biztonsági alapkonfigurációk HoloLens 2
Fontos
Az ebben a biztonsági alapkonfigurációban használt szabályzatok némelyikét a legújabb Insider-buildben vezetjük be. Ezek a szabályzatok csak a legújabb Insider-buildre frissített eszközökön működnek.
Ez a cikk felsorolja és ismerteti a konfigurációs szolgáltatók (CSP) használatával HoloLens 2 konfigurálható biztonsági alapkonfigurációs beállításokat. A Microsoft Endpoint Managerrel (hivatalos nevén Microsoft Intune) végzett mobileszköz-kezelés részeként a szervezeti szabályzatoktól és igényektől függően használja az alábbi szabványos vagy speciális biztonsági alapbeállításokat. Ezekkel a biztonsági alapkonfigurációs beállításokkal védheti meg a szervezeti erőforrásokat.
- A standard biztonsági alapkonfigurációs beállítások a használati esettől és az iparági vertikálistól függetlenül minden felhasználótípusra alkalmazhatók.
- A speciális biztonsági alapkonfigurációs beállítások olyan felhasználók számára ajánlottak, akik szigorú biztonsági vezérlőkkel rendelkeznek a környezetükben, és szigorú biztonsági szabályzatokat igényelnek a környezetükben használt eszközökhöz.
Ezek a biztonsági alapkonfigurációs beállítások a Microsoft ajánlott eljárásokkal kapcsolatos irányelveien és a különböző iparágakban HoloLens 2 eszközök üzembe helyezésében és támogatásában szerzett tapasztalatokon alapulnak.
Miután áttekintette a biztonsági alapkonfigurációt, és úgy döntött, hogy az egyiket, mindkettőt vagy alkatrészt használja, akkor tekintse meg, hogyan engedélyezheti ezeket a biztonsági alapvonalakat
1. Standard biztonsági alapkonfiguráció-beállítások
Az alábbi szakaszok az egyes CSP-k ajánlott beállításait ismertetik a standard biztonsági alapprofil részeként.
1.1 Házirend CSP
| Szabályzat neve | Érték | Leírás |
|---|---|---|
| Fiókok | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Nem engedélyezett | Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz. |
| Alkalmazáskezelés | ||
| ApplicationManagement/AllowAllTrustedApps | 0 – Explicit megtagadás | Kifejezetten tiltsa le a nem Microsoft Store-alkalmazások használatát. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Engedélyezett | Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból. |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Explicit megtagadás | Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből. |
| Böngésző | ||
| Böngésző/AllowCookies | 1 – Csak a külső webhelyekről származó cookie-k letiltása | Ezzel a szabályzattal úgy konfigurálhatja a Microsoft Edge-et, hogy csak a külső cookie-kat tiltsa le, vagy tiltsa le az összes cookie-t. |
| Browser/AllowPasswordManager | 0 – Nem engedélyezett | Tiltsa le a Microsoft Edge-et a jelszókezelő használatára. |
| Browser/AllowSmartScreen | 1 – Bekapcsolva | Bekapcsolja Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják. |
| Kapcsolódás | ||
| Connectivity/AllowUSBConnection | 0 – Nem engedélyezett | Letiltja az USB-kapcsolatot az eszköz és a számítógép között, hogy fájlokat szinkronizáljon az eszközzel, vagy fejlesztői eszközöket használjon alkalmazások üzembe helyezéséhez vagy hibakereséséhez. |
| Eszközzár | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nem engedélyezett | Pin-kód vagy jelszó nélkül tiltsa le a visszatérést tétlen állapotból. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Letiltva | Tiltsa le a PIN-eket vagy jelszavakat, például a "1111" vagy az "1234" elemet. |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Jelszó vagy numerikus PIN-kód szükséges | Jelszó vagy alfanumerikus PIN-kód megkövetelése. |
| DeviceLock/DevicePasswordEnabled | 0 – Engedélyezve | Az eszközzár engedélyezve van. |
| DeviceLock/MaxInactivityTimeDeviceLock | X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 | Meghatározza, hogy az eszköz tétlensége után (percekben) mennyi idő áll rendelkezésre, ami miatt az eszköz PIN-kóddal vagy jelszóval zárolt állapotba kerül. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 – Csak számjegyek | Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma. |
| DeviceLock/MinDevicePasswordLength | X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 8 | Megadja a PIN-kódban vagy jelszóban szükséges minimális számot vagy karaktereket. |
| MDM-regisztráció | ||
| Experience/AllowManualMDMUnenrollment | 0 – Nem engedélyezett | Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával. |
| Identitás | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Azon napok száma, amikor a gyorsítótárnak érvényesnek kell lennieRecommended érték: 7 nap | Azon napok száma, amikor a Microsoft Entra csoporttagsági gyorsítótárának érvényesnek kell lennie. |
| Hatalom | ||
| Power/DisplayOffTimeoutPluggedIn | Tétlen idő másodpercbenÉrtékek száma: 60 másodperc | Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt. |
| Beállítások | ||
| Settings/AllowVPN | 0 – Nem engedélyezett | Tiltsa le a felhasználót a VPN-beállítások módosítására. |
| Beállítások/PageVisibilityList | A felhasználó számára látható lapok rövidített neve. Megadja a felhasználói felületet az oldalnevek kiválasztásához vagy kijelölésének megszüntetéséhez. Az ajánlott oldalak elrejtéséhez tekintse meg a megjegyzéseket. | Csak a felsorolt oldalak megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban. |
| Rendszer | ||
| System/AllowStorageCard | 0 – Nem engedélyezett | Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését. |
| Frissítések | ||
| Update/AllowUpdateService | 1 – Engedélyezett | A Microsoft Update, Windows Server Update Services (WSUS) vagy a Microsoft Store elérésének engedélyezése. |
| Update/ManagePreviewBuilds | 0 – Előzetes buildek letiltása | Tiltsa le az előzetes buildek telepítését az eszközön. |
1.2 ClientCertificateInstall CSP
Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nem rendelkezik javaslatokkal a csp minden csomópontjához.
1.3 PassportForWork CSP
| Csomópont neve | Érték | Leírás |
|---|---|---|
| Bérlőazonosító | Bérlőazonosító | Globálisan egyedi azonosító (GUID), kapcsos zárójelek nélkül ( { , } ), amelyet Vállalati Windows Hello kiépítés és kezelés részeként használnak. |
| TenantId/Policies/UsePassportForWork | Igaz | A Vállalati Windows Hello a Windowsba való bejelentkezés módszereként állítja be. |
| TenantId/Policies/RequireSecurityDevice | Igaz | A Vállalati Windows Hello megbízható platformmodult (TPM) igényel. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Hamis | A TPM 1.2-s verziójának moduljai Vállalati Windows Hello használhatók. |
| TenantId/Policies/EnablePinRecovery | Hamis | A PIN-kód helyreállítási titkos kódja nincs létrehozva vagy tárolva. |
| TenantId/Policies/UseCertificateForOnPremAuth | Hamis | A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, és nem vár a tanúsítvány hasznos adataira. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | A PIN-kód hosszának ennél nagyobbnak vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | A PIN-kód hosszának ennél kisebbnek vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nem engedélyezi speciális karakterek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/Digits | 0 | Lehetővé teszi számjegyek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/History | 10 | A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyek nem használhatók fel újra. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Az az időszak (napokban), amikor a pin-kód használható, mielőtt a rendszer megköveteli a felhasználótól a módosítást. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Hamis | Az alkalmazások nem Vállalati Windows Hello tanúsítványokat használnak intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát. |
1.4 RootCATrustedCertificates CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja a gyökér-, ca-, trustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de ebben a CSP-ben nem javasol konkrét értékeket.
1.5 TenantLockdown CSP
| Csomópont neve | Érték | Leírás |
|---|---|---|
| RequireNetworkInOOBE | Igaz | Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után áthalad az OOBE-n, a felhasználónak ki kell választania egy hálózatot a folytatás előtt. Nincs "kihagyás egyelőre" lehetőség. Ez a beállítás biztosítja, hogy az eszköz továbbra is a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén. |
1.6 VPNv2 CSP
Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nincs javaslatunk a csp minden csomópontjához. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
1.7 WiFi CSP
Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nincs javaslatunk a csp minden csomópontjához. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
2 Speciális biztonsági alapkonfiguráció-beállítások
Az alábbi szakaszok az egyes CSP-k ajánlott beállításait ismertetik a speciális biztonsági alapprofil részeként.
2.1 Házirend CSP
| Szabályzat neve | Érték | Leírás |
|---|---|---|
| Fiókok | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Nem engedélyezett | Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz. |
| Alkalmazáskezelés | ||
| ApplicationManagement/AllowAllTrustedApps | 0 – Explicit megtagadás | Kifejezetten tiltsa le a nem Microsoft Store-beli alkalmazásokat. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Engedélyezett | Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból. |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Explicit megtagadás | Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből. |
| Hitelesítés | ||
| Hitelesítés/AllowFastReconnect | 0 – Nem engedélyezett | Tiltsa le az EAP gyors újracsatlakozását a TLS EAP-metódushoz való kísérletből. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – Nem engedélyezett | Más eszközök nem fogják tudni észlelni ezt az eszközt. |
| Böngésző | ||
| Browser/AllowAutofill | 0 – Megakadályozva/nem engedélyezett | Megakadályozza, hogy az automatikus kitöltés funkciót használó felhasználók automatikusan kitöltse az űrlapmezőket a Microsoft Edge-ben. |
| Böngésző/AllowCookies | 1 – Csak a harmadik felek webhelyein található cookie-k letiltása | Csak a külső webhelyekről származó cookie-k letiltása. |
| Browser/AllowDoNotTrack | 0 – Soha ne küldjön nyomkövetési adatokat | Soha ne küldjön nyomkövetési adatokat. |
| Browser/AllowPasswordManager | 0 – Nem engedélyezett | Tiltsa le a Microsoft Edge számára a jelszókezelő használatát. |
| Böngésző/AllowPopups | 1 – Előugró ablakok blokkolásának bekapcsolása | Kapcsolja be az Előugró ablakok blokkolása beállítást, amely megakadályozza az előugró ablakok megnyitását. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Megakadályozva/nem engedélyezett | Keresési javaslatok elrejtése a Microsoft Edge címsorában. |
| Böngésző/AllowSmartScreen | 1 – Bekapcsolva | Bekapcsolja Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják. |
| Kapcsolódás | ||
| Connectivity/AllowBluetooth | 0 – Bluetooth letiltása | A Bluetooth-vezérlőpult szürkén jelenik meg, és a felhasználó nem fogja tudni bekapcsolni a Bluetooth-t. |
| Connectivity/AllowUSBConnection | 0 – Nem engedélyezett | Letiltja az usb-kapcsolatot az eszköz és a számítógép között a fájlok az eszközzel való szinkronizálásához, illetve az alkalmazások üzembe helyezéséhez vagy hibakereséséhez fejlesztői eszközök használatával. |
| Eszközzár | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Nem engedélyezett | Tiltsa le a PIN-kód vagy jelszó nélküli üresjáratból való visszatérést. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Letiltva | Tiltsa le a PIN-eket vagy jelszavakat, például az "1111" vagy az "1234" elemet. |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – Jelszó vagy alfanumerikus PIN-kód szükséges | Jelszó vagy alfanumerikus PIN-kód megkövetelése. |
| DeviceLock/DevicePasswordEnabled | 0 – Engedélyezve | Az eszközzárolás engedélyezve van. |
| DeviceLock/DevicePasswordHistory | X egész szám, ahol 0 < X < 50Megjegyzési érték: 15 | Megadja, hogy hány jelszó tárolható a nem használható előzményekben. |
| DeviceLock/MaxDevicePasswordFailedAttempts | X egész szám, ahol 4 < X < 16 az ügyféleszközökhözMegjegyzési érték: 10 | Az eszköz törlése előtt engedélyezett hitelesítési hibák száma. |
| DeviceLock/MaxInactivityTimeDeviceLock | X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 | Meghatározza, hogy az eszköz tétlensége után legfeljebb ennyi idő (perc) legyen engedélyezve, ami miatt az eszköz PIN-kód vagy jelszó zárolttá válik. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 – Számjegyekre, kisbetűkre és nagybetűkre van szükség | Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma. |
| DeviceLock/MinDevicePasswordLength | X egész szám, ahol 4 < X < 16 az ügyféleszközökhözMegjegyzési érték: 12 | Megadja a PIN-kódban vagy jelszóban megkövetelt minimális számot vagy karaktereket. |
| MDM-regisztráció | ||
| Experience/AllowManualMDMUnenrollment | 0 – Nem engedélyezett | Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával. |
| Identitás | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Azon napok száma, amikor a gyorsítótár érvényes leszRecommended érték: 7 nap | Azon napok száma, amikor a Microsoft Entra csoporttagság gyorsítótárának érvényesnek kell lennie. |
| Hatalom | ||
| Power/DisplayOffTimeoutPluggedIn | Üresjárati idő másodpercbenÉrtékek száma: 60 másodperc | Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt. |
| Adatvédelem | ||
| Adatvédelem/LetAppsAccess AccountInfo |
2 – Kényszerített megtagadás | Letiltja, hogy a Windows-alkalmazások hozzáférjenek a fiókadatokhoz. |
| Adatvédelem/LetAppsAccess AccountInfo_ForceAllowTheseApps |
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt Windows-alkalmazások hozzáférhetnek a fiókadatokhoz. |
| Adatvédelem/LetAppsAccess AccountInfo_ForceDenyTheseApps |
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt Windows-alkalmazások nem férnek hozzá a fiókadatokhoz. |
| Adatvédelem/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felhasználó szabályozhatja a fiókadatok adatvédelmi beállításait a felsorolt Windows-alkalmazásokhoz. |
| Adatvédelem/LetAppsAccess BackgroundSpatialPerception |
2 – Kényszerített megtagadás | Tiltsa le, hogy a Windows-alkalmazások hozzáférjenek a felhasználó fejének, kezeinek, mozgásvezérlőinek és egyéb nyomon követett objektumoknak a mozgásához, miközben az alkalmazások a háttérben futnak. |
| Adatvédelem/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
A Windows Áruházbeli alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt alkalmazások hozzáférhetnek a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak. |
| Adatvédelem/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
A Windows Áruházbeli alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt alkalmazások nem férnek hozzá a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak. |
| Adatvédelem/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
A Windows Áruházbeli alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felhasználó szabályozhatja a felsorolt alkalmazások felhasználói mozgásainak adatvédelmi beállításait. |
| Adatvédelem/LetAppsAccess Microphone_ForceDenyTheseApps |
A Microsoft Store-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felsorolt alkalmazások nem férnek hozzá a mikrofonhoz. |
| Adatvédelem/LetAppsAccess Microphone_UserInControlOfTheseApps |
A Microsoft Store-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája | A felhasználó szabályozhatja a mikrofon adatvédelmi beállításait a felsorolt alkalmazásokhoz. |
| Search | ||
| Keresés/AllowSearchToUseLocation | 0 – Nem engedélyezett | A helyadatok használatához tiltsa le a keresést. |
| Biztonság | ||
| Biztonság/AllowAddProvisioningPackage | 0 – Nem engedélyezett | Tiltsa le a futtatókörnyezet konfigurációs ügynökét a kiépítési csomagok telepítéséhez. |
| Beállítások | ||
| Settings/AllowVPN | 0 – Nem engedélyezett | Tiltsa le a felhasználót a VPN-beállítások módosítására. |
| Beállítások/PageVisibilityList | A felhasználó számára látható lapok rövidített neveA felhasználói felülettel kijelölheti vagy megszüntetheti az oldalneveket. Az ajánlott oldalak elrejtéséhez tekintse meg a megjegyzéseket. | Csak a felsorolt oldalak megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban. |
| Rendszer | ||
| System/AllowStorageCard | 0 – Nem engedélyezett | Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését. |
| System/AllowTelemetry | 0 – Nem engedélyezett | Tiltsa le az eszközt diagnosztikai és használati telemetriai adatok, például Watson küldésére. |
| Frissítések | ||
| Update/AllowUpdateService | 1 – Engedélyezett | A Microsoft Update, Windows Server Update Services (WSUS) vagy a Microsoft Store elérésének engedélyezése. |
| Update/ManagePreviewBuilds | 0 – Előzetes buildek letiltása | Tiltsa le az előzetes buildek telepítését az eszközön. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – Nem engedélyezett | Tiltsa le a csatlakozást Wi-Fi az MDM-kiszolgáló által telepített hálózatokon kívül. |
2.2 AccountManagement CSP
| Csomópont neve | Érték | Leírás |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Igaz | Profilélettartam-kezelés engedélyezése megosztott vagy közösségi eszközök esetén. |
| UserProfileManagement/DeletionPolicy | 2 – törölje a tárolókapacitási küszöbérték elérése esetén is és inaktív profil esetén is | Konfigurálja a profilok törlésének időpontját. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Kezdje el törölni a profilokat, ha a rendelkezésre álló tárkapacitás nem éri el ezt a küszöbértéket, ami a profilokhoz elérhető teljes tárterület százalékos arányát adja meg. A leghosszabb ideig inaktív profilok először törlődnek. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Állítsa le a profilok törlését, ha a rendelkezésre álló tárkapacitás eléri ezt a küszöbértéket, amely a profilokhoz elérhető teljes tárterület százalékában van megadva. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Kezdje el törölni a profilokat, ha a megadott időszakban nem jelentkeztek be, napok számaként megadva. |
2.3 ApplicationControl CSP
| Csomópont neve | Érték | Leírás |
|---|---|---|
| Szabályzatok/szabályzat GUID azonosítója | Szabályzatazonosító a szabályzatblobban | Szabályzatazonosító a szabályzatblobban. |
| Szabályzatok/Szabályzat GUID/Szabályzat | Szabályzatblob | A szabályzat bináris blobja base64-ben van kódolva. |
2.4 ClientCertificateInstall CSP
Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nem rendelkezik javaslatokkal a csp minden csomópontjához.
2.5 PassportForWork CSP
| Csomópont neve | Érték | Leírás |
|---|---|---|
| Bérlőazonosító | Bérlőazonosító | Globálisan egyedi azonosító (GUID), kapcsos zárójelek nélkül ( { , } ), amelyet Vállalati Windows Hello kiépítés és kezelés részeként használnak. |
| TenantId/Policies/UsePassportForWork | Igaz | A Vállalati Windows Hello a Windowsba való bejelentkezés módszereként állítja be. |
| TenantId/Policies/RequireSecurityDevice | Igaz | A Vállalati Windows Hello megbízható platformmodult (TPM) igényel. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Hamis | A TPM 1.2-s verziójának moduljai Vállalati Windows Hello használhatók. |
| TenantId/Policies/EnablePinRecovery | Hamis | A PIN-kód helyreállítási titkos kódja nem jön létre és nem lesz tárolva. |
| TenantId/Policies/UseCertificateForOnPremAuth | Hamis | A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, és nem vár a tanúsítvány hasznos adataira. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | A PIN-kód hosszának ennél nagyobbnak vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | A PIN-kód hosszának ennél kisebbnek vagy egyenlőnek kell lennie. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nem engedélyezi speciális karakterek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/Digits | 0 | Lehetővé teszi számjegyek használatát a PIN-kódban. |
| TenantId/Policies/PINComplexity/History | 10 | A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyek nem használhatók fel újra. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Az az időszak (napokban), amikor a pin-kód használható, mielőtt a rendszer megköveteli a felhasználótól a módosítást. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Hamis | Az alkalmazások nem Vállalati Windows Hello tanúsítványokat használnak intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát. |
2.6 RootCATrustedCertificates CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja a gyökér-, ca-, trustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de ne javasoljon konkrét értékeket ebben a CSP-ben minden csomóponthoz.
2.7 TenantLockdown CSP
| Csomópont neve | Érték | Leírás |
|---|---|---|
| RequireNetworkInOOBE | Igaz | Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után átmegy az OOBE-n, a felhasználónak ki kell választania egy hálózatot, mielőtt továbblép. Nincs "kihagyás egyelőre" lehetőség. Ez biztosítja, hogy az eszköz továbbra is a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén. |
2.8 VPNv2 CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja a VPN-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
2.9 WiFi CSP
Javasoljuk, hogy ajánlott eljárásként konfigurálja a WiFi-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.
A biztonsági alapvonalak engedélyezése
- Tekintse át a biztonsági alapkonfigurációt, és döntse el, mit kell alkalmaznia.
- Határozza meg, hogy mely Azure-csoportokhoz rendeli hozzá az alaptervet. (További információ a felhasználókról és csoportokról)
- Hozza létre az alaptervet.
Így hozhatja létre az alaptervet.
Számos beállítás hozzáadható a Beállítások katalógus használatával, de előfordulhat, hogy van olyan beállítás, amely még nem lett feltöltve a Beállítások katalógusba. Ezekben az esetekben egyéni szabályzatot vagy OMA-URI-t (Open Mobile Alliance – Uniform Resource Identifier) fog használni. Először tekintse meg a Beállítások katalógust, és ha nem találja, kövesse az alábbi utasításokat, amelyekkel egyéni szabályzatot hozhat létre az OMA-URI használatával.
Beállítások katalógusa
Jelentkezzen be a fiókjába a MEM felügyeleti központban.
- Lépjen az Eszközök ->Konfigurációs profilok ->+Profil létrehozása területre. A Platform területen válassza a Windows 10 és újabb lehetőséget, majd a profiltípushoz válassza a Beállítások katalógus (előzetes verzió) lehetőséget.
- Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
- A Konfigurációs beállítások képernyőn válassza a + Beállítások hozzáadása lehetőséget.
A fenti alapkonfigurációból származó szabályzat nevének használatával megkeresheti a szabályzatot. A beállításkatalógus el fogja helyezni a nevet, így a "Fiókok/AllowMicrosoftAccountConnection" kifejezés megkereséséhez a "Microsoft-fiókkapcsolat engedélyezése" kifejezésre kell keresnie. A keresés után a szabályzatok listája csak a házirendet tartalmazó CSP-re lesz csökkentve. Válassza a Fiókok (vagy az aktuális kereséshez kapcsolódó CSP) lehetőséget, miután az alábbi szabályzateredményt látja. Jelölje be a szabályzat jelölőnégyzetét.
Miután elkészült, a bal oldali panel hozzáadja a CSP-kategóriát és a hozzáadott beállítást. Innen konfigurálhatja az alapértelmezett beállítástól egy biztonságosabbig.
Továbbra is hozzáadhat több konfigurációt ugyanahhoz a profilhoz, ami megkönnyíti a hozzárendelést egyszerre.
Egyéni OMA-URI-szabályzatok hozzáadása
Előfordulhat, hogy egyes szabályzatok még nem érhetők el a Beállítások katalógusban. Ezekhez a szabályzatokhoz létre kell hoznia egy egyéni OMA-URI-profilt. Jelentkezzen be a fiókjába a MEM felügyeleti központban.
- Lépjen az Eszközök ->Konfigurációs profilok ->+Profil létrehozása területre. A Platform területen válassza a Windows 10 és újabb, a profiltípushoz pedig a Sablonok lehetőséget, majd az Egyéni lehetőséget.
- Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
- Válassza a Hozzáadás gombot.
Ki kell töltenie néhány mezőt.
- Nevezze el, nevezze el a szabályzathoz kapcsolódó minden szükséges nevet. Ez lehet egy rövidített név, amelyet a felismerése érdekében használ.
- A leírás további részletekre lesz szüksége.
- Az OMA-URI a szabályzatot tartalmazó teljes OMA-URI sztring lesz. Például:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Az adattípus a szabályzat által elfogadott érték típusa. Ebben a példában ez egy 0 és 60 közötti szám, ezért az egész szám lett kiválasztva.
- Miután kiválasztotta az adattípust, kiírhatja vagy feltöltheti a mezőbe a szükséges értéket.
Ha végzett, a szabályzat bekerül a főablakba. Továbbra is hozzáadhatja az összes egyéni házirendet ugyanahhoz az egyéni konfigurációhoz. Ez segít csökkenteni a több eszközkonfiguráció kezelését, és egyszerűbbé teszi a hozzárendelést.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: