biztonsági alapkonfigurációk HoloLens 2

Fontos

Az ebben a biztonsági alapkonfigurációban használt szabályzatok némelyikét a legújabb Insider-buildben vezetjük be. Ezek a szabályzatok csak a legújabb Insider-buildre frissített eszközökön működnek.

Ez a cikk felsorolja és ismerteti a konfigurációs szolgáltatók (CSP) használatával HoloLens 2 konfigurálható biztonsági alapkonfigurációs beállításokat. A Microsoft Endpoint Managerrel (hivatalos nevén Microsoft Intune) végzett mobileszköz-kezelés részeként a szervezeti szabályzatoktól és igényektől függően használja az alábbi szabványos vagy speciális biztonsági alapbeállításokat. Ezekkel a biztonsági alapkonfigurációs beállításokkal védheti meg a szervezeti erőforrásokat.

  • A standard biztonsági alapkonfigurációs beállítások a használati esettől és az iparági vertikálistól függetlenül minden felhasználótípusra alkalmazhatók.
  • A speciális biztonsági alapkonfigurációs beállítások olyan felhasználók számára ajánlottak, akik szigorú biztonsági vezérlőkkel rendelkeznek a környezetükben, és szigorú biztonsági szabályzatokat igényelnek a környezetükben használt eszközökhöz.

Ezek a biztonsági alapkonfigurációs beállítások a Microsoft ajánlott eljárásokkal kapcsolatos irányelveien és a különböző iparágakban HoloLens 2 eszközök üzembe helyezésében és támogatásában szerzett tapasztalatokon alapulnak.

Miután áttekintette a biztonsági alapkonfigurációt, és úgy döntött, hogy az egyiket, mindkettőt vagy alkatrészt használja, akkor tekintse meg, hogyan engedélyezheti ezeket a biztonsági alapvonalakat

1. Standard biztonsági alapkonfiguráció-beállítások

Az alábbi szakaszok az egyes CSP-k ajánlott beállításait ismertetik a standard biztonsági alapprofil részeként.

1.1 Házirend CSP

Szabályzat neve Érték Leírás
Fiókok
Accounts/AllowMicrosoftAccountConnection 0 – Nem engedélyezett Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz.
Alkalmazáskezelés
ApplicationManagement/AllowAllTrustedApps 0 – Explicit megtagadás Kifejezetten tiltsa le a nem Microsoft Store-alkalmazások használatát.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Engedélyezett Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból.
ApplicationManagement/AllowDeveloperUnlock 0 – Explicit megtagadás Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből.
Böngésző
Böngésző/AllowCookies 1 – Csak a külső webhelyekről származó cookie-k letiltása Ezzel a szabályzattal úgy konfigurálhatja a Microsoft Edge-et, hogy csak a külső cookie-kat tiltsa le, vagy tiltsa le az összes cookie-t.
Browser/AllowPasswordManager 0 – Nem engedélyezett Tiltsa le a Microsoft Edge-et a jelszókezelő használatára.
Browser/AllowSmartScreen 1 – Bekapcsolva Bekapcsolja Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják.
Kapcsolódás
Connectivity/AllowUSBConnection 0 – Nem engedélyezett Letiltja az USB-kapcsolatot az eszköz és a számítógép között, hogy fájlokat szinkronizáljon az eszközzel, vagy fejlesztői eszközöket használjon alkalmazások üzembe helyezéséhez vagy hibakereséséhez.
Eszközzár
DeviceLock/AllowIdleReturnWithoutPassword 0 – Nem engedélyezett Pin-kód vagy jelszó nélkül tiltsa le a visszatérést tétlen állapotból.
DeviceLock/AllowSimpleDevicePassword 0 – Letiltva Tiltsa le a PIN-eket vagy jelszavakat, például a "1111" vagy az "1234" elemet.
DeviceLock/AlphanumericDevicePasswordRequired 1 – Jelszó vagy numerikus PIN-kód szükséges Jelszó vagy alfanumerikus PIN-kód megkövetelése.
DeviceLock/DevicePasswordEnabled 0 – Engedélyezve Az eszközzár engedélyezve van.
DeviceLock/MaxInactivityTimeDeviceLock X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 Meghatározza, hogy az eszköz tétlensége után (percekben) mennyi idő áll rendelkezésre, ami miatt az eszköz PIN-kóddal vagy jelszóval zárolt állapotba kerül.
DeviceLock/MinDevicePasswordComplexCharacters 1 – Csak számjegyek Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma.
DeviceLock/MinDevicePasswordLength X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 8 Megadja a PIN-kódban vagy jelszóban szükséges minimális számot vagy karaktereket.
MDM-regisztráció
Experience/AllowManualMDMUnenrollment 0 – Nem engedélyezett Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával.
Identitás
MixedReality/AADGroupMembershipCacheValidityInDays Azon napok száma, amikor a gyorsítótárnak érvényesnek kell lennieRecommended érték: 7 nap Azon napok száma, amikor a Microsoft Entra csoporttagsági gyorsítótárának érvényesnek kell lennie.
Hatalom
Power/DisplayOffTimeoutPluggedIn Tétlen idő másodpercbenÉrtékek száma: 60 másodperc Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt.
Beállítások
Settings/AllowVPN 0 – Nem engedélyezett Tiltsa le a felhasználót a VPN-beállítások módosítására.
Beállítások/PageVisibilityList A felhasználó számára látható lapok rövidített neve. Megadja a felhasználói felületet az oldalnevek kiválasztásához vagy kijelölésének megszüntetéséhez. Az ajánlott oldalak elrejtéséhez tekintse meg a megjegyzéseket. Csak a felsorolt oldalak megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban.
Rendszer
System/AllowStorageCard 0 – Nem engedélyezett Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését.
Frissítések
Update/AllowUpdateService 1 – Engedélyezett A Microsoft Update, Windows Server Update Services (WSUS) vagy a Microsoft Store elérésének engedélyezése.
Update/ManagePreviewBuilds 0 – Előzetes buildek letiltása Tiltsa le az előzetes buildek telepítését az eszközön.

1.2 ClientCertificateInstall CSP

Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nem rendelkezik javaslatokkal a csp minden csomópontjához.

1.3 PassportForWork CSP

Csomópont neve Érték Leírás
Bérlőazonosító Bérlőazonosító Globálisan egyedi azonosító (GUID), kapcsos zárójelek nélkül ( { , } ), amelyet Vállalati Windows Hello kiépítés és kezelés részeként használnak.
TenantId/Policies/UsePassportForWork Igaz A Vállalati Windows Hello a Windowsba való bejelentkezés módszereként állítja be.
TenantId/Policies/RequireSecurityDevice Igaz A Vállalati Windows Hello megbízható platformmodult (TPM) igényel.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Hamis A TPM 1.2-s verziójának moduljai Vállalati Windows Hello használhatók.
TenantId/Policies/EnablePinRecovery Hamis A PIN-kód helyreállítási titkos kódja nincs létrehozva vagy tárolva.
TenantId/Policies/UseCertificateForOnPremAuth Hamis A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, és nem vár a tanúsítvány hasznos adataira.
TenantId/Policies/PINComplexity/MinimumPINLength 6 A PIN-kód hosszának ennél nagyobbnak vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/MaximumPINLength 6 A PIN-kód hosszának ennél kisebbnek vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/UppercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/LowercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Nem engedélyezi speciális karakterek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/Digits 0 Lehetővé teszi számjegyek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/History 10 A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyek nem használhatók fel újra.
TenantId/Policies/PINComplexity/Expiration 90 Az az időszak (napokban), amikor a pin-kód használható, mielőtt a rendszer megköveteli a felhasználótól a módosítást.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Hamis Az alkalmazások nem Vállalati Windows Hello tanúsítványokat használnak intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát.

1.4 RootCATrustedCertificates CSP

Javasoljuk, hogy ajánlott eljárásként konfigurálja a gyökér-, ca-, trustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de ebben a CSP-ben nem javasol konkrét értékeket.

1.5 TenantLockdown CSP

Csomópont neve Érték Leírás
RequireNetworkInOOBE Igaz Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után áthalad az OOBE-n, a felhasználónak ki kell választania egy hálózatot a folytatás előtt. Nincs "kihagyás egyelőre" lehetőség. Ez a beállítás biztosítja, hogy az eszköz továbbra is a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén.

1.6 VPNv2 CSP

Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nincs javaslatunk a csp minden csomópontjához. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

1.7 WiFi CSP

Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nincs javaslatunk a csp minden csomópontjához. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

2 Speciális biztonsági alapkonfiguráció-beállítások

Az alábbi szakaszok az egyes CSP-k ajánlott beállításait ismertetik a speciális biztonsági alapprofil részeként.

2.1 Házirend CSP

Szabályzat neve Érték Leírás
Fiókok
Accounts/AllowMicrosoftAccountConnection 0 – Nem engedélyezett Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz.
Alkalmazáskezelés
ApplicationManagement/AllowAllTrustedApps 0 – Explicit megtagadás Kifejezetten tiltsa le a nem Microsoft Store-beli alkalmazásokat.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Engedélyezett Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból.
ApplicationManagement/AllowDeveloperUnlock 0 – Explicit megtagadás Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből.
Hitelesítés
Hitelesítés/AllowFastReconnect 0 – Nem engedélyezett Tiltsa le az EAP gyors újracsatlakozását a TLS EAP-metódushoz való kísérletből.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – Nem engedélyezett Más eszközök nem fogják tudni észlelni ezt az eszközt.
Böngésző
Browser/AllowAutofill 0 – Megakadályozva/nem engedélyezett Megakadályozza, hogy az automatikus kitöltés funkciót használó felhasználók automatikusan kitöltse az űrlapmezőket a Microsoft Edge-ben.
Böngésző/AllowCookies 1 – Csak a harmadik felek webhelyein található cookie-k letiltása Csak a külső webhelyekről származó cookie-k letiltása.
Browser/AllowDoNotTrack 0 – Soha ne küldjön nyomkövetési adatokat Soha ne küldjön nyomkövetési adatokat.
Browser/AllowPasswordManager 0 – Nem engedélyezett Tiltsa le a Microsoft Edge számára a jelszókezelő használatát.
Böngésző/AllowPopups 1 – Előugró ablakok blokkolásának bekapcsolása Kapcsolja be az Előugró ablakok blokkolása beállítást, amely megakadályozza az előugró ablakok megnyitását.
Browser/AllowSearchSuggestionsinAddressBar 0 – Megakadályozva/nem engedélyezett Keresési javaslatok elrejtése a Microsoft Edge címsorában.
Böngésző/AllowSmartScreen 1 – Bekapcsolva Bekapcsolja Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják.
Kapcsolódás
Connectivity/AllowBluetooth 0 – Bluetooth letiltása A Bluetooth-vezérlőpult szürkén jelenik meg, és a felhasználó nem fogja tudni bekapcsolni a Bluetooth-t.
Connectivity/AllowUSBConnection 0 – Nem engedélyezett Letiltja az usb-kapcsolatot az eszköz és a számítógép között a fájlok az eszközzel való szinkronizálásához, illetve az alkalmazások üzembe helyezéséhez vagy hibakereséséhez fejlesztői eszközök használatával.
Eszközzár
DeviceLock/AllowIdleReturnWithoutPassword 0 – Nem engedélyezett Tiltsa le a PIN-kód vagy jelszó nélküli üresjáratból való visszatérést.
DeviceLock/AllowSimpleDevicePassword 0 – Letiltva Tiltsa le a PIN-eket vagy jelszavakat, például az "1111" vagy az "1234" elemet.
DeviceLock/AlphanumericDevicePasswordRequired 0 – Jelszó vagy alfanumerikus PIN-kód szükséges Jelszó vagy alfanumerikus PIN-kód megkövetelése.
DeviceLock/DevicePasswordEnabled 0 – Engedélyezve Az eszközzárolás engedélyezve van.
DeviceLock/DevicePasswordHistory X egész szám, ahol 0 < X < 50Megjegyzési érték: 15 Megadja, hogy hány jelszó tárolható a nem használható előzményekben.
DeviceLock/MaxDevicePasswordFailedAttempts X egész szám, ahol 4 < X < 16 az ügyféleszközökhözMegjegyzési érték: 10 Az eszköz törlése előtt engedélyezett hitelesítési hibák száma.
DeviceLock/MaxInactivityTimeDeviceLock X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 Meghatározza, hogy az eszköz tétlensége után legfeljebb ennyi idő (perc) legyen engedélyezve, ami miatt az eszköz PIN-kód vagy jelszó zárolttá válik.
DeviceLock/MinDevicePasswordComplexCharacters 3 – Számjegyekre, kisbetűkre és nagybetűkre van szükség Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma.
DeviceLock/MinDevicePasswordLength X egész szám, ahol 4 < X < 16 az ügyféleszközökhözMegjegyzési érték: 12 Megadja a PIN-kódban vagy jelszóban megkövetelt minimális számot vagy karaktereket.
MDM-regisztráció
Experience/AllowManualMDMUnenrollment 0 – Nem engedélyezett Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával.
Identitás
MixedReality/AADGroupMembershipCacheValidityInDays Azon napok száma, amikor a gyorsítótár érvényes leszRecommended érték: 7 nap Azon napok száma, amikor a Microsoft Entra csoporttagság gyorsítótárának érvényesnek kell lennie.
Hatalom
Power/DisplayOffTimeoutPluggedIn Üresjárati idő másodpercbenÉrtékek száma: 60 másodperc Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt.
Adatvédelem
Adatvédelem/LetAppsAccess
AccountInfo
2 – Kényszerített megtagadás Letiltja, hogy a Windows-alkalmazások hozzáférjenek a fiókadatokhoz.
Adatvédelem/LetAppsAccess
AccountInfo_ForceAllowTheseApps
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt Windows-alkalmazások hozzáférhetnek a fiókadatokhoz.
Adatvédelem/LetAppsAccess
AccountInfo_ForceDenyTheseApps
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt Windows-alkalmazások nem férnek hozzá a fiókadatokhoz.
Adatvédelem/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felhasználó szabályozhatja a fiókadatok adatvédelmi beállításait a felsorolt Windows-alkalmazásokhoz.
Adatvédelem/LetAppsAccess
BackgroundSpatialPerception
2 – Kényszerített megtagadás Tiltsa le, hogy a Windows-alkalmazások hozzáférjenek a felhasználó fejének, kezeinek, mozgásvezérlőinek és egyéb nyomon követett objektumoknak a mozgásához, miközben az alkalmazások a háttérben futnak.
Adatvédelem/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
A Windows Áruházbeli alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt alkalmazások hozzáférhetnek a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak.
Adatvédelem/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
A Windows Áruházbeli alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt alkalmazások nem férnek hozzá a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak.
Adatvédelem/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
A Windows Áruházbeli alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felhasználó szabályozhatja a felsorolt alkalmazások felhasználói mozgásainak adatvédelmi beállításait.
Adatvédelem/LetAppsAccess
Microphone_ForceDenyTheseApps
A Microsoft Store-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt alkalmazások nem férnek hozzá a mikrofonhoz.
Adatvédelem/LetAppsAccess
Microphone_UserInControlOfTheseApps
A Microsoft Store-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felhasználó szabályozhatja a mikrofon adatvédelmi beállításait a felsorolt alkalmazásokhoz.
Search
Keresés/AllowSearchToUseLocation 0 – Nem engedélyezett A helyadatok használatához tiltsa le a keresést.
Biztonság
Biztonság/AllowAddProvisioningPackage 0 – Nem engedélyezett Tiltsa le a futtatókörnyezet konfigurációs ügynökét a kiépítési csomagok telepítéséhez.
Beállítások
Settings/AllowVPN 0 – Nem engedélyezett Tiltsa le a felhasználót a VPN-beállítások módosítására.
Beállítások/PageVisibilityList A felhasználó számára látható lapok rövidített neveA felhasználói felülettel kijelölheti vagy megszüntetheti az oldalneveket. Az ajánlott oldalak elrejtéséhez tekintse meg a megjegyzéseket. Csak a felsorolt oldalak megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban.
Rendszer
System/AllowStorageCard 0 – Nem engedélyezett Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését.
System/AllowTelemetry 0 – Nem engedélyezett Tiltsa le az eszközt diagnosztikai és használati telemetriai adatok, például Watson küldésére.
Frissítések
Update/AllowUpdateService 1 – Engedélyezett A Microsoft Update, Windows Server Update Services (WSUS) vagy a Microsoft Store elérésének engedélyezése.
Update/ManagePreviewBuilds 0 – Előzetes buildek letiltása Tiltsa le az előzetes buildek telepítését az eszközön.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – Nem engedélyezett Tiltsa le a csatlakozást Wi-Fi az MDM-kiszolgáló által telepített hálózatokon kívül.

2.2 AccountManagement CSP

Csomópont neve Érték Leírás
UserProfileManagement/EnableProfileManager Igaz Profilélettartam-kezelés engedélyezése megosztott vagy közösségi eszközök esetén.
UserProfileManagement/DeletionPolicy 2 – törölje a tárolókapacitási küszöbérték elérése esetén is és inaktív profil esetén is Konfigurálja a profilok törlésének időpontját.
UserProfileManagement/StorageCapacityStartDeletion 25% Kezdje el törölni a profilokat, ha a rendelkezésre álló tárkapacitás nem éri el ezt a küszöbértéket, ami a profilokhoz elérhető teljes tárterület százalékos arányát adja meg. A leghosszabb ideig inaktív profilok először törlődnek.
UserProfileManagement/StorageCapacityStopDeletion 50% Állítsa le a profilok törlését, ha a rendelkezésre álló tárkapacitás eléri ezt a küszöbértéket, amely a profilokhoz elérhető teljes tárterület százalékában van megadva.
UserProfileManagement/ProfileInactivityThreshold 30 Kezdje el törölni a profilokat, ha a megadott időszakban nem jelentkeztek be, napok számaként megadva.

2.3 ApplicationControl CSP

Csomópont neve Érték Leírás
Szabályzatok/szabályzat GUID azonosítója Szabályzatazonosító a szabályzatblobban Szabályzatazonosító a szabályzatblobban.
Szabályzatok/Szabályzat GUID/Szabályzat Szabályzatblob A szabályzat bináris blobja base64-ben van kódolva.

2.4 ClientCertificateInstall CSP

Javasoljuk, hogy ezt a CSP-t ajánlott eljárásként konfigurálja, de nem rendelkezik javaslatokkal a csp minden csomópontjához.

2.5 PassportForWork CSP

Csomópont neve Érték Leírás
Bérlőazonosító Bérlőazonosító Globálisan egyedi azonosító (GUID), kapcsos zárójelek nélkül ( { , } ), amelyet Vállalati Windows Hello kiépítés és kezelés részeként használnak.
TenantId/Policies/UsePassportForWork Igaz A Vállalati Windows Hello a Windowsba való bejelentkezés módszereként állítja be.
TenantId/Policies/RequireSecurityDevice Igaz A Vállalati Windows Hello megbízható platformmodult (TPM) igényel.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Hamis A TPM 1.2-s verziójának moduljai Vállalati Windows Hello használhatók.
TenantId/Policies/EnablePinRecovery Hamis A PIN-kód helyreállítási titkos kódja nem jön létre és nem lesz tárolva.
TenantId/Policies/UseCertificateForOnPremAuth Hamis A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, és nem vár a tanúsítvány hasznos adataira.
TenantId/Policies/PINComplexity/MinimumPINLength 6 A PIN-kód hosszának ennél nagyobbnak vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/MaximumPINLength 6 A PIN-kód hosszának ennél kisebbnek vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/UppercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/LowercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Nem engedélyezi speciális karakterek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/Digits 0 Lehetővé teszi számjegyek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/History 10 A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyek nem használhatók fel újra.
TenantId/Policies/PINComplexity/Expiration 90 Az az időszak (napokban), amikor a pin-kód használható, mielőtt a rendszer megköveteli a felhasználótól a módosítást.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Hamis Az alkalmazások nem Vállalati Windows Hello tanúsítványokat használnak intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát.

2.6 RootCATrustedCertificates CSP

Javasoljuk, hogy ajánlott eljárásként konfigurálja a gyökér-, ca-, trustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de ne javasoljon konkrét értékeket ebben a CSP-ben minden csomóponthoz.

2.7 TenantLockdown CSP

Csomópont neve Érték Leírás
RequireNetworkInOOBE Igaz Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után átmegy az OOBE-n, a felhasználónak ki kell választania egy hálózatot, mielőtt továbblép. Nincs "kihagyás egyelőre" lehetőség. Ez biztosítja, hogy az eszköz továbbra is a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén.

2.8 VPNv2 CSP

Javasoljuk, hogy ajánlott eljárásként konfigurálja a VPN-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

2.9 WiFi CSP

Javasoljuk, hogy ajánlott eljárásként konfigurálja a WiFi-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

A biztonsági alapvonalak engedélyezése

  1. Tekintse át a biztonsági alapkonfigurációt, és döntse el, mit kell alkalmaznia.
  2. Határozza meg, hogy mely Azure-csoportokhoz rendeli hozzá az alaptervet. (További információ a felhasználókról és csoportokról)
  3. Hozza létre az alaptervet.

Így hozhatja létre az alaptervet.

Számos beállítás hozzáadható a Beállítások katalógus használatával, de előfordulhat, hogy van olyan beállítás, amely még nem lett feltöltve a Beállítások katalógusba. Ezekben az esetekben egyéni szabályzatot vagy OMA-URI-t (Open Mobile Alliance – Uniform Resource Identifier) fog használni. Először tekintse meg a Beállítások katalógust, és ha nem találja, kövesse az alábbi utasításokat, amelyekkel egyéni szabályzatot hozhat létre az OMA-URI használatával.

Beállítások katalógusa

Jelentkezzen be a fiókjába a MEM felügyeleti központban.

  1. Lépjen az Eszközök ->Konfigurációs profilok ->+Profil létrehozása területre. A Platform területen válassza a Windows 10 és újabb lehetőséget, majd a profiltípushoz válassza a Beállítások katalógus (előzetes verzió) lehetőséget.
  2. Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
  3. A Konfigurációs beállítások képernyőn válassza a + Beállítások hozzáadása lehetőséget.

A fenti alapkonfigurációból származó szabályzat nevének használatával megkeresheti a szabályzatot. A beállításkatalógus el fogja helyezni a nevet, így a "Fiókok/AllowMicrosoftAccountConnection" kifejezés megkereséséhez a "Microsoft-fiókkapcsolat engedélyezése" kifejezésre kell keresnie. A keresés után a szabályzatok listája csak a házirendet tartalmazó CSP-re lesz csökkentve. Válassza a Fiókok (vagy az aktuális kereséshez kapcsolódó CSP) lehetőséget, miután az alábbi szabályzateredményt látja. Jelölje be a szabályzat jelölőnégyzetét.

Képernyőkép a beállításválasztó lehetőségről.

Miután elkészült, a bal oldali panel hozzáadja a CSP-kategóriát és a hozzáadott beállítást. Innen konfigurálhatja az alapértelmezett beállítástól egy biztonságosabbig.

Képernyőkép a beállításkatalógusról.

Továbbra is hozzáadhat több konfigurációt ugyanahhoz a profilhoz, ami megkönnyíti a hozzárendelést egyszerre.

Egyéni OMA-URI-szabályzatok hozzáadása

Előfordulhat, hogy egyes szabályzatok még nem érhetők el a Beállítások katalógusban. Ezekhez a szabályzatokhoz létre kell hoznia egy egyéni OMA-URI-profilt. Jelentkezzen be a fiókjába a MEM felügyeleti központban.

  1. Lépjen az Eszközök ->Konfigurációs profilok ->+Profil létrehozása területre. A Platform területen válassza a Windows 10 és újabb, a profiltípushoz pedig a Sablonok lehetőséget, majd az Egyéni lehetőséget.
  2. Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
  3. Válassza a Hozzáadás gombot.

Ki kell töltenie néhány mezőt.

  • Nevezze el, nevezze el a szabályzathoz kapcsolódó minden szükséges nevet. Ez lehet egy rövidített név, amelyet a felismerése érdekében használ.
  • A leírás további részletekre lesz szüksége.
  • Az OMA-URI a szabályzatot tartalmazó teljes OMA-URI sztring lesz. Például: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Az adattípus a szabályzat által elfogadott érték típusa. Ebben a példában ez egy 0 és 60 közötti szám, ezért az egész szám lett kiválasztva.
  • Miután kiválasztotta az adattípust, kiírhatja vagy feltöltheti a mezőbe a szükséges értéket.

Képernyőkép az OMA-URI konfigurálásáról.

Ha végzett, a szabályzat bekerül a főablakba. Továbbra is hozzáadhatja az összes egyéni házirendet ugyanahhoz az egyéni konfigurációhoz. Ez segít csökkenteni a több eszközkonfiguráció kezelését, és egyszerűbbé teszi a hozzárendelést.

Képernyőkép az OMA-URI konfigurációjáról.