie das Kontrollkästchen für die Richtlinie.
Wenn Sie fertig sind, fügt der Bereich auf der linken Seite die CSP-Kategorie und die einstellung hinzu, die Sie hinzugefügt haben. Von hier aus können Sie sie von der Standardeinstellung auf eine sicherere konfigurieren.
Sie können weiterhin demselben Profil mehrere Konfigurationen hinzufügen, was die gleichzeitige Zuweisung erleichtert.
Hinzufügen benutzerdefinierter OMA-URI-Richtlinien
Einige Richtlinien sind möglicherweise noch nicht im Einstellungskatalog verfügbar. Für diese Richtlinien müssen Sie ein benutzerdefiniertes OMA-URI-Profil erstellen. Melden Sie sich bei Ihrem Konto im MEM Admin Center an.
- Navigieren Sie zu Geräte ->Konfigurationsprofile ->+Profil erstellen. Wählen Sie unter Plattform die Option Windows 10 und höher aus, und wählen Sie für Profiltyp die Option Vorlagen und dann Benutzerdefiniert aus.
- Erstellen Sie einen Namen für das Profil, und wählen Sie die Schaltfläche Weiter aus.
- Wählen Sie die Schaltfläche Hinzufügen aus.
Sie müssen einige Felder ausfüllen.
- Name, sie können alles nennen, was Sie im Zusammenhang mit der Richtlinie benötigen. Dies kann ein Kurzname sein, den Sie verwenden, um ihn zu erkennen.
- Die Beschreibung enthält weitere Details, die Sie möglicherweise benötigen.
- Der OMA-URI ist die vollständige OMA-URI-Zeichenfolge, in der sich die Richtlinie befindet. Beispiel:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- Der Datentyp ist der Werttyp, den diese Richtlinie akzeptiert. In diesem Beispiel handelt es sich um eine Zahl zwischen 0 und 60, sodass Integer ausgewählt wurde.
- Nachdem Sie den Datentyp ausgewählt haben, können Sie den erforderlichen Wert in das Feld schreiben oder hochladen.
Sobald Sie fertig sind, wird Ihre Richtlinie dem fenster Standard hinzugefügt. Sie können weiterhin alle Benutzerdefinierten Richtlinien derselben benutzerdefinierten Konfiguration hinzufügen. Dies trägt dazu bei, die Verwaltung mehrerer Gerätekonfigurationen zu reduzieren und die Zuweisung zu vereinfachen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für