Leer en inglés

Compartir a través de


Líneas base de seguridad de HoloLens 2

Importante

Algunas de las directivas que se usan en esta línea de base de seguridad se presentan en nuestra compilación Insider más reciente. Estas directivas solo funcionarán en los dispositivos actualizados a la última compilación de Insider.

En este artículo se enumeran y describen las distintas opciones de línea de base de seguridad que puede configurar en HoloLens 2 mediante proveedores de servicios de configuración (CSP). Como parte de la administración de dispositivos móviles mediante Microsoft Endpoint Manager (conocido formalmente como Microsoft Intune), use la siguiente configuración de línea de base de seguridad estándar o avanzada en función de las directivas y necesidades de la organización. Use esta configuración de línea de base de seguridad para ayudar a proteger los recursos de la organización.

  • La configuración de línea de base de seguridad estándar se aplica a todos los tipos de usuarios independientemente del escenario de casos de uso y vertical del sector.
  • La configuración de línea de base de seguridad avanzada es una configuración recomendada para los usuarios que tienen controles de seguridad estrictos de su entorno y requieren directivas de seguridad estrictas para los dispositivos usados en su entorno.

Esta configuración de línea de base de seguridad se basa en las directrices de procedimientos recomendados de Microsoft y la experiencia adquirida en la implementación y el soporte técnico de dispositivos HoloLens 2 a los clientes de diversos sectores.

Una vez que haya revisado la línea de base de seguridad y haya decidido usar la, ambas o partes, consulte cómo habilitar estas líneas base de seguridad

1. Configuración de línea de base de seguridad estándar

En las secciones siguientes se describe la configuración recomendada de cada CSP como parte del perfil de línea de base de seguridad estándar.

1.1 CSP de directivas

nombre de directiva valor descripción
cuentas de
cuentas de /AllowMicrosoftAccountConnection 0 : no permitido Restrinja al usuario que use una cuenta de MSA para la autenticación y los servicios de conexión no relacionados con el correo electrónico.
de administración de aplicaciones de
ApplicationManagement/AllowAllTrustedApps 0- Denegación explícita Denegar explícitamente aplicaciones que no son de Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 : permitido Permitir la actualización automática de aplicaciones desde Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0- Denegación explícita Restrinja al usuario para desbloquear el modo de desarrollador, lo que permite al usuario instalar aplicaciones en el dispositivo desde un IDE.
Browser
Browser/AllowCookies 1 – Bloquear solo cookies de sitios web de terceros Con esta directiva, puede configurar Microsoft Edge para bloquear solo cookies de terceros o bloquear todas las cookies.
Browser/AllowPasswordManager 0 : no permitido No permitir que Microsoft Edge use el administrador de contraseñas.
Browser/AllowSmartScreen 1 – Activado Activa SmartScreen de Windows Defender y evita que los usuarios lo desactiven.
de conectividad de
Connectivity/AllowUSBConnection 0 : no permitido Deshabilita la conexión USB entre el dispositivo y un equipo para sincronizar archivos con el dispositivo o para usar herramientas de desarrollo para implementar o depurar aplicaciones.
de bloqueo de dispositivo de
DeviceLock/AllowIdleReturnWithoutPassword 0 : no permitido No permitir el retorno de inactivo sin PIN ni contraseña.
DeviceLock/AllowSimpleDevicePassword 0 : bloqueado Bloquear PIN o contraseñas como "1111" o "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1: contraseña o PIN numérico requerido Requerir contraseña o PIN alfanumérico.
DeviceLock/DevicePasswordEnabled 0: habilitado El bloqueo del dispositivo está habilitado.
DeviceLock/MaxInactivityTimeDeviceLock Entero X donde 0 < X < 999 Valor recomendado: 3 Especifica la cantidad máxima de tiempo (en minutos) permitida después de que el dispositivo esté inactivo, lo que hará que el dispositivo se convierta en PIN o contraseña bloqueado.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Solo dígitos Número de tipos de elementos complejos (letras mayúsculas y minúsculas, números y puntuación) necesarios para un PIN seguro o contraseña.
DeviceLock/MinDevicePasswordLength Entero X donde 4 < X < 16 para dispositivos clienteValor modificado: 8 Especifica el número mínimo o caracteres necesarios en el PIN o la contraseña.
de inscripción de MDM
Experiencia/AllowManualMDMUnenrollment 0 : no permitido No permitir que el usuario elimine la cuenta de área de trabajo mediante el panel de control del área de trabajo.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Número de días de la memoria caché que se va a validarRecommended: 7 días Número de días que la caché de pertenencia a grupos de Microsoft Entra debe ser válida.
Power
power/DisplayOffTimeoutPluggedIn Tiempo de inactividad en número de segundosRecommended valores: 60 segundos Permite especificar el período de inactividad antes de que Windows desactive la pantalla.
configuración
configuración de /AllowVPN 0 : no permitido No permitir que el usuario cambie la configuración de VPN.
Settings/PageVisibilityList Nombre abreviado de las páginas visibles para el usuario. Proporcionará una interfaz de usuario para seleccionar o anular la selección de los nombres de página. Consulte los comentarios de las páginas recomendadas para ocultar. Permitir que solo se muestren las páginas enumeradas al usuario en la aplicación Configuración.
System
System/AllowStorageCard 0 : no permitido No se permite el uso de tarjetas SD y las unidades USB están deshabilitadas. Esta configuración no impide el acceso mediante programación a la tarjeta de almacenamiento.
actualizaciones de
Update/AllowUpdateService 1 : permitido Permitir el acceso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store.
Update/ManagePreviewBuilds 0- Deshabilitar compilaciones en versión preliminar No permitir la instalación de compilaciones en versión preliminar en el dispositivo.

Se recomienda configurar este CSP como procedimiento recomendado, pero no hay recomendaciones para valores específicos para cada nodo de este CSP.

nombre de nodo de valor descripción
Id. de inquilino tenantId Identificador único global (GUID), sin llaves ( { , } ), que se usa como parte del aprovisionamiento y la administración de Windows Hello para empresas.
TenantId/Policies/UsePassportForWork Verdadero Establece Windows Hello para empresas como método para iniciar sesión en Windows.
TenantId/Policies/RequireSecurityDevice Verdadero Requiere un módulo de plataforma segura (TPM) para Windows Hello para empresas.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Falso Los módulos de revisión 1.2 de TPM pueden usarse con Windows Hello para empresas.
TenantId/Policies/EnablePinRecovery Falso El secreto de recuperación de PIN no se crea ni almacena.
TenantId/Policies/UseCertificateForOnPremAuth Falso El PIN se aprovisiona cuando el usuario inicia sesión, sin esperar una carga de certificado.
TenantId/Policies/PINComplexity/MinimumPINLength 6 La longitud del PIN debe ser mayor o igual que este número.
TenantId/Policies/PINComplexity/MaximumPINLength 6 La longitud del PIN debe ser menor o igual que este número.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres.
TenantId/Policies/PINComplexity/SpecialCharacters 2 No permite el uso de caracteres especiales en el PIN.
TenantId/Policies/PINComplexity/Digits 0 Permite el uso de dígitos en el PIN.
TenantId/Policies/PINComplexity/History 10 Número de PIN anteriores que se pueden asociar a una cuenta de usuario que no se puede reutilizar.
TenantId/Policies/PINComplexity/Expiration 90 Período de tiempo (en días) que se puede usar un PIN antes de que el sistema requiera que el usuario lo cambie.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Falso Las aplicaciones no usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado.

Se recomienda configurar nodos Root, CA, TrustedPublisher y TrustedPeople en este CSP como procedimiento recomendado, pero no se recomienda en valores específicos para cada nodo de este CSP.

1.5 CSP tenantLockdown

nombre de nodo de valor descripción
RequireNetworkInOOBE Verdadero Cuando el dispositivo pasa por OOBE en el primer inicio de sesión o después de un restablecimiento, es necesario que el usuario elija una red antes de continuar. No hay ninguna opción "omitir por ahora". Esta opción garantiza que el dispositivo permanece enlazado al inquilino en caso de restablecimientos o borrados accidentales o intencionales.

1.6 CSP de VPNv2

Se recomienda configurar este CSP como procedimiento recomendado, pero no tenemos recomendaciones para valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.

1.7 wiFi CSP

Se recomienda configurar este CSP como procedimiento recomendado, pero no tenemos recomendaciones para valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.

2 Configuración de línea de base de seguridad avanzada

En las secciones siguientes se describe la configuración recomendada de cada CSP como parte del perfil de línea de base de seguridad avanzada.

nombre de directiva valor descripción
cuentas de
cuentas de /AllowMicrosoftAccountConnection 0 : no permitido Restrinja al usuario que use una cuenta de MSA para la autenticación y los servicios de conexión no relacionados con el correo electrónico.
de administración de aplicaciones de
ApplicationManagement/AllowAllTrustedApps 0- Denegación explícita Denegar explícitamente aplicaciones que no son de Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 : permitido Permitir la actualización automática de aplicaciones desde Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0- Denegación explícita Restrinja al usuario para desbloquear el modo de desarrollador, lo que permite al usuario instalar aplicaciones en el dispositivo desde un IDE.
de autenticación de
autenticación de /allowFastReconnect 0 : no permitido No permitir que EAP Fast Reconnect se intente para TLS del método EAP.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 : no permitido Otros dispositivos no podrán detectar este dispositivo.
Browser
Browser/AllowAutofill 0: evitado/no permitido Impedir que los usuarios usen la característica Autorrellenar para rellenar automáticamente los campos de formulario en Microsoft Edge.
Browser/AllowCookies 1 – Bloquear solo cookies de sitios web de terceros Bloquear solo cookies de sitios web de terceros.
Browser/AllowDoNotTrack 0 - Nunca enviar información de seguimiento Nunca envíe información de seguimiento.
Browser/AllowPasswordManager 0 : no permitido No permitir que Microsoft Edge use el administrador de contraseñas.
Browser/AllowPopups 1 – Activar el bloqueador de elementos emergentes Active El bloqueador de elementos emergentes impide que se abran las ventanas emergentes.
Browser/AllowSearchSuggestionsinAddressBar 0: evitado/no permitido Ocultar sugerencias de búsqueda en la barra de direcciones de Microsoft Edge.
Browser/AllowSmartScreen 1 – Activado Activa SmartScreen de Windows Defender y evita que los usuarios lo desactiven.
de conectividad de
Connectivity/AllowBluetooth 0 – No permitir Bluetooth El panel de control bluetooth está atenuado y el usuario no podrá activar Bluetooth.
Connectivity/AllowUSBConnection 0 : no permitido Deshabilita la conexión USB entre el dispositivo y un equipo para sincronizar archivos con el dispositivo o para usar herramientas de desarrollo para implementar o depurar aplicaciones.
de bloqueo de dispositivo de
DeviceLock/AllowIdleReturnWithoutPassword 0 : no permitido No permitir el retorno de inactivo sin PIN ni contraseña.
DeviceLock/AllowSimpleDevicePassword 0 : bloqueado Bloquear PIN o contraseñas como "1111" o "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0: se requiere contraseña o PIN alfanumérico Requerir contraseña o PIN alfanumérico.
DeviceLock/DevicePasswordEnabled 0: habilitado El bloqueo del dispositivo está habilitado.
DeviceLock/DevicePasswordHistory Entero X donde 0 < X < valor 50Recommended: 15 Especifica cuántas contraseñas se pueden almacenar en el historial que no se puede usar.
deviceLock/MaxDevicePasswordFailedAttempts Un entero X donde 4 < X < 16 para dispositivos clienteValor modificado: 10 Número de errores de autenticación permitidos antes de que se borre el dispositivo.
DeviceLock/MaxInactivityTimeDeviceLock Entero X donde 0 < X < 999 Valor recomendado: 3 Especifica la cantidad máxima de tiempo (en minutos) permitida después de que el dispositivo esté inactivo, lo que hará que el dispositivo se convierta en PIN o contraseña bloqueado.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Se requieren dígitos, letras minúsculas y letras mayúsculas Número de tipos de elementos complejos (letras mayúsculas y minúsculas, números y puntuación) necesarios para un PIN seguro o contraseña.
DeviceLock/MinDevicePasswordLength Un entero X donde 4 < X < 16 para dispositivos clienteValor modificado: 12 Especifica el número mínimo o caracteres necesarios en el PIN o la contraseña.
de inscripción de MDM
Experiencia/AllowManualMDMUnenrollment 0 : no permitido No permitir que el usuario elimine la cuenta de área de trabajo mediante el panel de control del área de trabajo.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Número de días de la memoria caché que se va a validarRecommended: 7 días Número de días que la caché de pertenencia a grupos de Microsoft Entra debe ser válida.
Power
power/DisplayOffTimeoutPluggedIn Tiempo de inactividad en número de segundosRecommended valores: 60 segundos Permite especificar el período de inactividad antes de que Windows desactive la pantalla.
privacidad
Privacidad/LetAppsAccess
AccountInfo
2 - Forzar denegación Deniega a las aplicaciones de Windows acceso a la información de la cuenta.
Privacidad/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Windows Las aplicaciones de Windows enumeradas pueden acceder a la información de la cuenta.
Privacidad/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Windows A las aplicaciones de Windows enumeradas se les deniega el acceso a la información de la cuenta.
Privacidad/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Windows El usuario puede controlar la configuración de privacidad de la información de la cuenta para las aplicaciones de Windows enumeradas.
Privacidad/LetAppsAccess
BackgroundSpatialPerception
2 - Forzar denegación Denegar a las aplicaciones de Windows el acceso al movimiento de la cabeza, las manos, los controladores de movimiento y otros objetos de seguimiento del usuario, mientras que las aplicaciones se ejecutan en segundo plano.
Privacidad/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de la Tienda Windows Las aplicaciones enumeradas pueden acceder a los movimientos del usuario mientras las aplicaciones se ejecutan en segundo plano.
Privacidad/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de la Tienda Windows Se deniega el acceso a los movimientos del usuario mientras las aplicaciones se ejecutan en segundo plano.
Privacidad/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de la Tienda Windows El usuario puede controlar la configuración de privacidad de los movimientos de usuario para las aplicaciones enumeradas.
Privacidad/LetAppsAccess
Microphone_ForceDenyTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Microsoft Store Se deniega el acceso a las aplicaciones enumeradas al micrófono.
Privacidad/LetAppsAccess
Microphone_UserInControlOfTheseApps
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Microsoft Store El usuario puede controlar la configuración de privacidad del micrófono para las aplicaciones enumeradas.
Search
Search/AllowSearchToUseLocation 0 : no permitido No permitir que la búsqueda use la información de ubicación.
security
Security/AllowAddProvisioningPackage 0 : no permitido No permitir que el agente de configuración en tiempo de ejecución instale paquetes de aprovisionamiento.
configuración
configuración de /AllowVPN 0 : no permitido No permitir que el usuario cambie la configuración de VPN.
Settings/PageVisibilityList Nombre abreviado de las páginas que son visibles para el usuarioEscribirá una interfaz de usuario para seleccionar o anular la selección de los nombres de página. Consulte los comentarios de las páginas recomendadas para ocultar. Permitir que solo se muestren las páginas enumeradas al usuario en la aplicación Configuración.
System
System/AllowStorageCard 0 : no permitido No se permite el uso de tarjetas SD y las unidades USB están deshabilitadas. Esta configuración no impide el acceso mediante programación a la tarjeta de almacenamiento.
System/AllowTelemetry 0 - No permitido No permitir que el dispositivo envíe datos de telemetría de diagnóstico y uso, como Watson.
actualizaciones de
Update/AllowUpdateService 1 : permitido Permitir el acceso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store.
Update/ManagePreviewBuilds 0- Deshabilitar compilaciones en versión preliminar No permitir la instalación de compilaciones en versión preliminar en el dispositivo.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 : no permitido No permitir la conexión a Wi-Fi fuera de las redes instaladas por el servidor MDM.

2.2 de CSP accountManagement

nombre de nodo de valor descripción
UserProfileManagement/EnableProfileManager Verdadero Habilite la administración de la duración del perfil para escenarios de dispositivos compartidos o comunes.
UserProfileManagement/DeletePolicy 2: eliminación tanto en el umbral de capacidad de almacenamiento como en el umbral de inactividad del perfil Configura cuándo se eliminarán los perfiles.
UserProfileManagement/StorageCapacityStartDeletion 25% Comience a eliminar perfiles cuando la capacidad de almacenamiento disponible esté por debajo de este umbral, dado como porcentaje del almacenamiento total disponible para los perfiles. Los perfiles que han estado inactivos más largos se eliminarán primero.
UserProfileManagement/StorageCapacityStopDeletion 50% Detenga la eliminación de perfiles cuando la capacidad de almacenamiento disponible alcance este umbral, dado como porcentaje del almacenamiento total disponible para los perfiles.
UserProfileManagement/ProfileInactivityThreshold 30 Comience a eliminar perfiles cuando no se hayan iniciado sesión durante el período especificado, dado como número de días.
nombre de nodo de valor descripción
Directivas/GUID de directiva de identificador de directiva en el blob de directivas Identificador de directiva en el blob de directiva.
Policies/Policy GUID/Policy de blobs de directiva de Blob binario de directiva codificado en base64.

Se recomienda configurar este CSP como procedimiento recomendado, pero no hay recomendaciones para valores específicos para cada nodo de este CSP.

nombre de nodo de valor descripción
Id. de inquilino tenantId Identificador único global (GUID), sin llaves ( { , } ), que se usa como parte del aprovisionamiento y la administración de Windows Hello para empresas.
TenantId/Policies/UsePassportForWork Verdadero Establece Windows Hello para empresas como método para iniciar sesión en Windows.
TenantId/Policies/RequireSecurityDevice Verdadero Requiere un módulo de plataforma segura (TPM) para Windows Hello para empresas.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Falso Los módulos de revisión 1.2 de TPM pueden usarse con Windows Hello para empresas.
TenantId/Policies/EnablePinRecovery Falso El secreto de recuperación de PIN no se creará ni almacenará.
TenantId/Policies/UseCertificateForOnPremAuth Falso El PIN se aprovisiona cuando el usuario inicia sesión, sin esperar una carga de certificado.
TenantId/Policies/PINComplexity/MinimumPINLength 6 La longitud del PIN debe ser mayor o igual que este número.
TenantId/Policies/PINComplexity/MaximumPINLength 6 La longitud del PIN debe ser menor o igual que este número.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres.
TenantId/Policies/PINComplexity/SpecialCharacters 2 No permite el uso de caracteres especiales en el PIN.
TenantId/Policies/PINComplexity/Digits 0 Permite el uso de dígitos en el PIN.
TenantId/Policies/PINComplexity/History 10 Número de PIN anteriores que se pueden asociar a una cuenta de usuario que no se puede reutilizar.
TenantId/Policies/PINComplexity/Expiration 90 Período de tiempo (en días) que se puede usar un PIN antes de que el sistema requiera que el usuario lo cambie.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Falso Las aplicaciones no usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado.

Se recomienda configurar nodos Root, CA, TrustedPublisher y TrustedPeople en este CSP como procedimiento recomendado, pero no se recomienda en valores específicos para cada nodo de este CSP.

nombre de nodo de valor descripción
RequireNetworkInOOBE Verdadero Cuando el dispositivo pasa por OOBE al iniciar sesión por primera vez o después de un restablecimiento, es necesario que el usuario elija una red antes de continuar. No hay ninguna opción "omitir por ahora". Esto garantiza que el dispositivo permanece enlazado al inquilino en caso de restablecimientos o borrados accidentales o intencionales.

2.8 DE CSP DE VPNv2

Se recomienda configurar perfiles de VPN como procedimiento recomendado, pero no se recomiendan valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.

2.9 DE WIFi

Se recomienda configurar perfiles de WiFi como procedimiento recomendado, pero no se recomiendan valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.

Cómo habilitar estas líneas base de seguridad

  1. Revise la línea de base de seguridad y decida qué aplicar.
  2. Determine los grupos de Azure a los que asignará la línea base. (Más sobre usuarios y grupos)
  3. Cree la línea base.

Aquí se muestra cómo crear la línea base.

Muchas de las opciones de configuración se pueden agregar mediante el catálogo configuración, pero a veces puede haber una configuración que aún no se haya rellenado en el catálogo de configuración. En esos casos, usará una directiva personalizada o OMA-URI (Open Mobile Alliance : identificador uniforme de recursos). Empiece por buscar en el catálogo de configuración y, si no se encuentra, siga las instrucciones siguientes para crear una directiva personalizada a través de OMA-URI.

Catálogo de configuración

Inicie sesión en su cuenta en el centro de administración de MEM de .

  1. Vaya a Dispositivos - perfiles de configuración de> ->+Crear perfil. En Plataforma, seleccione Windows 10 y versiones posterioresy, en Tipo de perfil, seleccione Catálogo de configuración (versión preliminar).
  2. Cree un nombre para el perfil y seleccione el botón Siguiente .
  3. En la pantalla Configuración, seleccione + Agregar configuración.

Con el nombre de la directiva de la línea base anterior, puede buscar la directiva. El catálogo de configuración espaciará el nombre, por lo que para encontrar "Accounts/AllowMicrosoftAccountConnection" deberá buscar "Permitir conexión de cuenta Microsoft". Después de buscar, verá la lista de directivas reducidas a solo el CSP que tiene esta directiva. Seleccione Cuentas (o el CSP pertinente para lo que está buscando actualmente), una vez que haga, verá el resultado de la directiva a continuación. Active la casilla de la directiva.

Captura de pantalla de la opción selector de configuración.

Una vez hecho esto, el panel de la izquierda agregará la categoría CSP y la configuración que agregó. Desde aquí puede configurarlo desde la configuración predeterminada, a una más segura.

Captura de pantalla del catálogo de configuración.

Puede seguir agregando varias configuraciones al mismo perfil, lo que facilitará la asignación a la vez.

Adición de directivas de OMA-URI personalizadas

Es posible que algunas directivas aún no estén disponibles en el catálogo de configuración. Para estas directivas, deberá crear un perfil de OMA-URI personalizado. Inicie sesión en su cuenta en centro de administración de MEM.

  1. Vaya a Dispositivos - perfiles de configuración de> ->+Crear perfil. En Plataforma, seleccione Windows 10 y versiones posterioresy, en Tipo de perfil, seleccione Plantillas y seleccione Custom.
  2. Cree un nombre para el perfil y seleccione el botón Siguiente .
  3. Seleccione el botón Agregar .

Deberá rellenar algunos campos.

  • Nombre, puede asignarle un nombre a todo lo que necesite relacionado con la directiva. Puede ser un nombre abreviado que se usa para reconocerlo.
  • Descripción será más detalles que podría necesitar.
  • El OMA-URI será la cadena de OMA-URI completa donde está la directiva. Ejemplo: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • El tipo de datos es el tipo de valor que acepta esta directiva. En este ejemplo se trata de un número comprendido entre 0 y 60, por lo que se seleccionó Integer.
  • Una vez que seleccione el tipo de datos, podrá escribir o cargar el valor necesario en el campo.

Captura de pantalla de OMA-URI configuración.

Una vez hecho esto, la directiva se agrega a la ventana principal. Puede seguir agregando todas las directivas personalizadas a la misma configuración personalizada. Esto ayuda a reducir la administración de varias configuraciones de dispositivos y facilita la asignación.

Captura de pantalla de la configuración de OMA-URI.