Lire en anglais

Partager via


Bases de référence de sécurité HoloLens 2

Important

Certaines des stratégies utilisées dans cette base de référence de sécurité sont introduites dans notre dernière build Insider. Ces stratégies fonctionnent uniquement sur les appareils mis à jour vers la dernière build Insider.

Cet article répertorie et décrit les différents paramètres de base de référence de sécurité que vous pouvez configurer sur HoloLens 2 à l’aide de Fournisseurs de services de configuration (CSP). Dans le cadre de votre gestion des appareils mobiles à l’aide de Microsoft Endpoint Manager (officiellement appelé Microsoft Intune), utilisez les paramètres de base de référence de sécurité standard ou avancés suivants en fonction des stratégies et besoins de votre organisation. Utilisez ces paramètres de base de référence de sécurité pour protéger vos ressources organisationnelles.

  • Les paramètres de base de référence de sécurité standard s’appliquent à tous les types d’utilisateurs, quel que soit le scénario de cas d’usage et le secteur vertical.
  • Les paramètres de base de référence de sécurité avancés sont recommandés pour les utilisateurs qui ont des contrôles de sécurité stricts de leur environnement et nécessitent des stratégies de sécurité strictes pour les appareils utilisés dans leur environnement.

Ces paramètres de base de référence de sécurité sont basés sur les meilleures pratiques de Microsoft et l’expérience acquise dans le déploiement et la prise en charge des appareils HoloLens 2 auprès des clients de différents secteurs.

Une fois que vous avez examiné la base de référence de sécurité et décidé d’utiliser celle-ci, les deux ou les parties, consultez comment activer ces lignes de base de sécurité

1. Paramètres de base de référence de sécurité standard

Les sections suivantes décrivent les paramètres recommandés de chaque fournisseur de solutions Cloud dans le cadre du profil de base de référence de sécurité standard.

1.1 csp de stratégie

nom de stratégie valeur Description
comptes
comptes /AllowMicrosoftAccountConnection 0 – Non autorisé Limitez l’utilisateur à utiliser un compte MSA pour l’authentification et les services de connexion non liés à l’e-mail.
gestion des applications
ApplicationManagement/AllowAllTrustedApps 0 - Refus explicite Refuser explicitement les applications non du Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Autorisé Autoriser la mise à jour automatique des applications à partir du Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Refus explicite Limitez l’utilisateur au mode développeur, ce qui permet à l’utilisateur d’installer des applications sur l’appareil à partir d’un IDE.
Browser
Browser/AllowCookies 1 – Bloquer uniquement les cookies des sites web tiers Avec cette stratégie, vous pouvez configurer Microsoft Edge pour bloquer uniquement les cookies tiers ou bloquer tous les cookies.
Browser/AllowPasswordManager 0 – Non autorisé Interdire à Microsoft Edge d’utiliser le gestionnaire de mots de passe.
Browser/AllowSmartScreen 1 – Activé Active Windows Defender SmartScreen et empêche les utilisateurs de le désactiver.
connectivité
connectivité /allowUSBConnection 0 – Non autorisé Désactive la connexion USB entre l’appareil et un ordinateur pour synchroniser des fichiers avec l’appareil ou utiliser des outils de développement pour déployer ou déboguer des applications.
de verrouillage d’appareil
DeviceLock/AllowIdleReturnWithoutPassword 0 – Non autorisé Interdire le retour d’inactivité sans code confidentiel ou mot de passe.
DeviceLock/AllowSimpleDevicePassword 0 – Bloqué Bloquer les codes CONFIDENTIELs ou les mots de passe tels que « 1111 » ou « 1234 ».
DeviceLock/AlphanumericDevicePasswordRequired 1 : mot de passe ou code confidentiel numérique requis Exiger un mot de passe ou un code confidentiel alphanumérique.
DeviceLock/DevicePasswordEnabled 0 – Activé Le verrouillage de l’appareil est activé.
DeviceLock/MaxInactivityTimeDeviceLock Entier X où 0 < X < 999 Valeur recommandée : 3 Spécifie la durée maximale autorisée (en minutes) après l’inactivité de l’appareil, ce qui entraînera le verrouillage du code confidentiel ou du mot de passe de l’appareil.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Chiffres uniquement Nombre de types d’éléments complexes (majuscules et minuscules, chiffres et ponctuation) requis pour un code confidentiel ou un mot de passe fort.
DeviceLock/MinDevicePasswordLength Entier X où 4 < X < 16 pour les appareils clientsRecommended value : 8 Spécifie le nombre minimal ou les caractères requis dans le code confidentiel ou le mot de passe.
d’inscription GPM
expérience /AllowManualMDMUnenrollment 0 – Non autorisé Interdire à l’utilisateur de supprimer le compte d’espace de travail à l’aide du panneau de configuration de l’espace de travail.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Nombre de jours pendant lesquels le cache doit être valideRecommended value : 7 jours Nombre de jours pendant lesquels le cache d’appartenance au groupe Microsoft Entra doit être valide.
Power
Power/DisplayOffTimeoutPluggedIn Temps d’inactivité en nombre de secondesRecommended values : 60 secs Vous permet de spécifier la période d’inactivité avant que Windows ne désactive l’affichage.
paramètres de
paramètres / AllowVPN 0 – Non autorisé Interdire à l’utilisateur de modifier les paramètres VPN.
Paramètres /PageVisibilityList Nom raccourci des pages visibles par l’utilisateur. Fournit une interface utilisateur pour sélectionner ou désélectionner les noms de page. Consultez les commentaires pour les pages recommandées à masquer. Autorisez uniquement les pages répertoriées à afficher pour l’utilisateur dans l’application Paramètres.
système
System/AllowStorageCard 0 – Non autorisé L’utilisation de la carte SD n’est pas autorisée et les lecteurs USB sont désactivés. Ce paramètre n’empêche pas l’accès par programmation à la carte de stockage.
mises à jour
Update/AllowUpdateService 1 – Autorisé Autorisez l’accès à Microsoft Update, Windows Server Update Services (WSUS) ou au Microsoft Store.
Update/ManagePreviewBuilds 0 - Désactiver les builds en préversion Interdire l’installation des builds en préversion sur l’appareil.

Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.

nom de nœud valeur Description
ID de locataire tenantId Identificateur global unique (GUID), sans accolades ({ , } ), utilisé dans le cadre du provisionnement et de la gestion de Windows Hello Entreprise.
TenantId/Policies/UsePassportForWork Vrai Définit Windows Hello Entreprise comme méthode pour la connexion à Windows.
TenantId/Policies/RequireSecurityDevice Vrai Nécessite un module de plateforme sécurisée (TPM) pour Windows Hello Entreprise.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Faux Les modules de révision TPM 1.2 sont autorisés à être utilisés avec Windows Hello Entreprise.
TenantId/Policies/EnablePinRecovery Faux Le secret de récupération du code confidentiel n’est pas créé ou stocké.
TenantId/Policies/UseCertificateForOnPremAuth Faux Le code confidentiel est provisionné lorsque l’utilisateur se connecte, sans attendre une charge utile de certificat.
TenantId/Policies/PINComplexity/MinimumPINLength 6 La longueur du code confidentiel doit être supérieure ou égale à ce nombre.
TenantId/Policies/PINComplexity/MaximumPINLength 6 La longueur du code confidentiel doit être inférieure ou égale à ce nombre.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés.
TenantId/Policies/PINComplexity/SpecialCharacters 2 N’autorise pas l’utilisation de caractères spéciaux dans le code confidentiel.
TenantId/Policies/PINComplexity/Digits 0 Autorise l’utilisation de chiffres dans le code confidentiel.
TenantId/Policies/PINComplexity/History 10 Nombre de codes CONFIDENTIELs passés qui peuvent être associés à un compte d’utilisateur qui ne peut pas être réutilisé.
TenantId/Policies/PINComplexity/Expiration 90 Période (en jours) pendant laquelle un code confidentiel peut être utilisé avant que le système exige que l’utilisateur le modifie.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Faux Les applications n’utilisent pas les certificats Windows Hello Entreprise comme certificats de carte à puce et les facteurs biométriques sont disponibles lorsqu’un utilisateur est invité à autoriser l’utilisation de la clé privée du certificat.

Nous vous recommandons de configurer nœuds Root, CA, TrustedPublisher et TrustedPeople dans ce fournisseur de solutions Cloud comme meilleure pratique, mais ne vous recommandera pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.

nom de nœud valeur Description
RequireNetworkInOOBE Vrai Lorsque l’appareil passe par OOBE lors de la première connexion ou après une réinitialisation, l’utilisateur doit choisir un réseau avant de continuer. Il n’y a pas d’option « Ignorer pour l’instant ». Cette option garantit que l’appareil reste lié au locataire en cas de réinitialisations ou de réinitialisations accidentelles ou intentionnelles.

1.6 CSP VPNv2

Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais nous n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.

1.7 csp Wi-Fi

Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais nous n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.

2 Paramètres de base de référence de sécurité avancés

Les sections suivantes décrivent les paramètres recommandés de chaque fournisseur de solutions Cloud dans le cadre du profil de base de référence de sécurité avancé.

2.1 csp de stratégie

nom de stratégie valeur Description
comptes
comptes /AllowMicrosoftAccountConnection 0 – Non autorisé Limitez l’utilisateur à utiliser un compte MSA pour l’authentification et les services de connexion non liés à l’e-mail.
gestion des applications
ApplicationManagement/AllowAllTrustedApps 0 - Refus explicite Refuser explicitement les applications non-Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Autorisé Autoriser la mise à jour automatique des applications à partir du Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Refus explicite Limitez l’utilisateur au mode développeur, ce qui permet à l’utilisateur d’installer des applications sur l’appareil à partir d’un IDE.
d’authentification
Authentification /AllowFastReconnect 0 – Non autorisé Interdire la tentative de reconnexion rapide EAP pour la méthode EAP TLS.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – Non autorisé D’autres appareils ne pourront pas détecter cet appareil.
Browser
Browser/AllowAutofill 0 – Empêché/non autorisé Empêcher les utilisateurs d’utiliser la fonctionnalité de remplissage automatique pour remplir automatiquement les champs de formulaire dans Microsoft Edge.
Browser/AllowCookies 1 – Bloquer uniquement les cookies des sites web tiers Bloquez uniquement les cookies des sites web tiers.
Browser/AllowDoNotTrack 0 - Ne jamais envoyer d’informations de suivi N’envoyez jamais d’informations de suivi.
Browser/AllowPasswordManager 0 – Non autorisé Interdire à Microsoft Edge d’utiliser le gestionnaire de mots de passe.
Browser/AllowPopups 1 – Activer le bloqueur de fenêtres contextuelles Activez le bloqueur de fenêtres contextuelles qui empêchent l’ouverture des fenêtres contextuelles.
Browser/AllowSearchSuggestionsinAddressBar 0 – Empêché/non autorisé Masquer les suggestions de recherche dans la barre d’adresses de Microsoft Edge.
Browser/AllowSmartScreen 1 – Activé Active Windows Defender SmartScreen et empêche les utilisateurs de le désactiver.
connectivité
connectivité /AllowBluetooth 0 – Interdire Bluetooth Le panneau de configuration Bluetooth est grisé et l’utilisateur ne pourra pas activer Bluetooth.
connectivité /allowUSBConnection 0 – Non autorisé Désactive la connexion USB entre l’appareil et un ordinateur pour synchroniser des fichiers avec l’appareil ou utiliser des outils de développement pour déployer ou déboguer des applications.
de verrouillage d’appareil
DeviceLock/AllowIdleReturnWithoutPassword 0 – Non autorisé Interdire le retour d’inactivité sans code confidentiel ou mot de passe.
DeviceLock/AllowSimpleDevicePassword 0 – Bloqué Bloquer les codes CONFIDENTIELs ou les mots de passe tels que « 1111 » ou « 1234 ».
DeviceLock/AlphanumericDevicePasswordRequired 0 : mot de passe ou code confidentiel alphanumérique requis Exiger un mot de passe ou un code confidentiel alphanumérique.
DeviceLock/DevicePasswordEnabled 0 – Activé Le verrouillage de l’appareil est activé.
DeviceLock/DevicePasswordHistory Entier X où 0 < X < 50 Valeur recommandée : 15 Spécifie le nombre de mots de passe pouvant être stockés dans l’historique qui ne peut pas être utilisé.
DeviceLock/MaxDevicePasswordFailedAttempts Entier X où 4 < X < 16 pour les appareils clients Valeur recommandée : 10 Nombre d’échecs d’authentification autorisés avant la réinitialisation de l’appareil.
DeviceLock/MaxInactivityTimeDeviceLock Entier X où 0 < X < 999 Valeur recommandée : 3 Spécifie la durée maximale autorisée (en minutes) après l’inactivité de l’appareil, ce qui entraînera le verrouillage du code confidentiel ou du mot de passe de l’appareil.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Les chiffres, les lettres minuscules et les lettres majuscules sont obligatoires Nombre de types d’éléments complexes (majuscules et minuscules, chiffres et ponctuation) requis pour un code confidentiel ou un mot de passe fort.
DeviceLock/MinDevicePasswordLength Entier X où 4 < X < 16 pour les appareils clients Valeur recommandée : 12 Spécifie le nombre minimal ou les caractères requis dans le code confidentiel ou le mot de passe.
d’inscription GPM
expérience /AllowManualMDMUnenrollment 0 – Non autorisé Interdire à l’utilisateur de supprimer le compte d’espace de travail à l’aide du panneau de configuration de l’espace de travail.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Nombre de jours pendant lesquels le cache doit être valideRecommended value : 7 jours Nombre de jours pendant lesquels le cache d’appartenance au groupe Microsoft Entra doit être valide.
Power
Power/DisplayOffTimeoutPluggedIn Temps d’inactivité en nombre de secondesRecommended values : 60 secs Vous permet de spécifier la période d’inactivité avant que Windows ne désactive l’affichage.
confidentialité
Confidentialité/LetAppsAccess
accountInfo
2 - Forcer le refus Refuse aux applications Windows l’accès aux informations de compte.
Confidentialité/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications Windows Les applications Windows répertoriées sont autorisées à accéder aux informations de compte.
Confidentialité/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications Windows Les applications Windows répertoriées sont refusées à l’accès aux informations de compte.
Confidentialité/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications Windows L’utilisateur peut contrôler le paramètre de confidentialité des informations de compte pour les applications Windows répertoriées.
Confidentialité/LetAppsAccess
BackgroundSpatialPerception
2 - Forcer le refus Refuser aux applications Windows l’accès au mouvement de la tête, des mains, des contrôleurs de mouvement et d’autres objets suivis, tandis que les applications s’exécutent en arrière-plan.
Confidentialité/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications du Windows Store Les applications répertoriées sont autorisées à accéder aux mouvements de l’utilisateur pendant que les applications s’exécutent en arrière-plan.
Confidentialité/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications du Windows Store Les applications répertoriées sont refusées à l’accès aux mouvements de l’utilisateur pendant que les applications s’exécutent en arrière-plan.
Confidentialité/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications du Windows Store L’utilisateur peut contrôler le paramètre de confidentialité des mouvements de l’utilisateur pour les applications répertoriées.
Confidentialité/LetAppsAccess
Microphone_ForceDenyTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications du Microsoft Store Les applications répertoriées sont refusées à l’accès au microphone.
Confidentialité/LetAppsAccess
Microphone_UserInControlOfTheseApps
Liste des noms de famille de packages délimités par des points-virgules des applications du Microsoft Store L’utilisateur peut contrôler le paramètre de confidentialité du microphone pour les applications répertoriées.
recherche
Search/AllowSearchToUseLocation 0 – Non autorisé Interdire la recherche pour utiliser les informations d’emplacement.
sécurité
Security/AllowAddProvisioningPackage 0 – Non autorisé Interdire à l’agent de configuration d’exécution d’installer des packages d’approvisionnement.
paramètres de
paramètres / AllowVPN 0 – Non autorisé Interdire à l’utilisateur de modifier les paramètres VPN.
Paramètres /PageVisibilityList Le nom raccourci des pages visibles par l’utilisateurWill fournit une interface utilisateur pour sélectionner ou désélectionner les noms de page. Consultez les commentaires pour les pages recommandées à masquer. Autorisez uniquement les pages répertoriées à afficher pour l’utilisateur dans l’application Paramètres.
système
System/AllowStorageCard 0 – Non autorisé L’utilisation de la carte SD n’est pas autorisée et les lecteurs USB sont désactivés. Ce paramètre n’empêche pas l’accès par programmation à la carte de stockage.
System/AllowTelemetry 0 - Non autorisé Interdire à l’appareil d’envoyer des données de télémétrie de diagnostic et d’utilisation, telles que Watson.
mises à jour
Update/AllowUpdateService 1 – Autorisé Autorisez l’accès à Microsoft Update, Windows Server Update Services (WSUS) ou au Microsoft Store.
Update/ManagePreviewBuilds 0 - Désactiver les builds en préversion Interdire l’installation des builds en préversion sur l’appareil.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – Non autorisé Interdire la connexion à Wi-Fi en dehors des réseaux installés sur le serveur MDM.

2.2 csp AccountManagement

nom de nœud valeur Description
UserProfileManagement/EnableProfileManager Vrai Activez la gestion de la durée de vie des profils pour les scénarios d’appareils partagés ou communautaires.
UserProfileManagement/DeletionPolicy 2 - Supprimer au seuil de capacité de stockage et au seuil d’inactivité du profil Configure le moment où les profils seront supprimés.
UserProfileManagement/StorageCapacityStartDeletion 25% Commencez à supprimer des profils lorsque la capacité de stockage disponible est inférieure à ce seuil, étant donné que le pourcentage de stockage total disponible pour les profils est disponible. Les profils qui ont été inactifs le plus long seront supprimés en premier.
UserProfileManagement/StorageCapacityStopDeletion 50% Arrêtez la suppression de profils lorsque la capacité de stockage disponible est mise à niveau jusqu’à ce seuil, étant donné que le pourcentage de stockage total disponible pour les profils est disponible.
UserProfileManagement/ProfileInactivityThreshold 30 Commencez à supprimer des profils lorsqu’ils n’ont pas été connectés pendant la période spécifiée, en fonction du nombre de jours.

2.3 csp ApplicationControl

nom de nœud valeur Description
Stratégies/GUID de stratégie ID de stratégie dans l’objet blob de stratégie ID de stratégie dans l’objet blob de stratégie.
Stratégies/ GUID de stratégie/Policy d’objets blob de stratégie Objet blob binaire de stratégie encodé en base64.

Nous vous recommandons de configurer ce fournisseur de solutions Cloud comme bonne pratique, mais n’avons pas de recommandations pour des valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.

nom de nœud valeur Description
ID de locataire tenantId Identificateur global unique (GUID), sans accolades ({ , } ), utilisé dans le cadre du provisionnement et de la gestion de Windows Hello Entreprise.
TenantId/Policies/UsePassportForWork Vrai Définit Windows Hello Entreprise comme méthode pour la connexion à Windows.
TenantId/Policies/RequireSecurityDevice Vrai Nécessite un module de plateforme sécurisée (TPM) pour Windows Hello Entreprise.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Faux Les modules de révision TPM 1.2 sont autorisés à être utilisés avec Windows Hello Entreprise.
TenantId/Policies/EnablePinRecovery Faux Le secret de récupération du code confidentiel ne sera pas créé ou stocké.
TenantId/Policies/UseCertificateForOnPremAuth Faux Le code confidentiel est provisionné lorsque l’utilisateur se connecte, sans attendre une charge utile de certificat.
TenantId/Policies/PINComplexity/MinimumPINLength 6 La longueur du code confidentiel doit être supérieure ou égale à ce nombre.
TenantId/Policies/PINComplexity/MaximumPINLength 6 La longueur du code confidentiel doit être inférieure ou égale à ce nombre.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Les chiffres sont obligatoires et tous les autres jeux de caractères ne sont pas autorisés.
TenantId/Policies/PINComplexity/SpecialCharacters 2 N’autorise pas l’utilisation de caractères spéciaux dans le code confidentiel.
TenantId/Policies/PINComplexity/Digits 0 Autorise l’utilisation de chiffres dans le code confidentiel.
TenantId/Policies/PINComplexity/History 10 Nombre de codes CONFIDENTIELs passés qui peuvent être associés à un compte d’utilisateur qui ne peut pas être réutilisé.
TenantId/Policies/PINComplexity/Expiration 90 Période (en jours) pendant laquelle un code confidentiel peut être utilisé avant que le système exige que l’utilisateur le modifie.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Faux Les applications n’utilisent pas les certificats Windows Hello Entreprise comme certificats de carte à puce et les facteurs biométriques sont disponibles lorsqu’un utilisateur est invité à autoriser l’utilisation de la clé privée du certificat.

Nous vous recommandons de configurer racine, autorité de certification, TrustedPublisher et TrustedPeople nœuds de ce fournisseur de solutions Cloud comme bonne pratique, mais ne vous recommandons pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud.

nom de nœud valeur Description
RequireNetworkInOOBE Vrai Lorsque l’appareil passe par OOBE lors de la première connexion ou après une réinitialisation, l’utilisateur doit choisir un réseau avant de continuer. Il n’y a pas d’option « Ignorer pour l’instant ». Cela garantit que l’appareil reste lié au locataire en cas de réinitialisations ou de réinitialisations accidentelles ou intentionnelles.

Nous vous recommandons de configurer des profils VPN comme bonne pratique, mais ne recommandons pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.

2.9 CSP Wi-Fi

Nous vous recommandons de configurer des profils WiFi comme bonne pratique, mais ne recommandons pas de valeurs spécifiques pour chaque nœud de ce fournisseur de solutions Cloud. La plupart des paramètres sont liés à l’environnement client.

Comment activer ces lignes de base de sécurité

  1. Passez en revue la base de référence de sécurité et décidez de ce qu’il faut appliquer.
  2. Déterminez les groupes Azure auxquels vous affecterez la base de référence. (Plus d’informations sur les utilisateurs et les groupes)
  3. Créez la ligne de base.

Voici comment créer la base de référence.

La plupart des paramètres peuvent être ajoutés à l’aide du catalogue Paramètres, mais il peut parfois y avoir un paramètre qui n’a pas encore été rempli dans le catalogue Paramètres. Dans ce cas, vous allez utiliser une stratégie personnalisée ou OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Commencez par rechercher dans le catalogue Paramètres et, s’il n’est pas trouvé, suivez les instructions ci-dessous pour créer une stratégie personnalisée via OMA-URI.

Catalogue des paramètres

Connectez-vous à votre compte sur le centre d’administration MEM .

  1. Accédez à Appareils - profils de configuration> ->+Créer unde profil. Pour la plateforme, sélectionnez Windows 10 et versions ultérieures, puis, pour le type de profil, sélectionnez catalogue paramètres (préversion).
  2. Créez un nom pour le profil, puis sélectionnez le bouton Suivant.
  3. Dans l’écran Paramètres de configuration, sélectionnez + Ajouter des paramètres.

En utilisant le nom de la stratégie à partir de la base de référence ci-dessus, vous pouvez rechercher la stratégie. Le catalogue des paramètres espace le nom. Pour rechercher « Comptes/AllowMicrosoftAccountConnection », vous devez rechercher « Autoriser la connexion de compte Microsoft ». Une fois que vous avez effectué une recherche, vous verrez la liste des stratégies réduites au fournisseur de solutions Cloud qui a cette stratégie. Sélectionnez Comptes (ou le fournisseur de solutions cloud approprié à la recherche actuelle), une fois que vous voyez le résultat de la stratégie ci-dessous. Cochez la case pour la stratégie.

Capture d’écran de l’option sélecteur de paramètres.

Une fois terminé, le panneau situé à gauche ajoute la catégorie CSP et le paramètre que vous avez ajouté. À partir de là, vous pouvez le configurer à partir du paramètre par défaut, pour un autre sécurisé.

Capture d’écran du catalogue de paramètres.

Vous pouvez continuer à ajouter plusieurs configurations au même profil, ce qui facilite l’attribution à la fois.

Ajout de stratégies de OMA-URI personnalisées

Certaines stratégies ne sont peut-être pas encore disponibles dans le catalogue Paramètres. Pour ces stratégies, vous devez créer un profil OMA-URI personnalisé. Connectez-vous à votre compte sur le centre d’administration MEM .

  1. Accédez à Appareils - profils de configuration> ->+Créer unde profil. Pour la plateforme, sélectionnez Windows 10 et versions ultérieures, puis, pour le type de profil, sélectionnez Modèles et sélectionnez personnalisé.
  2. Créez un nom pour le profil, puis sélectionnez le bouton Suivant.
  3. Sélectionnez le bouton Ajouter.

Vous devrez remplir quelques champs.

  • Nom, vous pouvez le nommer tout ce dont vous avez besoin en lien avec la stratégie. Il peut s’agir d’un nom abrégé que vous utilisez pour le reconnaître.
  • La description sera plus détaillée, vous devrez peut-être en avoir besoin.
  • La OMA-URI sera la chaîne de OMA-URI complète où se trouve la stratégie. Exemple : ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Le type de données est le type de valeur que cette stratégie accepte. Pour cet exemple, il s’agit d’un nombre compris entre 0 et 60. Entier a donc été sélectionné.
  • Une fois que vous avez sélectionné le type de données, vous serez en mesure d’écrire ou de charger la valeur nécessaire dans le champ.

capture d’écran configuration de OMA-URI.

Une fois l’opération terminée, votre stratégie est ajoutée à la fenêtre principale. Vous pouvez continuer à ajouter toutes vos stratégies personnalisées à la même configuration personnalisée. Cela permet de réduire la gestion de plusieurs configurations d’appareils et facilite l’affectation.

capture d’écran de capture d’écran de la configuration de OMA-URI.