Fournisseur de services de configuration SecurityPolicy
Le tableau ci-dessous montre l’applicabilité de Windows :
| Édition | Windows 10 | Windows 11 |
|---|---|---|
| Accueil | Oui | Oui |
| Pro | Oui | Oui |
| Windows SE | Non | Oui |
| Entreprise | Oui | Oui |
| Enterprise | Oui | Oui |
| Éducation | Oui | Oui |
Le fournisseur de services de configuration SecurityPolicy est utilisé pour configurer les paramètres de stratégie de sécurité pour le push WAP, l’approvisionnement du client OMA, le DM OMA, l’indication de service (SI), le chargement de service (SL) et MMS.
Remarque
Ce fournisseur de services de configuration nécessite que les fonctionnalités ID_CAP_CSP_FOUNDATION et ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES soient accessibles à partir d’une application de configuration réseau.
Pour le fournisseur csp SecurityPolicy, vous ne pouvez pas utiliser la commande Replace, sauf si le nœud existe déjà.
L’exemple suivant montre l’objet de gestion du fournisseur de services de configuration SecurityPolicy au format d’arborescence utilisé par OMA DM et OMA Client Provisioning.
./Vendor/MSFT
SecurityPolicy
----PolicyID
PolicyID Définit l’identificateur de stratégie de sécurité en tant que valeur décimale.
Les stratégies de sécurité suivantes sont prises en charge.
PolicyID : 4104 | Hexadécimal : 1008
- Nom de la stratégie : Stratégie TPS
- Description de la stratégie : ce paramètre indique si les opérateurs mobiles peuvent se voir attribuer le rôle tps (Trusted Provisioning Server) SECROLE_OPERATOR_TPS.
- Valeur par défaut : 1
- Valeurs prises en charge :
- 0 : L’attribution de rôle TPS est désactivée.
- 1 : L’attribution de rôle TPS est activée et peut être attribuée aux opérateurs mobiles.
PolicyID : 4105 | Hexadécimal : 1009
- Nom de la stratégie : Stratégie de nouvelle tentative d’authentification du message
- Description de la stratégie : ce paramètre spécifie le nombre maximal de fois où l’utilisateur est autorisé à essayer d’authentifier un message signé par le code confidentiel WAP (Wireless Application Protocol).
- Valeur par défaut : 3
- Valeurs prises en charge : 0 à 256
PolicyID : 4108 | Hexadécimal : 100c
- Nom de la stratégie : Stratégie de chargement du service
- Description de la stratégie : ce paramètre indique si les messages SL sont acceptés, en spécifiant les rôles de sécurité qui peuvent accepter les messages SL. Un message SL télécharge de nouveaux services ou du code XML d’approvisionnement sur l’appareil.
- Valeur par défaut : 256 (SECROLE_KNOWN_PPG)
- Valeurs prises en charge : SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID : 4109 | Hex :100d
- Nom de la stratégie : Stratégie d’indication de service
- Description de la stratégie : ce paramètre indique si les messages SI sont acceptés, en spécifiant les rôles de sécurité qui peuvent accepter les messages SI. Un message SI est envoyé à l’appareil pour informer les utilisateurs des nouveaux services, des mises à jour de service et des services d’approvisionnement.
- Valeur par défaut : 256 (SECROLE_KNOWN_PPG)
- Valeurs prises en charge : SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID : 4111 | Hex :100f
- Nom de la stratégie : Stratégie d’approvisionnement OTA
- Description de la stratégie : ce paramètre détermine si les messages d’approvisionnement du client OMA signés par un code confidentiel seront traités. La valeur de cette stratégie spécifie un masque de rôle. Si un message contient au moins l’un des rôles suivants dans le masque de rôle, le message est traité. Pour garantir que les messages d’approvisionnement du client OMA correctement signés sont acceptés par le client de configuration, tous les rôles définis dans les stratégies 4141, 4142 et 4143 doivent également être définis dans cette stratégie. Par exemple, pour garantir que les messages d’approvisionnement du client OMA signés correctement par USERNETWPIN sont acceptés par l’appareil, si la stratégie 4143 est définie sur 4096 (SECROLE_ANY_PUSH_SOURCE) pour un appareil déverrouillé par l’opérateur, la stratégie 4111 doit également avoir le rôle SECROLE_ANY_PUSH_SOURCE défini.
- Valeur par défaut : 384 (SECROLE_OPERATOR_TPS | SECROLE_KNOWN_PPG)
- Valeurs prises en charge : SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID : 4113 | Hex :1011
- Nom de la stratégie : Stratégie Push WSP
- Description de la stratégie : ce paramètre indique si les notifications WSP (Wireless Session Protocol) de la pile WAP sont routées.
- Valeur par défaut : 1
- Valeurs prises en charge :
- 0 : Le routage des notifications WSP n’est pas autorisé.
- 1 : Le routage des notifications WSP est autorisé.
PolicyID : 4132 | Hex :1024
- Nom de la stratégie : Stratégie d’invite utilisateur du message d’approvisionnement OTA signé par le code pin réseau
- Description de la stratégie : cette stratégie spécifie si l’appareil invite une interface utilisateur à obtenir la confirmation de l’utilisateur avant de traiter un message d’approvisionnement OTA signé par une broche réseau pure. Si vous y êtes invité, l’utilisateur peut ignorer le message d’approvisionnement OTA.
- Valeur par défaut : 0
- Valeurs prises en charge :
- 0 : l’appareil invite une interface utilisateur à obtenir la confirmation de l’utilisateur lorsque le message d’approvisionnement OTA WAP est signé uniquement avec une broche réseau.
- 1 : Il n’y a pas d’invite utilisateur.
PolicyID : 4141 | Hex :102d
- Nom de la stratégie : Stratégie OMA CP NETWPIN
- Description de la stratégie : ce paramètre détermine si le message signé par le code confidentiel réseau OMA sera accepté. Le masque de rôle du message et le masque de rôle de la stratégie sont combinés à l’aide de l’opérateur AND. Si le résultat n'est pas zéro, le message est accepté.
- Valeur par défaut : 0
- Valeurs prises en charge : SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID : 4142 | Hex :102e
- Nom de la stratégie : Stratégie USERPIN OMA CP
- Description de la stratégie : ce paramètre détermine si le code confidentiel utilisateur OMA ou le message MAC de l’utilisateur sera accepté. Le masque de rôle du message et le masque de rôle de la stratégie sont combinés à l’aide de l’opérateur AND. Si le résultat n'est pas zéro, le message est accepté.
- Valeur par défaut : 256
- Valeurs prises en charge : SECROLE_OPERATOR_TPS, SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID : 4143 | Hex :102f
- Nom de la stratégie : OMA CP USERNETWPIN Policy
- Description de la stratégie : ce paramètre détermine si le message signé par le code pin du réseau utilisateur OMA sera accepté. Le masque de rôle du message et le masque de rôle de la stratégie sont combinés à l’aide de l’opérateur AND. Si le résultat n'est pas zéro, le message est accepté.
- Valeur par défaut : 256
- Valeurs prises en charge : SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID : 4144 | Hex :1030
- Nom de la stratégie : Stratégie de message MMS
- Description de la stratégie : ce paramètre détermine si les messages MMS seront traités. La valeur de cette stratégie spécifie un masque de rôle. Si un message contient au moins l’un des rôles dans le masque de rôle, le message est traité.
- Valeur par défaut : 256 (SECROLE_KNOWN_PPG)
- Valeurs prises en charge : SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE
Remarques
Les rôles de sécurité autorisent ou limitent l’accès aux ressources d’appareil. Le rôle de sécurité est basé sur l’origine du message et la façon dont le message est signé. Vous pouvez attribuer plusieurs rôles à un message dans le document XML de stratégie de sécurité en combinant les valeurs décimales des rôles que vous souhaitez attribuer. Par exemple, pour attribuer les rôles SECROLE_KNOWN_PPG et SECROLE_OPERATOR_TPS, utilisez la valeur décimale 384 (256+128).
Les rôles de sécurité suivants sont pris en charge.
| Rôle de sécurité | Valeur décimale | Description |
|---|---|---|
| SECROLE_OPERATOR_TPS | 128 | Serveur d’approvisionnement approuvé. Affecté aux messages WAP qui proviennent d’un initiateur Push authentifié (SECROLE_PPG_AUTH) par une passerelle proxy Push approuvée (SECROLE_TRUSTED_PPG) et où l’URI (Uniform Resource Identifier) de l’initiateur Push correspond à l’URI du serveur d’approvisionnement approuvé (TPS) sur l’appareil. L’opérateur mobile peut déterminer si ce rôle et le rôle SECROLE_OPERATOR nécessitent les mêmes autorisations. |
| SECROLE_KNOWN_PPG | 256 | Passerelle proxy Push connue. Les messages attribués à ce rôle indiquent que l’appareil connaît l’adresse de la passerelle proxy Push. |
| SECROLE_ANY_PUSH_SOURCE | 4096 | Routeur Push. Les messages reçus par le routeur Push seront affectés à ce rôle. |
Exemples d’approvisionnement du client OMA
Définition d’une stratégie de sécurité :
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm name="4141" value="0"/>
</characteristic>
<wap-provisioningdoc>
Interrogation d’une stratégie de sécurité :
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm-query name="4141"/>
</characteristic>
<wap-provisioningdoc>
Exemples OMA DM
Définition d’une stratégie de sécurité :
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Replace>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Interrogation d’une stratégie de sécurité :
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Microsoft Custom Elements
Le tableau suivant présente les éléments personnalisés Microsoft pris en charge par ce fournisseur de services de configuration pour l’approvisionnement du client OMA.
| Éléments | Disponible |
|---|---|
| parm-query | Oui |
| noparm | Oui. Si cet élément est utilisé, la stratégie est définie sur 0 par défaut (correspondant aux valeurs de stratégie les plus restrictives). |
Rubriques connexes
Informations de référence sur les fournisseurs de services de configuration
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour