Bases de référence de sécurité HoloLens 2
Important
Certaines des stratégies utilisées dans cette base de référence de sécurité sont introduites dans notre dernière build Insider. Ces stratégies fonctionnent uniquement sur les appareils mis à jour vers la dernière build Insider.
Cet article répertorie et décrit les différents paramètres de base de référence de sécurité que vous pouvez configurer sur HoloLens 2 à l’aide de Fournisseurs de services de configuration (CSP). Dans le cadre de votre gestion des appareils mobiles à l’aide de Microsoft Endpoint Manager (officiellement appelé Microsoft Intune), utilisez les paramètres de base de référence de sécurité standard ou avancés suivants en fonction des stratégies et besoins de votre organisation. Utilisez ces paramètres de base de référence de sécurité pour protéger vos ressources organisationnelles.
- Les paramètres de base de référence de sécurité standard s’appliquent à tous les types d’utilisateurs, quel que soit le scénario de cas d’usage et le secteur vertical.
- Les paramètres de base de référence de sécurité avancés sont recommandés pour les utilisateurs qui ont des contrôles de sécurité stricts de leur environnement et nécessitent des stratégies de sécurité strictes pour les appareils utilisés dans leur environnement.
Ces paramètres de base de référence de sécurité sont basés sur les meilleures pratiques de Microsoft et l’expérience acquise dans le déploiement et la prise en charge des appareils HoloLens 2 auprès des clients de différents secteurs.
Une fois que vous avez examiné la base de référence de sécurité et décidé d’utiliser celle-ci, les deux ou les parties, consultez comment activer ces lignes de base de sécurité
1. Paramètres de base de référence de sécurité standard
Les sections suivantes décrivent les paramètres recommandés de chaque fournisseur de solutions Cloud dans le cadre du profil de base de référence de sécurité standard.
1.1 csp de stratégie
| nom de stratégie | valeur | Description |
|---|---|---|
| comptes | ||
| comptes /AllowMicrosoftAccountConnection | 0 – Non autorisé | Limitez l’utilisateur à utiliser un compte MSA pour l’authentification et les services de connexion non liés à l’e-mail. |
| gestion des applications | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Refus explicite | Refuser explicitement les applications non du Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Autorisé | Autoriser la mise à jour automatique des applications à partir du Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Refus explicite | Limitez l’utilisateur au mode développeur, ce qui permet à l’utilisateur d’installer des applications sur l’appareil à partir d’un IDE. |
| Browser | ||
| Browser/AllowCookies | 1 – Bloquer uniquement les cookies des sites web tiers | Avec cette stratégie, vous pouvez configurer Microsoft Edge pour bloquer uniquement les cookies tiers ou bloquer tous les cookies. |
| Browser/AllowPasswordManager | 0 – Non autorisé | Interdire à Microsoft Edge d’utiliser le gestionnaire de mots de passe. |
| Browser/AllowSmartScreen | 1 – Activé | Active Windows Defender SmartScreen et empêche les utilisateurs de le désactiver. |
| connectivité | ||
| connectivité /allowUSBConnection | 0 – Non autorisé | Désactive la connexion USB entre l’appareil et un ordinateur pour synchroniser des fichiers avec l’appareil ou utiliser des outils de développement pour déployer ou déboguer des applications. |
| de verrouillage d’appareil | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Non autorisé | Interdire le retour d’inactivité sans code confidentiel ou mot de passe. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloqué | Bloquer les codes CONFIDENTIELs ou les mots de passe tels que « 1111 » ou « 1234 ». |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 : mot de passe ou code confidentiel numérique requis | Exiger un mot de passe ou un code confidentiel alphanumérique. |
| DeviceLock/DevicePasswordEnabled | 0 – Activé | Le verrouillage de l’appareil est activé. |
| DeviceLock/MaxInactivityTimeDeviceLock | Entier X où 0 < X < 999 Valeur recommandée : 3 | Spécifie la durée maximale autorisée (en minutes) après l’inactivité de l’appareil, ce qui entraînera le verrouillage du code confidentiel ou du mot de passe de l’appareil. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Chiffres uniquement | Nombre de types d’éléments complexes (majuscules et minuscules, chiffres et ponctuation) requis pour un code confidentiel ou un mot de passe fort. |
| DeviceLock/MinDevicePasswordLength | Entier X où 4 < X < 16 pour les appareils clientsRecommended value : 8 | Spécifie le nombre minimal ou les caractères requis dans le code confidentiel ou le mot de passe. |
| d’inscription GPM | ||
| expérience /AllowManualMDMUnenrollment | 0 – Non autorisé | Interdire à l’utilisateur de supprimer le compte d’espace de travail à l’aide du panneau de configuration de l’espace de travail. |
| Identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Nombre de jours pendant lesquels le cache doit être valideRecommended value : 7 jours | Nombre de jours pendant lesquels le cache d’appartenance au groupe Microsoft Entra doit être valide. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Temps d’inactivité en nombre de secondesRecommended values : 60 secs | Vous permet de spécifier la période d’inactivité avant que Windows ne désactive l’affichage. |
| paramètres de | ||
| paramètres / AllowVPN | 0 – Non autorisé | Interdire à l’utilisateur de modifier les paramètres VPN. |
| Paramètres /PageVisibilityList | Nom raccourci des pages visibles par l’utilisateur. Fournit une interface utilisateur pour sélectionner ou désélectionner les noms de page. Consultez les commentaires pour les pages recommandées à masquer. | Autorisez uniquement les pages répertoriées à afficher pour l’utilisateur dans l’application Paramètres. |
| système | ||
| System/AllowStorageCard | 0 – Non autorisé | L’utilisation de la carte SD n’est pas autorisée et les lecteurs USB sont désactivés. Ce paramètre n’empêche pas l’accès par programmation à la carte de stockage. |
| mises à jour | ||
| Update/AllowUpdateService | 1 – Autorisé | Autorisez l’accès à Microsoft Update, Windows Server Update Services (WSUS) ou au Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Désactiver les builds en préversion | Interdire l’installation des builds en préversion sur l’appareil. |
1.2 ClientCertificateInstall CSP
Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.
1.3 csp PassportForWork
| nom de nœud | valeur | Description |
|---|---|---|
| ID de locataire | tenantId | Identificateur global unique (GUID), sans accolades ({ , } ), utilisé dans le cadre du provisionnement et de la gestion de Windows Hello Entreprise. |
| TenantId/Policies/UsePassportForWork | Vrai | Définit Windows Hello Entreprise comme méthode pour la connexion à Windows. |
| TenantId/Policies/RequireSecurityDevice | Vrai | Nécessite un module de plateforme sécurisée (TPM) pour Windows Hello Entreprise. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Faux | Les modules de révision TPM 1.2 sont autorisés à être utilisés avec Windows Hello Entreprise. |
| TenantId/Policies/EnablePinRecovery | Faux | Le secret de récupération du code confidentiel n’est pas créé ou stocké. |
| TenantId/Policies/UseCertificateForOnPremAuth | Faux | Le code confidentiel est provisionné lorsque l’utilisateur se connecte, sans attendre une charge utile de certificat. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La longueur du code confidentiel doit être supérieure ou égale à ce nombre. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La longueur du code confidentiel doit être inférieure ou égale à ce nombre. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | N’autorise pas l’utilisation de caractères spéciaux dans le code confidentiel. |
| TenantId/Policies/PINComplexity/Digits | 0 | Autorise l’utilisation de chiffres dans le code confidentiel. |
| TenantId/Policies/PINComplexity/History | 10 | Nombre de codes CONFIDENTIELs passés qui peuvent être associés à un compte d’utilisateur qui ne peut pas être réutilisé. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Période (en jours) pendant laquelle un code confidentiel peut être utilisé avant que le système exige que l’utilisateur le modifie. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Faux | Les applications n’utilisent pas les certificats Windows Hello Entreprise comme certificats de carte à puce et les facteurs biométriques sont disponibles lorsqu’un utilisateur est invité à autoriser l’utilisation de la clé privée du certificat. |
1.4 RootCATrustedCertificates CSP
Nous vous recommandons de configurer nœuds Root, CA, TrustedPublisher et TrustedPeople dans ce fournisseur de solutions Cloud comme meilleure pratique, mais ne vous recommandera pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.
1.5 fournisseur de solutions cloud TenantLockdown
| nom de nœud | valeur | Description |
|---|---|---|
| RequireNetworkInOOBE | Vrai | Lorsque l’appareil passe par OOBE lors de la première connexion ou après une réinitialisation, l’utilisateur doit choisir un réseau avant de continuer. Il n’y a pas d’option « Ignorer pour l’instant ». Cette option garantit que l’appareil reste lié au locataire en cas de réinitialisations ou de réinitialisations accidentelles ou intentionnelles. |
1.6 CSP VPNv2
Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais nous n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.
1.7 csp Wi-Fi
Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais nous n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.
2 Paramètres de base de référence de sécurité avancés
Les sections suivantes décrivent les paramètres recommandés de chaque fournisseur de solutions Cloud dans le cadre du profil de base de référence de sécurité avancé.
2.1 csp de stratégie
| nom de stratégie | valeur | Description |
|---|---|---|
| comptes | ||
| comptes /AllowMicrosoftAccountConnection | 0 – Non autorisé | Limitez l’utilisateur à utiliser un compte MSA pour l’authentification et les services de connexion non liés à l’e-mail. |
| gestion des applications | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Refus explicite | Refuser explicitement les applications non-Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Autorisé | Autoriser la mise à jour automatique des applications à partir du Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Refus explicite | Limitez l’utilisateur au mode développeur, ce qui permet à l’utilisateur d’installer des applications sur l’appareil à partir d’un IDE. |
| d’authentification | ||
| Authentification /AllowFastReconnect | 0 – Non autorisé | Interdire la tentative de reconnexion rapide EAP pour la méthode EAP TLS. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – Non autorisé | D’autres appareils ne pourront pas détecter cet appareil. |
| Browser | ||
| Browser/AllowAutofill | 0 – Empêché/non autorisé | Empêcher les utilisateurs d’utiliser la fonctionnalité de remplissage automatique pour remplir automatiquement les champs de formulaire dans Microsoft Edge. |
| Browser/AllowCookies | 1 – Bloquer uniquement les cookies des sites web tiers | Bloquez uniquement les cookies des sites web tiers. |
| Browser/AllowDoNotTrack | 0 - Ne jamais envoyer d’informations de suivi | N’envoyez jamais d’informations de suivi. |
| Browser/AllowPasswordManager | 0 – Non autorisé | Interdire à Microsoft Edge d’utiliser le gestionnaire de mots de passe. |
| Browser/AllowPopups | 1 – Activer le bloqueur de fenêtres contextuelles | Activez le bloqueur de fenêtres contextuelles qui empêchent l’ouverture des fenêtres contextuelles. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Empêché/non autorisé | Masquer les suggestions de recherche dans la barre d’adresses de Microsoft Edge. |
| Browser/AllowSmartScreen | 1 – Activé | Active Windows Defender SmartScreen et empêche les utilisateurs de le désactiver. |
| connectivité | ||
| connectivité /AllowBluetooth | 0 – Interdire Bluetooth | Le panneau de configuration Bluetooth est grisé et l’utilisateur ne pourra pas activer Bluetooth. |
| connectivité /allowUSBConnection | 0 – Non autorisé | Désactive la connexion USB entre l’appareil et un ordinateur pour synchroniser des fichiers avec l’appareil ou utiliser des outils de développement pour déployer ou déboguer des applications. |
| de verrouillage d’appareil | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Non autorisé | Interdire le retour d’inactivité sans code confidentiel ou mot de passe. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloqué | Bloquer les codes CONFIDENTIELs ou les mots de passe tels que « 1111 » ou « 1234 ». |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 : mot de passe ou code confidentiel alphanumérique requis | Exiger un mot de passe ou un code confidentiel alphanumérique. |
| DeviceLock/DevicePasswordEnabled | 0 – Activé | Le verrouillage de l’appareil est activé. |
| DeviceLock/DevicePasswordHistory | Entier X où 0 < X < 50 Valeur recommandée : 15 | Spécifie le nombre de mots de passe pouvant être stockés dans l’historique qui ne peut pas être utilisé. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Entier X où 4 < X < 16 pour les appareils clients Valeur recommandée : 10 | Nombre d’échecs d’authentification autorisés avant la réinitialisation de l’appareil. |
| DeviceLock/MaxInactivityTimeDeviceLock | Entier X où 0 < X < 999 Valeur recommandée : 3 | Spécifie la durée maximale autorisée (en minutes) après l’inactivité de l’appareil, ce qui entraînera le verrouillage du code confidentiel ou du mot de passe de l’appareil. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Les chiffres, les lettres minuscules et les lettres majuscules sont obligatoires | Nombre de types d’éléments complexes (majuscules et minuscules, chiffres et ponctuation) requis pour un code confidentiel ou un mot de passe fort. |
| DeviceLock/MinDevicePasswordLength | Entier X où 4 < X < 16 pour les appareils clients Valeur recommandée : 12 | Spécifie le nombre minimal ou les caractères requis dans le code confidentiel ou le mot de passe. |
| d’inscription GPM | ||
| expérience /AllowManualMDMUnenrollment | 0 – Non autorisé | Interdire à l’utilisateur de supprimer le compte d’espace de travail à l’aide du panneau de configuration de l’espace de travail. |
| Identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Nombre de jours pendant lesquels le cache doit être valideRecommended value : 7 jours | Nombre de jours pendant lesquels le cache d’appartenance au groupe Microsoft Entra doit être valide. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Temps d’inactivité en nombre de secondesRecommended values : 60 secs | Vous permet de spécifier la période d’inactivité avant que Windows ne désactive l’affichage. |
| confidentialité | ||
|
Confidentialité/LetAppsAccess accountInfo |
2 - Forcer le refus | Refuse aux applications Windows l’accès aux informations de compte. |
|
Confidentialité/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications Windows | Les applications Windows répertoriées sont autorisées à accéder aux informations de compte. |
|
Confidentialité/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications Windows | Les applications Windows répertoriées sont refusées à l’accès aux informations de compte. |
|
Confidentialité/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications Windows | L’utilisateur peut contrôler le paramètre de confidentialité des informations de compte pour les applications Windows répertoriées. |
|
Confidentialité/LetAppsAccess BackgroundSpatialPerception |
2 - Forcer le refus | Refuser aux applications Windows l’accès au mouvement de la tête, des mains, des contrôleurs de mouvement et d’autres objets suivis, tandis que les applications s’exécutent en arrière-plan. |
|
Confidentialité/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications du Windows Store | Les applications répertoriées sont autorisées à accéder aux mouvements de l’utilisateur pendant que les applications s’exécutent en arrière-plan. |
|
Confidentialité/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications du Windows Store | Les applications répertoriées sont refusées à l’accès aux mouvements de l’utilisateur pendant que les applications s’exécutent en arrière-plan. |
|
Confidentialité/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications du Windows Store | L’utilisateur peut contrôler le paramètre de confidentialité des mouvements de l’utilisateur pour les applications répertoriées. |
|
Confidentialité/LetAppsAccess Microphone_ForceDenyTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications du Microsoft Store | Les applications répertoriées sont refusées à l’accès au microphone. |
|
Confidentialité/LetAppsAccess Microphone_UserInControlOfTheseApps |
Liste des noms de famille de packages délimités par des points-virgules des applications du Microsoft Store | L’utilisateur peut contrôler le paramètre de confidentialité du microphone pour les applications répertoriées. |
| recherche | ||
| Search/AllowSearchToUseLocation | 0 – Non autorisé | Interdire la recherche pour utiliser les informations d’emplacement. |
| sécurité | ||
| Security/AllowAddProvisioningPackage | 0 – Non autorisé | Interdire à l’agent de configuration d’exécution d’installer des packages d’approvisionnement. |
| paramètres de | ||
| paramètres / AllowVPN | 0 – Non autorisé | Interdire à l’utilisateur de modifier les paramètres VPN. |
| Paramètres /PageVisibilityList | Le nom raccourci des pages visibles par l’utilisateurWill fournit une interface utilisateur pour sélectionner ou désélectionner les noms de page. Consultez les commentaires pour les pages recommandées à masquer. | Autorisez uniquement les pages répertoriées à afficher pour l’utilisateur dans l’application Paramètres. |
| système | ||
| System/AllowStorageCard | 0 – Non autorisé | L’utilisation de la carte SD n’est pas autorisée et les lecteurs USB sont désactivés. Ce paramètre n’empêche pas l’accès par programmation à la carte de stockage. |
| System/AllowTelemetry | 0 - Non autorisé | Interdire à l’appareil d’envoyer des données de télémétrie de diagnostic et d’utilisation, telles que Watson. |
| mises à jour | ||
| Update/AllowUpdateService | 1 – Autorisé | Autorisez l’accès à Microsoft Update, Windows Server Update Services (WSUS) ou au Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Désactiver les builds en préversion | Interdire l’installation des builds en préversion sur l’appareil. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – Non autorisé | Interdire la connexion à Wi-Fi en dehors des réseaux installés sur le serveur MDM. |
2.2 csp AccountManagement
| nom de nœud | valeur | Description |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Vrai | Activez la gestion de la durée de vie des profils pour les scénarios d’appareils partagés ou communautaires. |
| UserProfileManagement/DeletionPolicy | 2 - Supprimer au seuil de capacité de stockage et au seuil d’inactivité du profil | Configure le moment où les profils seront supprimés. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Commencez à supprimer des profils lorsque la capacité de stockage disponible est inférieure à ce seuil, étant donné que le pourcentage de stockage total disponible pour les profils est disponible. Les profils qui ont été inactifs le plus long seront supprimés en premier. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Arrêtez la suppression de profils lorsque la capacité de stockage disponible est mise à niveau jusqu’à ce seuil, étant donné que le pourcentage de stockage total disponible pour les profils est disponible. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Commencez à supprimer des profils lorsqu’ils n’ont pas été connectés pendant la période spécifiée, en fonction du nombre de jours. |
2.3 csp ApplicationControl
| nom de nœud | valeur | Description |
|---|---|---|
| Stratégies/GUID de stratégie | ID de stratégie dans l’objet blob de stratégie | ID de stratégie dans l’objet blob de stratégie. |
| Stratégies/ GUID de stratégie/Policy | d’objets blob de stratégie | Objet blob binaire de stratégie encodé en base64. |
2.4 ClientCertificateInstall CSP
Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.
2.5 Csp PassportForWork
| nom de nœud | valeur | Description |
|---|---|---|
| ID de locataire | tenantId | Identificateur global unique (GUID), sans accolades ({ , } ), utilisé dans le cadre du provisionnement et de la gestion de Windows Hello Entreprise. |
| TenantId/Policies/UsePassportForWork | Vrai | Définit Windows Hello Entreprise comme méthode pour la connexion à Windows. |
| TenantId/Policies/RequireSecurityDevice | Vrai | Nécessite un module de plateforme sécurisée (TPM) pour Windows Hello Entreprise. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Faux | Les modules de révision TPM 1.2 sont autorisés à être utilisés avec Windows Hello Entreprise. |
| TenantId/Policies/EnablePinRecovery | Faux | Le secret de récupération du code confidentiel ne sera pas créé ou stocké. |
| TenantId/Policies/UseCertificateForOnPremAuth | Faux | Le code confidentiel est provisionné lorsque l’utilisateur se connecte, sans attendre une charge utile de certificat. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La longueur du code confidentiel doit être supérieure ou égale à ce nombre. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La longueur du code confidentiel doit être inférieure ou égale à ce nombre. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | N’autorise pas l’utilisation de caractères spéciaux dans le code confidentiel. |
| TenantId/Policies/PINComplexity/Digits | 0 | Autorise l’utilisation de chiffres dans le code confidentiel. |
| TenantId/Policies/PINComplexity/History | 10 | Nombre de codes CONFIDENTIELs passés qui peuvent être associés à un compte d’utilisateur qui ne peut pas être réutilisé. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Période (en jours) pendant laquelle un code confidentiel peut être utilisé avant que le système exige que l’utilisateur le modifie. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Faux | Les applications n’utilisent pas les certificats Windows Hello Entreprise comme certificats de carte à puce et les facteurs biométriques sont disponibles lorsqu’un utilisateur est invité à autoriser l’utilisation de la clé privée du certificat. |
2.6 RootCATrustedCertificates CSP
Nous vous recommandons de configurer racine, autorité de certification, TrustedPublisher et TrustedPeople nœuds de ce fournisseur de solutions Cloud comme bonne pratique, mais ne vous recommandons pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.
2.7 Fournisseur de solutions Cloud TenantLockdown
| nom de nœud | valeur | Description |
|---|---|---|
| RequireNetworkInOOBE | Vrai | Lorsque l’appareil passe par OOBE lors de la première connexion ou après une réinitialisation, l’utilisateur doit choisir un réseau avant de continuer. Il n’y a pas d’option « Ignorer pour l’instant ». Cela garantit que l’appareil reste lié au locataire en cas de réinitialisations ou de réinitialisations accidentelles ou intentionnelles. |
2.8 CSP VPNv2
Nous vous recommandons de configurer des profils VPN comme bonne pratique, mais ne recommandons pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.
2.9 CSP Wi-Fi
Nous vous recommandons de configurer des profils WiFi comme bonne pratique, mais ne recommandons pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.
Comment activer ces lignes de base de sécurité
- Passez en revue la base de référence de sécurité et décidez de ce qu’il faut appliquer.
- Déterminez les groupes Azure auxquels vous affecterez la base de référence. (Plus d’informations sur les utilisateurs et les groupes)
- Créez la ligne de base.
Voici comment créer la base de référence.
La plupart des paramètres peuvent être ajoutés à l’aide du catalogue Paramètres, mais il peut parfois y avoir un paramètre qui n’a pas encore été rempli dans le catalogue Paramètres. Dans ce cas, vous allez utiliser une stratégie personnalisée ou OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Commencez par rechercher dans le catalogue Paramètres et, s’il n’est pas trouvé, suivez les instructions ci-dessous pour créer une stratégie personnalisée via OMA-URI.
Catalogue des paramètres
Connectez-vous à votre compte sur le centre d’administration MEM .
- Accédez à Appareils - profils de configuration> ->+Créer unde profil. Pour la plateforme, sélectionnez Windows 10 et versions ultérieures, puis, pour le type de profil, sélectionnez catalogue paramètres (préversion).
- Créez un nom pour le profil, puis sélectionnez le bouton Suivant.
- Dans l’écran Paramètres de configuration, sélectionnez + Ajouter des paramètres.
En utilisant le nom de la stratégie à partir de la base de référence ci-dessus, vous pouvez rechercher la stratégie. Le catalogue des paramètres espace le nom. Pour rechercher « Comptes/AllowMicrosoftAccountConnection », vous devez rechercher « Autoriser la connexion de compte Microsoft ». Une fois que vous avez effectué une recherche, vous verrez la liste des stratégies réduites au fournisseur de solutions Cloud qui a cette stratégie. Sélectionnez Comptes (ou le fournisseur de solutions cloud approprié à la recherche actuelle), une fois que vous voyez le résultat de la stratégie ci-dessous. Cochez la case pour la stratégie.
Une fois terminé, le panneau situé à gauche ajoute la catégorie CSP et le paramètre que vous avez ajouté. À partir de là, vous pouvez le configurer à partir du paramètre par défaut, pour un autre sécurisé.
Vous pouvez continuer à ajouter plusieurs configurations au même profil, ce qui facilite l’attribution à la fois.
Ajout de stratégies de OMA-URI personnalisées
Certaines stratégies ne sont peut-être pas encore disponibles dans le catalogue Paramètres. Pour ces stratégies, vous devez créer un profil OMA-URI personnalisé. Connectez-vous à votre compte sur le centre d’administration MEM .
- Accédez à Appareils - profils de configuration> ->+Créer unde profil. Pour la plateforme, sélectionnez Windows 10 et versions ultérieures, puis, pour le type de profil, sélectionnez Modèles et sélectionnez personnalisé.
- Créez un nom pour le profil, puis sélectionnez le bouton Suivant.
- Sélectionnez le bouton Ajouter.
Vous devrez remplir quelques champs.
- Nom, vous pouvez le nommer tout ce dont vous avez besoin en lien avec la stratégie. Il peut s’agir d’un nom abrégé que vous utilisez pour le reconnaître.
- La description sera plus détaillée, vous devrez peut-être en avoir besoin.
- La OMA-URI sera la chaîne de OMA-URI complète où se trouve la stratégie. Exemple :
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Le type de données est le type de valeur que cette stratégie accepte. Pour cet exemple, il s’agit d’un nombre compris entre 0 et 60. Entier a donc été sélectionné.
- Une fois que vous avez sélectionné le type de données, vous serez en mesure d’écrire ou de charger la valeur nécessaire dans le champ.
capture d’écran 
Une fois l’opération terminée, votre stratégie est ajoutée à la fenêtre principale. Vous pouvez continuer à ajouter toutes vos stratégies personnalisées à la même configuration personnalisée. Cela permet de réduire la gestion de plusieurs configurations d’appareils et facilite l’affectation.
capture d’écran de 