Olvasás angol nyelven

Megosztás a következőn keresztül:


HoloLens 2 biztonsági alapkonfigurációk

Fontos

Az ebben a biztonsági alapkonfigurációban használt szabályzatok némelyike a legújabb Insider buildelésijelenik meg. Ezek a szabályzatok csak a legújabb Insider-buildre frissített eszközökön működnek.

Ez a cikk felsorolja és ismerteti a HoloLens 2 konfigurációs szolgáltatók (CSP) használatával konfigurálható különböző biztonsági alapkonfigurációs beállításokat. A Microsoft Endpoint Manager (hivatalos nevén Microsoft Intune) mobileszköz-kezelésének részeként a szervezeti szabályzatoktól és igényektől függően használja az alábbi standard vagy speciális biztonsági alapbeállításokat. Ezekkel a biztonsági alapkonfiguráció-beállításokkal megvédheti a szervezeti erőforrásokat.

  • A standard biztonsági alapkonfigurációs beállítások a használati esettől és az iparági vertikálistól függetlenül minden felhasználótípusra alkalmazhatók.
  • A speciális biztonsági alapkonfigurációs beállítások azoknak a felhasználóknak ajánlottak, akik szigorú biztonsági vezérlőkkel rendelkeznek a környezetükben, és szigorú biztonsági szabályzatokat követelnek meg a környezetükben használt eszközökhöz.

Ezek a biztonsági alapkonfigurációk a Microsoft ajánlott eljárásokkal kapcsolatos irányelvein és a HoloLens 2-eszközök különböző iparágakban történő üzembe helyezésében és támogatásában szerzett tapasztalatain alapulnak.

Miután áttekintette a biztonsági alapkonfigurációt, és úgy döntött, hogy az egyiket, mindkettőt vagy alkatrészt használja, akkor tekintse meg , hogyan engedélyezheti ezeket a biztonsági alapvonalakat

1. Standard biztonsági alapkonfiguráció-beállítások

A következő szakaszok az egyes CSP-k ajánlott beállításait ismertetik a standard biztonsági alapprofil részeként.

házirendnév Érték leírási
fiókok
Accounts/AllowMicrosoftAccountConnection 0 – Nem engedélyezett Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz.
Alkalmazáskezelési
ApplicationManagement/AllowAllTrustedApps 0 – Explicit megtagadás Kifejezetten tiltsa le a nem Microsoft Store-alkalmazások használatát.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Engedélyezett Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból.
ApplicationManagement/AllowDeveloperUnlock 0 – Explicit megtagadás Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből.
Böngésző
Browser/AllowCookies 1 – Csak harmadik felek webhelyein található cookie-k letiltása Ezzel a szabályzattal úgy konfigurálhatja a Microsoft Edge-et, hogy csak külső cookie-kat tiltson le, vagy tiltsa le az összes cookie-t.
Browser/AllowPasswordManager 0 – Nem engedélyezett Tiltsa le a Microsoft Edge-et a jelszókezelő használatára.
Browser/AllowSmartScreen 1 – Bekapcsolva Bekapcsolja a Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják.
kapcsolati
Connectivity/AllowUSBConnection 0 – Nem engedélyezett Letiltja az usb-kapcsolatot az eszköz és a számítógép között a fájlok eszközrel való szinkronizálásához, illetve az alkalmazások üzembe helyezéséhez vagy hibakereséséhez fejlesztői eszközök használatával.
eszközzárolási
DeviceLock/AllowIdleReturnWithoutPassword 0 – Nem engedélyezett Tiltsa le a PIN-kód vagy jelszó nélküli visszatérést az üresjáratból.
DeviceLock/AllowSimpleDevicePassword 0 – Letiltva Tiltsa le a PIN-eket vagy jelszavakat, például :1111 vagy "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 – Jelszó vagy numerikus PIN-kód megadása kötelező Jelszó vagy alfanumerikus PIN-kód megkövetelése.
DeviceLock/DevicePasswordEnabled 0 – Engedélyezve Az eszköz zárolása engedélyezve van.
DeviceLock/MaxInactivityTimeDeviceLock X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 Megadja az eszköz tétlensége után engedélyezett maximális időtartamot (percben), amely miatt az eszköz PIN-kód vagy jelszó zárolva lesz.
DeviceLock/MinDevicePasswordComplexCharacters 1 – Csak számjegyek Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma.
DeviceLock/MinDevicePasswordLength X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 8 Megadja a PIN-kódban vagy jelszóban szükséges minimális számot vagy karaktereket.
MDM-regisztráció
Experience/AllowManualMDMUnenrollment 0 – Nem engedélyezett Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával.
Identitás
MixedReality/AADGroupMembershipCacheValidityInDays Azon napok száma, amikor a gyorsítótár érvényes leszRecommended érték: 7 nap Azon napok száma, amikor a Microsoft Entra-csoport tagsági gyorsítótárának érvényesnek kell lennie.
Power
Power/DisplayOffTimeoutPluggedIn Tétlenségi idő másodpercbenÉrtékek száma: 60 másodperc Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt.
Beállítások
Beállítások/AllowVPN 0 – Nem engedélyezett Tiltsa le a felhasználót a VPN-beállítások módosítására.
Beállítások/PageVisibilityList A felhasználó számára látható lapok rövidített neve. Megadja a felhasználói felületet az oldalnevek kiválasztásához vagy kijelölésének megszüntetéséhez. A javasolt oldalak elrejtéséhez tekintse meg a megjegyzéseket. Csak a felsorolt lapok megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban.
rendszer
System/AllowStorageCard 0 – Nem engedélyezett Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését.
Frissítések
Update/AllowUpdateService 1 – Engedélyezett A Microsoft Update, a Windows Server Update Services (WSUS) vagy a Microsoft Store hozzáférésének engedélyezése.
Update/ManagePreviewBuilds 0 – Előzetes verziójú buildek letiltása Tiltsa le az előzetes verziójú buildek telepítését az eszközön.

Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de nem rendelkezik javaslatokkal a CSP egyes csomópontjaira vonatkozó konkrét értékekre vonatkozóan.

csomópontnév Érték leírási
Bérlőazonosító TenantId Globálisan egyedi azonosító (GUID) kapcsos zárójelek nélkül ( { , } ), amelyet a Windows Hello for Business üzembe helyezése és kezelése során használnak.
TenantId/Policies/UsePassportForWork Igaz A Windows Hello vállalati verziót állítja be a Windowsba való bejelentkezés metódusaként.
TenantId/Policies/RequireSecurityDevice Igaz A Vállalati Windows Hello szolgáltatáshoz megbízható platformmodul (TPM) szükséges.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Téves A TPM 1.2-s verziójának moduljai a Windows Hello vállalati verziójában használhatók.
TenantId/Policies/EnablePinRecovery Téves A PIN-kód helyreállítási titkos kódjának létrehozása és tárolása nem történik meg.
TenantId/Policies/UseCertificateForOnPremAuth Téves A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, anélkül, hogy a tanúsítvány hasznos adataira vár.
TenantId/Policies/PINComplexity/MinimumPINLength 6 A PIN-kód hosszának ennél a számnál nagyobbnak vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/MaximumPINLength 6 A PIN-kód hosszának ennél a számnál kisebbnek vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/UppercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/LowercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Nem engedélyezi a speciális karakterek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/Digits 0 Lehetővé teszi a számjegyek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/History 10 A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyeket nem lehet újra felhasználni.
TenantId/Policies/PINComplexity/Expiration 90 Az az időtartam (napokban), amikor a rendszer a felhasználót a pin-kód módosítására kötelezi.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Téves Az alkalmazások nem használják a Vállalati Windows Hello-tanúsítványokat intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát.

Javasoljuk, hogy ajánlott eljárásként konfigurálja gyökér-, ca-, TrustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de a CSP egyes csomópontjaihoz nem ajánlott konkrét értékeket beállítani.

csomópontnév Érték leírási
RequireNetworkInOOBE Igaz Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után átmegy az OOBE-n, a felhasználónak ki kell választania egy hálózatot a folytatás előtt. Nincs "kihagyás egyelőre" lehetőség. Ez a beállítás biztosítja, hogy az eszköz a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén.

Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de ebben a CSP-ben nincs javaslatunk az egyes csomópontokra vonatkozó konkrét értékekre. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de ebben a CSP-ben nincs javaslatunk az egyes csomópontokra vonatkozó konkrét értékekre. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

2 Speciális biztonsági alapkonfiguráció-beállítások

Az alábbi szakaszok az egyes CSP-k ajánlott beállításait ismertetik a speciális biztonsági alapkonfigurációs profil részeként.

házirendnév Érték leírási
fiókok
Accounts/AllowMicrosoftAccountConnection 0 – Nem engedélyezett Korlátozza a felhasználót, hogy MSA-fiókot használjon a nem e-mailes kapcsolathitelesítéshez és -szolgáltatásokhoz.
Alkalmazáskezelési
ApplicationManagement/AllowAllTrustedApps 0 – Explicit megtagadás Kifejezetten tiltsa le a nem Microsoft Store-beli alkalmazásokat.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Engedélyezett Alkalmazások automatikus frissítésének engedélyezése a Microsoft Store-ból.
ApplicationManagement/AllowDeveloperUnlock 0 – Explicit megtagadás Korlátozza a felhasználót a fejlesztői mód feloldására, amely lehetővé teszi, hogy a felhasználó alkalmazásokat telepítsen az eszközre egy IDE-ből.
hitelesítési
Authentication/AllowFastReconnect 0 – Nem engedélyezett Tiltsa le az EAP gyors újracsatlakozását az EAP-metódus TLS-hez való kísérletétől.
Bluetooth-
Bluetooth/AllowDiscoverableMode 0 – Nem engedélyezett Más eszközök nem fogják tudni észlelni ezt az eszközt.
Böngésző
Browser/AllowAutofill 0 – Letiltva/nem engedélyezett Megakadályozza, hogy az automatikus kitöltés funkciót használó felhasználók automatikusan kitöltik az űrlapmezőket a Microsoft Edge-ben.
Browser/AllowCookies 1 – Csak harmadik felek webhelyein található cookie-k letiltása Csak külső webhelyekről származó cookie-k letiltása.
Browser/AllowDoNotTrack 0 – Soha ne küldjön nyomkövetési adatokat Soha ne küldjön nyomkövetési adatokat.
Browser/AllowPasswordManager 0 – Nem engedélyezett Tiltsa le a Microsoft Edge-et a jelszókezelő használatára.
Browser/AllowPopups 1 – Az előugró ablakok blokkolásának bekapcsolása Kapcsolja be az előugró ablakblokkolót, amely megakadályozza az előugró ablakok megnyitását.
Browser/AllowSearchSuggestionsinAddressBar 0 – Letiltva/nem engedélyezett Keresési javaslatok elrejtése a Microsoft Edge címsorában.
Browser/AllowSmartScreen 1 – Bekapcsolva Bekapcsolja a Windows Defender SmartScreent, és megakadályozza, hogy a felhasználók kikapcsolják.
kapcsolati
Connectivity/AllowBluetooth 0 – Bluetooth letiltása A bluetooth vezérlőpult szürkén jelenik meg, és a felhasználó nem fogja tudni bekapcsolni a Bluetooth-t.
Connectivity/AllowUSBConnection 0 – Nem engedélyezett Letiltja az usb-kapcsolatot az eszköz és a számítógép között a fájlok eszközrel való szinkronizálásához, illetve az alkalmazások üzembe helyezéséhez vagy hibakereséséhez fejlesztői eszközök használatával.
eszközzárolási
DeviceLock/AllowIdleReturnWithoutPassword 0 – Nem engedélyezett Tiltsa le a PIN-kód vagy jelszó nélküli visszatérést az üresjáratból.
DeviceLock/AllowSimpleDevicePassword 0 – Letiltva Tiltsa le a PIN-eket vagy jelszavakat, például :1111 vagy "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0 – Jelszó vagy alfanumerikus PIN-kód megadása kötelező Jelszó vagy alfanumerikus PIN-kód megkövetelése.
DeviceLock/DevicePasswordEnabled 0 – Engedélyezve Az eszköz zárolása engedélyezve van.
DeviceLock/DevicePasswordHistory X egész szám, ahol 0 < X < 50Megjelenített érték: 15 Megadja, hogy hány jelszó tárolható az előzményekben, amelyeket nem lehet használni.
DeviceLock/MaxDevicePasswordFailedAttempts X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 10 Az eszköz törlése előtt engedélyezett hitelesítési hibák száma.
DeviceLock/MaxInactivityTimeDeviceLock X egész szám, ahol 0 < X < 999 Ajánlott érték: 3 Megadja az eszköz tétlensége után engedélyezett maximális időtartamot (percben), amely miatt az eszköz PIN-kód vagy jelszó zárolva lesz.
DeviceLock/MinDevicePasswordComplexCharacters 3 – Számjegyekre, kisbetűkre és nagybetűkre van szükség Az erős PIN-kódhoz vagy jelszóhoz szükséges összetett elemtípusok (nagybetűk és kisbetűk, számok és írásjelek) száma.
DeviceLock/MinDevicePasswordLength X egész szám, ahol 4 < X < 16 ügyféleszközökhözRecommended érték: 12 Megadja a PIN-kódban vagy jelszóban szükséges minimális számot vagy karaktereket.
MDM-regisztráció
Experience/AllowManualMDMUnenrollment 0 – Nem engedélyezett Tiltsa le a felhasználó számára a munkahelyi fiók törlését a munkahelyi vezérlőpult használatával.
Identitás
MixedReality/AADGroupMembershipCacheValidityInDays Azon napok száma, amikor a gyorsítótár érvényes leszRecommended érték: 7 nap Azon napok száma, amikor a Microsoft Entra-csoport tagsági gyorsítótárának érvényesnek kell lennie.
Power
Power/DisplayOffTimeoutPluggedIn Tétlenségi idő másodpercbenÉrtékek száma: 60 másodperc Lehetővé teszi az inaktivitás időtartamának megadását, mielőtt a Windows kikapcsolja a kijelzőt.
adatvédelmi
Privacy/LetAppsAccess
AccountInfo
2 – Megtagadás kényszerítve Letiltja a Windows-alkalmazások hozzáférését a fiókadatokhoz.
Privacy/LetAppsAccess
AccountInfo_ForceAllowTheseApps
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt Windows-alkalmazások hozzáférhetnek a fiókadatokhoz.
Privacy/LetAppsAccess
AccountInfo_ForceDenyTheseApps
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felsorolt Windows-alkalmazások nem férnek hozzá a fiókadatokhoz.
Privacy/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
A Windows-alkalmazások pontosvesszővel tagolt csomagcsaládjainak listája A felhasználó szabályozhatja a fiókadatok adatvédelmi beállításait a felsorolt Windows-alkalmazásokhoz.
Privacy/LetAppsAccess
BackgroundSpatialPerception
2 – Megtagadás kényszerítve Tiltsa meg, hogy a Windows-alkalmazások hozzáférjenek a felhasználó fejének, kezeinek, mozgásvezérlőinek és egyéb nyomon követett objektumainak mozgásához, miközben az alkalmazások a háttérben futnak.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
A Windows Áruházbeli alkalmazások részben kettőspontokkal tagolt csomagcsaládjainak listája A felsorolt alkalmazások hozzáférhetnek a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
A Windows Áruházbeli alkalmazások részben kettőspontokkal tagolt csomagcsaládjainak listája A felsorolt alkalmazások nem férnek hozzá a felhasználó mozgásaihoz, miközben az alkalmazások a háttérben futnak.
Privacy/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
A Windows Áruházbeli alkalmazások részben kettőspontokkal tagolt csomagcsaládjainak listája A felhasználó szabályozhatja a felsorolt alkalmazások felhasználói mozgásainak adatvédelmi beállításait.
Privacy/LetAppsAccess
Microphone_ForceDenyTheseApps
A Microsoft Store Apps részben kettőspontra tagolt csomagcsaládjainak listája A felsorolt alkalmazások nem férnek hozzá a mikrofonhoz.
Privacy/LetAppsAccess
Microphone_UserInControlOfTheseApps
A Microsoft Store Apps részben kettőspontra tagolt csomagcsaládjainak listája A felhasználó szabályozhatja a mikrofon adatvédelmi beállításait a felsorolt alkalmazásokhoz.
Keresési
Search/AllowSearchToUseLocation 0 – Nem engedélyezett Tiltsa le a keresés használatát a helyadatok használatához.
biztonsági
Security/AllowAddProvisioningPackage 0 – Nem engedélyezett Tiltsa le a futtatókörnyezet konfigurációs ügynökét a kiépítési csomagok telepítéséhez.
Beállítások
Beállítások/AllowVPN 0 – Nem engedélyezett Tiltsa le a felhasználót a VPN-beállítások módosítására.
Beállítások/PageVisibilityList A felhasználó számára látható lapok rövidített neveWill felhasználói felületet biztosít a lapnevek kijelöléséhez vagy kijelölésének megszüntetéséhez. A javasolt oldalak elrejtéséhez tekintse meg a megjegyzéseket. Csak a felsorolt lapok megjelenítésének engedélyezése a felhasználó számára a Beállítások alkalmazásban.
rendszer
System/AllowStorageCard 0 – Nem engedélyezett Az SD-kártya használata nem engedélyezett, és az USB-meghajtók le vannak tiltva. Ez a beállítás nem akadályozza meg a tárkártya programozott elérését.
System/AllowTelemetry 0 – Nem engedélyezett Tiltsa le az eszközt diagnosztikai és használati telemetriai adatok, például Watson küldésére.
Frissítések
Update/AllowUpdateService 1 – Engedélyezett A Microsoft Update, a Windows Server Update Services (WSUS) vagy a Microsoft Store hozzáférésének engedélyezése.
Update/ManagePreviewBuilds 0 – Előzetes verziójú buildek letiltása Tiltsa le az előzetes verziójú buildek telepítését az eszközön.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – Nem engedélyezett Az MDM-kiszolgáló által telepített hálózatokon kívüli Wi-Fi való csatlakozás letiltása.
csomópontnév Érték leírási
UserProfileManagement/EnableProfileManager Igaz Profilok élettartam-kezelésének engedélyezése megosztott vagy közösségi eszközök esetén.
UserProfileManagement/DeletionPolicy 2 – törlés a tárolási kapacitás küszöbértékén és a profil inaktivitási küszöbértékén is Konfigurálja a profilok törlésének időpontját.
UserProfileManagement/StorageCapacityStartDeletion 25% Indítsa el a profilok törlését, ha a rendelkezésre álló tárkapacitás a küszöbérték alá csökken, a profilokhoz elérhető teljes tárterület százalékában megadva. A leghosszabb ideig inaktív profilok először törlődnek.
UserProfileManagement/StorageCapacityStopDeletion 50% A profilok törlésének leállítása, ha a rendelkezésre álló tárkapacitás eléri ezt a küszöbértéket, a profilokhoz elérhető teljes tárterület százalékában megadva.
UserProfileManagement/ProfileInactivityThreshold 30 Kezdje el törölni a profilokat, ha nem lettek bejelentkezve a megadott időszakban, napok számaként megadva.
csomópontnév Érték leírási
Szabályzatok/Szabályzat GUID azonosítója szabályzatazonosító a szabályzatblobban Szabályzatazonosító a szabályzatblobban.
Szabályzatok/házirend GUID-/Szabályzat Szabályzatblob- A szabályzat bináris blobja base64-ben van kódolva.

Javasoljuk, hogy ajánlott eljárásként konfigurálja ezt a CSP-t, de nem rendelkezik javaslatokkal a CSP egyes csomópontjaira vonatkozó konkrét értékekre vonatkozóan.

csomópontnév Érték leírási
Bérlőazonosító TenantId Globálisan egyedi azonosító (GUID) kapcsos zárójelek nélkül ( { , } ), amelyet a Windows Hello for Business üzembe helyezése és kezelése során használnak.
TenantId/Policies/UsePassportForWork Igaz A Windows Hello vállalati verziót állítja be a Windowsba való bejelentkezés metódusaként.
TenantId/Policies/RequireSecurityDevice Igaz A Vállalati Windows Hello szolgáltatáshoz megbízható platformmodul (TPM) szükséges.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Téves A TPM 1.2-s verziójának moduljai a Windows Hello vállalati verziójában használhatók.
TenantId/Policies/EnablePinRecovery Téves A PIN-kód helyreállítási titkos kódjának létrehozása és tárolása nem történik meg.
TenantId/Policies/UseCertificateForOnPremAuth Téves A PIN-kód ki van építve, amikor a felhasználó bejelentkezik, anélkül, hogy a tanúsítvány hasznos adataira vár.
TenantId/Policies/PINComplexity/MinimumPINLength 6 A PIN-kód hosszának ennél a számnál nagyobbnak vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/MaximumPINLength 6 A PIN-kód hosszának ennél a számnál kisebbnek vagy egyenlőnek kell lennie.
TenantId/Policies/PINComplexity/UppercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/LowercaseLetters 2 A számjegyek megadása kötelező, és az összes többi karakterkészlet nem engedélyezett.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Nem engedélyezi a speciális karakterek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/Digits 0 Lehetővé teszi a számjegyek használatát a PIN-kódban.
TenantId/Policies/PINComplexity/History 10 A felhasználói fiókhoz társítható korábbi PIN-k száma, amelyeket nem lehet újra felhasználni.
TenantId/Policies/PINComplexity/Expiration 90 Az az időtartam (napokban), amikor a rendszer a felhasználót a pin-kód módosítására kötelezi.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Téves Az alkalmazások nem használják a Vállalati Windows Hello-tanúsítványokat intelligens kártyatanúsítványként, és a biometrikus tényezők akkor érhetők el, ha a felhasználónak engedélyeznie kell a tanúsítvány titkos kulcsának használatát.

Javasoljuk, hogy ajánlott eljárásként konfigurálja gyökér-, ca-, TrustedPublisher- és TrustedPeople-csomópontokat ebben a CSP-ben, de nem ajánlott a CSP minden csomópontjának adott értékeire vonatkozóan.

csomópontnév Érték leírási
RequireNetworkInOOBE Igaz Amikor az eszköz első bejelentkezéskor vagy alaphelyzetbe állítás után átmegy az OOBE-n, a felhasználónak a folytatás előtt ki kell választania egy hálózatot. Nincs "kihagyás egyelőre" lehetőség. Ez biztosítja, hogy az eszköz továbbra is a bérlőhöz legyen kötve véletlen vagy szándékos visszaállítás vagy törlés esetén.

Javasoljuk, hogy ajánlott eljárásként konfigurálja a VPN-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

Javasoljuk, hogy ajánlott eljárásként konfigurálja a WiFi-profilokat, de ebben a CSP-ben ne adjon meg konkrét értékeket az egyes csomópontokhoz. A legtöbb beállítás az ügyfélkörnyezethez kapcsolódik.

A biztonsági alapvonalak engedélyezése

  1. Tekintse át a biztonsági alapkonfigurációt, és döntse el, hogy mit kell alkalmaznia.
  2. Határozza meg, hogy mely Azure-csoportokhoz rendeli hozzá az alapkonfigurációt. (További információk a felhasználókról és csoportokról)
  3. Hozza létre az alaptervet.

Így hozhatja létre az alaptervet.

Számos beállítás hozzáadható a Beállítások katalógus használatával, de előfordulhat, hogy van olyan beállítás, amely még nem lett feltöltve a Beállítások katalógusba. Ezekben az esetekben egyéni szabályzatot vagy OMA-URI (Open Mobile Alliance – Uniform Resource Identifier) fog használni. Első lépésként keresse meg a Beállítások katalógust, és ha nem találja, kövesse az alábbi utasításokat, amelyekkel egyéni szabályzatot hozhat létre az OMA-URI használatával.

Beállításkatalógus

Jelentkezzen be a fiókjába a MEM felügyeleti központban.

  1. Lépjen Eszközök –>Konfigurációs profilok –>+Profil létrehozása. Platform esetén válassza Windows 10-es és újabb, a profiltípushoz pedig válassza a Beállítások katalógus (előzetes verzió)lehetőséget.
  2. Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
  3. A Konfiguráció beállításai képernyőn válassza a + Beállítások hozzáadásalehetőséget.

A fenti alapkonfigurációból származó szabályzat nevének használatával megkeresheti a szabályzatot. A beállításkatalógus el fogja helyezni a nevet, így a "Accounts/AllowMicrosoftAccountConnection" kifejezés megkereséséhez a "Microsoft-fiókkapcsolat engedélyezése" kifejezésre kell keresnie. A keresés után a szabályzatok listája csak a házirendet tartalmazó CSP-re lesz csökkentve. Válassza Fiókok (vagy az aktuális kereséshez kapcsolódó CSP) lehetőséget, miután megjelenik az alábbi szabályzat eredménye. Jelölje be a szabályzat jelölőnégyzetét.

Képernyőkép a beállításválasztó beállításról.

Ha elkészült, a bal oldali panel hozzáadja a CSP-kategóriát és a hozzáadott beállítást. Innen konfigurálhatja az alapértelmezett beállítástól egy biztonságosabbig.

Képernyőkép a beállításkatalógusról.

Továbbra is hozzáadhat több konfigurációt ugyanahhoz a profilhoz, ami megkönnyíti a hozzárendelést egyszerre.

Egyéni OMA-URI-szabályzatok hozzáadása

Előfordulhat, hogy egyes szabályzatok még nem érhetők el a Beállítások katalógusban. Ezekhez a szabályzatokhoz egyéni OMA-URI profilt kell létrehoznia. Jelentkezzen be a fiókjába a MEM felügyeleti központban.

  1. Lépjen Eszközök –>Konfigurációs profilok –>+Profil létrehozása. Platform esetén válassza a Windows 10 és újabblehetőséget, a profiltípushoz pedig válassza a Sablonok lehetőséget, majd válassza Egyénilehetőséget.
  2. Hozzon létre egy nevet a profilnak, és válassza a Tovább gombot.
  3. Válassza a hozzáadása gombot.

Ki kell töltenie néhány mezőt.

  • Nevezze el, nevezze el, amire szüksége van a szabályzathoz kapcsolódóan. Ez lehet egy rövidített név, amelyet a felismerése érdekében használ.
  • A leírás további részleteket tartalmaz, amelyekre szüksége lehet.
  • A OMA-URI a szabályzatot tartalmazó teljes OMA-URI sztring lesz. Példa: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Az adattípus a szabályzat által elfogadott érték típusa. Ebben a példában ez egy 0 és 60 közötti szám, ezért az egész szám lett kiválasztva.
  • Miután kiválasztotta az adattípust, kiírhatja vagy feltöltheti a mezőbe a szükséges értéket.

OMA-URI konfigurálásának képernyőképe.

Miután elkészült, a szabályzat hozzáadódik a főablakhoz. Továbbra is hozzáadhatja az összes egyéni házirendet ugyanahhoz az egyéni konfigurációhoz. Ez segít csökkenteni a több eszközkonfiguráció kezelését, és egyszerűbbé teszi a hozzárendelést.

OMA-URI konfiguráció képernyőképe.