HoloLens 2 biztonsági alapkonfigurációk
Fontos
Az ebben a biztonsági alapkonfigurációban használt szabályzatok némelyike a legújabb Insider buildelésijelenik meg. Ezek a szabályzatok csak a legújabb Insider-buildre frissített eszközökön működnek.
Ez a cikk felsorolja és ismerteti a HoloLens 2 konfigurációs szolgáltatók (CSP) használatával konfigurálható különböző biztonsági alapkonfigurációs beállításokat. A Microsoft Endpoint Manager (hivatalos nevén Microsoft Intune) mobileszköz-kezelésének részeként a szervezeti szabályzatoktól és igényektől függően használja az alábbi standard vagy speciális biztonsági alapbeállításokat. Ezekkel a biztonsági alapkonfiguráció-beállításokkal megvédheti a szervezeti erőforrásokat.
- A standard biztonsági alapkonfigurációs beállítások a használati esettől és az iparági vertikálistól függetlenül minden felhasználótípusra alkalmazhatók.
- A speciális biztonsági alapkonfigurációs beállítások azoknak a felhasználóknak ajánlottak, akik szigorú biztonsági vezérlőkkel rendelkeznek a környezetükben, és szigorú biztonsági szabályzatokat követelnek meg a környezetükben használt eszközökhöz.
Ezek a biztonsági alapkonfigurációk a Microsoft ajánlott eljárásokkal kapcsolatos irányelvein és a HoloLens 2-eszközök különböző iparágakban történő üzembe helyezésében és támogatásában szerzett tapasztalatain alapulnak.
Miután áttekintette a biztonsági alapkonfigurációt, és úgy döntött, hogy az egyiket, mindkettőt vagy alkatrészt használja, akkor tekintse meg , hogyan engedélyezheti ezeket a biztonsági alapvonalakat
1. Standard biztonsági alapkonfiguráció-beállítások
A következő szakaszok az egyes CSP-k ajánlott beállításait ismertetik a standard biztonsági alapprofil részeként.
1.1 házirend CSP-
| házirendnév | Érték | leírási |
|---|---|---|
| fiókok | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Nem engedélyezett | Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz. |
| Alkalmazáskezelési | ||
| ApplicationManagement/AllowAllTrustedApps | 0 – Explicit megtagadás | Kifejezetten tiltsa le a nem Microsoft Store-alkalmazások használatát. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Engedélyezett | Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból. |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Explicit megtagadás | Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből. |
| Böngésző | ||
| Browser/AllowCookies | 1 – Csak harmadik felek webhelyein található cookie-k letiltása | Ezzel a szabályzattal úgy konfigurálhatja a Microsoft Edge-et, hogy csak külső cookie-kat tiltson le, vagy tiltsa le az összes cookie-t. |
| Browser/AllowPasswordManager | 0 – Nem engedélyezett | Tiltsa le a Microsoft Edge-et a jelszókezelő használatára. |
| Browser/AllowSmartScreen | 1 – Bekapcsolva | Bekapcsolja a Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják. |
| kapcsolati | ||
| Connectivity/AllowUSBConnection | 0 – Nem engedélyezett | Letiltja az usb-kapcsolatot az eszköz és a számítógép között a fájlok eszközrel való szinkronizálásához, illetve az alkalmazások üzembe helyezéséhez vagy hibakereséséhez fejlesztői eszközök használatával. |
| eszközzárolási | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nem engedélyezett | Tiltsa le a PIN-kód vagy jelszó nélküli visszatérést az üresjáratból. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Letiltva | Tiltsa le a PIN-eket vagy jelszavakat, például :1111 vagy "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Jelszó vagy numerikus PIN-kód megadása kötelező | Jelszó vagy alfanumerikus PIN-kód megkövetelése. |
| DeviceLock/DevicePasswordEnabled | 0 – Engedélyezve | Az eszköz zárolása engedélyezve van. |
| DeviceLock/MaxInactivityTimeDeviceLock | X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 | Megadja az eszköz tétlensége után engedélyezett maximális időtartamot (percben), amely miatt az eszköz PIN-kód vagy jelszó zárolva lesz. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 – Csak számjegyek | Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma. |
| DeviceLock/MinDevicePasswordLength | X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 8 | Megadja a PIN-kódban vagy jelszóban szükséges minimális számot vagy karaktereket. |
| MDM-regisztráció | ||
| Experience/AllowManualMDMUnenrollment | 0 – Nem engedélyezett | Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával. |
| Identitás | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Azon napok száma, amikor a gyorsítótár érvényes leszRecommended érték: 7 nap | Azon napok száma, amikor a Microsoft Entra-csoport tagsági gyorsítótárának érvényesnek kell lennie. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Tétlenségi idő másodpercbenÉrtékek száma: 60 másodperc | Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt. |
| Beállítások | ||
| Beállítások/AllowVPN | 0 – Nem engedélyezett | Tiltsa le a felhasználót a VPN-beállítások módosítására. |
| Beállítások/PageVisibilityList | A felhasználó számára látható lapok rövidített neve. Megadja a felhasználói felületet az oldalnevek kiválasztásához vagy kijelölésének megszüntetéséhez. A javasolt oldalak elrejtéséhez tekintse meg a megjegyzéseket. | Csak a felsorolt lapok megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban. |
| rendszer | ||
| System/AllowStorageCard | 0 – Nem engedélyezett | Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését. |
| Frissítések | ||
| Update/AllowUpdateService | 1 – Engedélyezett | A Microsoft Update, a Windows Server Update Services (WSUS) vagy a Microsoft Store hozzáférésének engedélyezése. |
| Update/ManagePreviewBuilds | 0 – Előzetes verziójú buildek letiltása | Tiltsa le az előzetes verziójú buildek telepítését az eszközön. |
1.2 ClientCertificateInstall CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de nem rendelkezik javaslatokkal a CSP egyes csomópontjaira vonatkozó konkrét értékekre vonatkozóan.
1.3 PassportForWork CSP
| csomópontnév | Érték | leírási |
|---|---|---|
| Bérlőazonosító | TenantId | Globálisan egyedi azonosító (GUID) kapcsos zárójelek nélkül ( { , } ), amelyet a Windows Hello for Business üzembe helyezése és kezelése során használnak. |
| TenantId/Policies/UsePassportForWork | Igaz | A Windows Hello vállalati verziót állítja be a Windowsba való bejelentkezés metódusaként. |
| TenantId/Policies/RequireSecurityDevice | Igaz | A Vállalati Windows Hello szolgáltatáshoz megbízható platformmodul (TPM) szükséges. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Téves | A TPM 1.2-s verziójának moduljai a Windows Hello vállalati verziójában használhatók. |
| TenantId/Policies/EnablePinRecovery | Téves | A PIN-kód helyreállítási titkos kódjának létrehozása és tárolása nem történik meg. |
| TenantId/Policies/UseCertificateForOnPremAuth | Téves | A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, anélkül, hogy a tanúsítvány hasznos adataira vár. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | A PIN-kód hosszának ennél a számnál nagyobbnak vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | A PIN-kód hosszának ennél a számnál kisebbnek vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nem engedélyezi a speciális karakterek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/Digits | 0 | Lehetővé teszi a számjegyek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/History | 10 | A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyeket nem lehet újra felhasználni. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Az az időtartam (napokban), amikor a rendszer a felhasználót a pin-kód módosítására kötelezi. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Téves | Az alkalmazások nem használják a Vállalati Windows Hello-tanúsítványokat intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát. |
1.4 RootCATrustedCertificates CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja gyökér-, ca-, TrustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de a CSP egyes csomópontjaihoz nem ajánlott konkrét értékeket beállítani.
1.5 TenantLockdown CSP
| csomópontnév | Érték | leírási |
|---|---|---|
| RequireNetworkInOOBE | Igaz | Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után átmegy az OOBE-n, a felhasználónak ki kell választania egy hálózatot a folytatás előtt. Nincs "kihagyás egyelőre" lehetőség. Ez a beállítás biztosítja, hogy az eszköz a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén. |
1.6 VPNv2 CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de ebben a CSP-ben nincs javaslatunk az egyes csomópontokra vonatkozó konkrét értékekre. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
1.7 WiFi CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de ebben a CSP-ben nincs javaslatunk az egyes csomópontokra vonatkozó konkrét értékekre. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
2 Speciális biztonsági alapkonfiguráció-beállítások
Az alábbi szakaszok az egyes CSP-k ajánlott beállításait ismertetik a speciális biztonsági alapkonfigurációs profil részeként.
2.1 házirend CSP-
| házirendnév | Érték | leírási |
|---|---|---|
| fiókok | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Nem engedélyezett | Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz. |
| Alkalmazáskezelési | ||
| ApplicationManagement/AllowAllTrustedApps | 0 – Explicit megtagadás | Kifejezetten tiltsa le a nem Microsoft Store-beli alkalmazásokat. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Engedélyezett | Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból. |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Explicit megtagadás | Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből. |
| hitelesítési | ||
| Authentication/AllowFastReconnect | 0 – Nem engedélyezett | Tiltsa le az EAP gyors újracsatlakozását az EAP-metódus TLS-hez való kísérletétől. |
| Bluetooth- | ||
| Bluetooth/AllowDiscoverableMode | 0 – Nem engedélyezett | Más eszközök nem fogják tudni észlelni ezt az eszközt. |
| Böngésző | ||
| Browser/AllowAutofill | 0 – Letiltva/nem engedélyezett | Megakadályozza, hogy az automatikus kitöltés funkciót használó felhasználók automatikusan kitöltik az űrlapmezőket a Microsoft Edge-ben. |
| Browser/AllowCookies | 1 – Csak harmadik felek webhelyein található cookie-k letiltása | Csak külső webhelyekről származó cookie-k letiltása. |
| Browser/AllowDoNotTrack | 0 – Soha ne küldjön nyomkövetési adatokat | Soha ne küldjön nyomkövetési adatokat. |
| Browser/AllowPasswordManager | 0 – Nem engedélyezett | Tiltsa le a Microsoft Edge-et a jelszókezelő használatára. |
| Browser/AllowPopups | 1 – Az előugró ablakok blokkolásának bekapcsolása | Kapcsolja be az előugró ablakblokkolót, amely megakadályozza az előugró ablakok megnyitását. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Letiltva/nem engedélyezett | Keresési javaslatok elrejtése a Microsoft Edge címsorában. |
| Browser/AllowSmartScreen | 1 – Bekapcsolva | Bekapcsolja a Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják. |
| kapcsolati | ||
| Connectivity/AllowBluetooth | 0 – Bluetooth letiltása | A bluetooth vezérlőpult szürkén jelenik meg, és a felhasználó nem fogja tudni bekapcsolni a Bluetooth-t. |
| Connectivity/AllowUSBConnection | 0 – Nem engedélyezett | Letiltja az usb-kapcsolatot az eszköz és a számítógép között a fájlok eszközrel való szinkronizálásához, illetve az alkalmazások üzembe helyezéséhez vagy hibakereséséhez fejlesztői eszközök használatával. |
| eszközzárolási | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nem engedélyezett | Tiltsa le a PIN-kód vagy jelszó nélküli visszatérést az üresjáratból. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Letiltva | Tiltsa le a PIN-eket vagy jelszavakat, például :1111 vagy "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – Jelszó vagy alfanumerikus PIN-kód megadása kötelező | Jelszó vagy alfanumerikus PIN-kód megkövetelése. |
| DeviceLock/DevicePasswordEnabled | 0 – Engedélyezve | Az eszköz zárolása engedélyezve van. |
| DeviceLock/DevicePasswordHistory | X egész szám, ahol 0 < X < 50Megjelenített érték: 15 | Megadja, hogy hány jelszó tárolható az előzményekben, amelyeket nem lehet használni. |
| DeviceLock/MaxDevicePasswordFailedAttempts | X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 10 | Az eszköz törlése előtt engedélyezett hitelesítési hibák száma. |
| DeviceLock/MaxInactivityTimeDeviceLock | X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 | Megadja az eszköz tétlensége után engedélyezett maximális időtartamot (percben), amely miatt az eszköz PIN-kód vagy jelszó zárolva lesz. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 – Számjegyekre, kisbetűkre és nagybetűkre van szükség | Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma. |
| DeviceLock/MinDevicePasswordLength | X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 12 | Megadja a PIN-kódban vagy jelszóban szükséges minimális számot vagy karaktereket. |
| MDM-regisztráció | ||
| Experience/AllowManualMDMUnenrollment | 0 – Nem engedélyezett | Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával. |
| Identitás | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Azon napok száma, amikor a gyorsítótár érvényes leszRecommended érték: 7 nap | Azon napok száma, amikor a Microsoft Entra-csoport tagsági gyorsítótárának érvényesnek kell lennie. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Tétlenségi idő másodpercbenÉrtékek száma: 60 másodperc | Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt. |
| adatvédelmi | ||
| Privacy/LetAppsAccess AccountInfo |
2 – Megtagadás kényszerítve | Letiltja a Windows-alkalmazások hozzáférését a fiókadatokhoz. |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt Windows-alkalmazások hozzáférhetnek a fiókadatokhoz. |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt Windows-alkalmazások nem férnek hozzá a fiókadatokhoz. |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felhasználó szabályozhatja a fiókadatok adatvédelmi beállításait a felsorolt Windows-alkalmazásokhoz. |
| Privacy/LetAppsAccess BackgroundSpatialPerception |
2 – Megtagadás kényszerítve | Tiltsa meg, hogy a Windows-alkalmazások hozzáférjenek a felhasználó fejének, kezeinek, mozgásvezérlőinek és egyéb nyomon követett objektumainak mozgásához, miközben az alkalmazások a háttérben futnak. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
A Windows Áruházbeli alkalmazások részben kettőspontokkal tagolt csomagcsaládjainak listája | A felsorolt alkalmazások hozzáférhetnek a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
A Windows Áruházbeli alkalmazások részben kettőspontokkal tagolt csomagcsaládjainak listája | A felsorolt alkalmazások nem férnek hozzá a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak. |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
A Windows Áruházbeli alkalmazások részben kettőspontokkal tagolt csomagcsaládjainak listája | A felhasználó szabályozhatja a felsorolt alkalmazások felhasználói mozgásainak adatvédelmi beállításait. |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
A Microsoft Store Apps részben kettőspontra tagolt csomagcsaládjainak listája | A felsorolt alkalmazások nem férnek hozzá a mikrofonhoz. |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
A Microsoft Store Apps részben kettőspontra tagolt csomagcsaládjainak listája | A felhasználó szabályozhatja a mikrofon adatvédelmi beállításait a felsorolt alkalmazásokhoz. |
| Keresési | ||
| Search/AllowSearchToUseLocation | 0 – Nem engedélyezett | Tiltsa le a keresés használatát a helyadatok használatához. |
| biztonsági | ||
| Security/AllowAddProvisioningPackage | 0 – Nem engedélyezett | Tiltsa le a futtatókörnyezet konfigurációs ügynökét a kiépítési csomagok telepítéséhez. |
| Beállítások | ||
| Beállítások/AllowVPN | 0 – Nem engedélyezett | Tiltsa le a felhasználót a VPN-beállítások módosítására. |
| Beállítások/PageVisibilityList | A felhasználó számára látható lapok rövidített neveWill felhasználói felületet biztosít a lapnevek kijelöléséhez vagy kijelölésének megszüntetéséhez. A javasolt oldalak elrejtéséhez tekintse meg a megjegyzéseket. | Csak a felsorolt lapok megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban. |
| rendszer | ||
| System/AllowStorageCard | 0 – Nem engedélyezett | Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését. |
| System/AllowTelemetry | 0 – Nem engedélyezett | Tiltsa le az eszközt diagnosztikai és használati telemetriai adatok, például Watson küldésére. |
| Frissítések | ||
| Update/AllowUpdateService | 1 – Engedélyezett | A Microsoft Update, a Windows Server Update Services (WSUS) vagy a Microsoft Store hozzáférésének engedélyezése. |
| Update/ManagePreviewBuilds | 0 – Előzetes verziójú buildek letiltása | Tiltsa le az előzetes verziójú buildek telepítését az eszközön. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – Nem engedélyezett | Az MDM-kiszolgáló által telepített hálózatokon kívüli Wi-Fi való csatlakozás letiltása. |
2.2 AccountManagement CSP
| csomópontnév | Érték | leírási |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Igaz | Profilok élettartam-kezelésének engedélyezése megosztott vagy közösségi eszközök esetén. |
| UserProfileManagement/DeletionPolicy | 2 – törlés a tárolási kapacitás küszöbértékén és a profil inaktivitási küszöbértékén is | Konfigurálja a profilok törlésének időpontját. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Indítsa el a profilok törlését, ha a rendelkezésre álló tárkapacitás a küszöbérték alá csökken, a profilokhoz elérhető teljes tárterület százalékában megadva. A leghosszabb ideig inaktív profilok először törlődnek. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | A profilok törlésének leállítása, ha a rendelkezésre álló tárkapacitás eléri ezt a küszöbértéket, a profilokhoz elérhető teljes tárterület százalékában megadva. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Kezdje el törölni a profilokat, ha nem lettek bejelentkezve a megadott időszakban, napok számaként megadva. |
2.3 ApplicationControl CSP
| csomópontnév | Érték | leírási |
|---|---|---|
| Szabályzatok/Szabályzat GUID azonosítója | szabályzatazonosító a szabályzatblobban | Szabályzatazonosító a szabályzatblobban. |
| Szabályzatok/házirend GUID-/Szabályzat | Szabályzatblob- | A szabályzat bináris blobja base64-ben van kódolva. |
2.4 ClientCertificateInstall CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de nem rendelkezik javaslatokkal a CSP egyes csomópontjaira vonatkozó konkrét értékekre vonatkozóan.
2.5 PassportForWork CSP
| csomópontnév | Érték | leírási |
|---|---|---|
| Bérlőazonosító | TenantId | Globálisan egyedi azonosító (GUID) kapcsos zárójelek nélkül ( { , } ), amelyet a Windows Hello for Business üzembe helyezése és kezelése során használnak. |
| TenantId/Policies/UsePassportForWork | Igaz | A Windows Hello vállalati verziót állítja be a Windowsba való bejelentkezés metódusaként. |
| TenantId/Policies/RequireSecurityDevice | Igaz | A Vállalati Windows Hello szolgáltatáshoz megbízható platformmodul (TPM) szükséges. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Téves | A TPM 1.2-s verziójának moduljai a Windows Hello vállalati verziójában használhatók. |
| TenantId/Policies/EnablePinRecovery | Téves | A PIN-kód helyreállítási titkos kódjának létrehozása és tárolása nem történik meg. |
| TenantId/Policies/UseCertificateForOnPremAuth | Téves | A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, anélkül, hogy a tanúsítvány hasznos adataira vár. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | A PIN-kód hosszának ennél a számnál nagyobbnak vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | A PIN-kód hosszának ennél a számnál kisebbnek vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nem engedélyezi a speciális karakterek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/Digits | 0 | Lehetővé teszi a számjegyek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/History | 10 | A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyeket nem lehet újra felhasználni. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Az az időtartam (napokban), amikor a rendszer a felhasználót a pin-kód módosítására kötelezi. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Téves | Az alkalmazások nem használják a Vállalati Windows Hello-tanúsítványokat intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát. |
2.6 RootCATrustedCertificates CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja gyökér-, ca-, TrustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de nem ajánlott a CSP minden csomópontjának adott értékeire vonatkozóan.
2.7 TenantLockdown CSP
| csomópontnév | Érték | leírási |
|---|---|---|
| RequireNetworkInOOBE | Igaz | Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után átmegy az OOBE-n, a felhasználónak a folytatás előtt ki kell választania egy hálózatot. Nincs "kihagyás egyelőre" lehetőség. Ez biztosítja, hogy az eszköz továbbra is a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén. |
2.8 VPNv2 CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja a VPN-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
2.9 WiFi CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja a WiFi-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
A biztonsági alapvonalak engedélyezése
- Tekintse át a biztonsági alapkonfigurációt, és döntse el, hogy mit kell alkalmaznia.
- Határozza meg, hogy mely Azure-csoportokhoz rendeli hozzá az alapkonfigurációt. (További információk a felhasználókról és csoportokról)
- Hozza létre az alaptervet.
Így hozhatja létre az alaptervet.
Számos beállítás hozzáadható a Beállítások katalógus használatával, de előfordulhat, hogy van olyan beállítás, amely még nem lett feltöltve a Beállítások katalógusba. Ezekben az esetekben egyéni szabályzatot vagy OMA-URI (Open Mobile Alliance – Uniform Resource Identifier) fog használni. Első lépésként keresse meg a Beállítások katalógust, és ha nem találja, kövesse az alábbi utasításokat, amelyekkel egyéni szabályzatot hozhat létre az OMA-URI használatával.
Beállításkatalógus
Jelentkezzen be a fiókjába a MEM felügyeleti központban.
- Lépjen Eszközök –>Konfigurációs profilok –>+Profil létrehozása. Platform esetén válassza Windows 10-es és újabb, a profiltípushoz pedig válassza a Beállítások katalógus (előzetes verzió)lehetőséget.
- Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
- A Konfiguráció beállításai képernyőn válassza a + Beállítások hozzáadásalehetőséget.
A fenti alapkonfigurációból származó szabályzat nevének használatával megkeresheti a szabályzatot. A beállításkatalógus el fogja helyezni a nevet, így a "Accounts/AllowMicrosoftAccountConnection" kifejezés megkereséséhez a "Microsoft-fiókkapcsolat engedélyezése" kifejezésre kell keresnie. A keresés után a szabályzatok listája csak a házirendet tartalmazó CSP-re lesz csökkentve. Válassza Fiókok (vagy az aktuális kereséshez kapcsolódó CSP) lehetőséget, miután megjelenik az alábbi szabályzat eredménye. Jelölje be a szabályzat jelölőnégyzetét.
Ha elkészült, a bal oldali panel hozzáadja a CSP-kategóriát és a hozzáadott beállítást. Innen konfigurálhatja az alapértelmezett beállítástól egy biztonságosabbig.
Továbbra is hozzáadhat több konfigurációt ugyanahhoz a profilhoz, ami megkönnyíti a hozzárendelést egyszerre.
Egyéni OMA-URI-szabályzatok hozzáadása
Előfordulhat, hogy egyes szabályzatok még nem érhetők el a Beállítások katalógusban. Ezekhez a szabályzatokhoz egyéni OMA-URI profilt kell létrehoznia. Jelentkezzen be a fiókjába a MEM felügyeleti központban.
- Lépjen Eszközök –>Konfigurációs profilok –>+Profil létrehozása. Platform esetén válassza a Windows 10 és újabblehetőséget, a profiltípushoz pedig válassza a Sablonok lehetőséget, majd válassza Egyénilehetőséget.
- Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
- Válassza a hozzáadása gombot.
Ki kell töltenie néhány mezőt.
- Nevezze el, nevezze el, amire szüksége van a szabályzathoz kapcsolódóan. Ez lehet egy rövidített név, amelyet a felismerése érdekében használ.
- A leírás további részleteket tartalmaz, amelyekre szüksége lehet.
- A OMA-URI a szabályzatot tartalmazó teljes OMA-URI sztring lesz. Példa:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Az adattípus a szabályzat által elfogadott érték típusa. Ebben a példában ez egy 0 és 60 közötti szám, ezért az egész szám lett kiválasztva.
- Miután kiválasztotta az adattípust, kiírhatja vagy feltöltheti a mezőbe a szükséges értéket.
Miután elkészült, a szabályzat hozzáadódik a főablakhoz. Továbbra is hozzáadhatja az összes egyéni házirendet ugyanahhoz az egyéni konfigurációhoz. Ez segít csökkenteni a több eszközkonfiguráció kezelését, és egyszerűbbé teszi a hozzárendelést.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: