Baca dalam bahasa Inggris

Bagikan melalui


Garis besar keamanan HoloLens 2

Penting

Beberapa kebijakan yang digunakan dalam garis besar keamanan ini diperkenalkan dalam build Insider terbaru kami. Kebijakan ini hanya akan berfungsi pada perangkat yang diperbarui ke build Insider terbaru.

Artikel ini mencantumkan dan menjelaskan berbagai pengaturan garis besar keamanan yang dapat Anda konfigurasikan di HoloLens 2 menggunakan Penyedia Layanan Konfigurasi (CSP). Sebagai bagian dari manajemen perangkat seluler Anda menggunakan Microsoft Endpoint Manager (secara resmi dikenal sebagai Microsoft Intune), gunakan pengaturan garis besar keamanan standar atau tingkat lanjut berikut tergantung pada kebijakan dan kebutuhan organisasi Anda. Gunakan pengaturan garis besar keamanan ini untuk membantu melindungi sumber daya organisasi Anda.

  • Pengaturan garis besar keamanan standar berlaku untuk semua jenis pengguna terlepas dari skenario kasus penggunaan dan vertikal industri.
  • Pengaturan garis besar keamanan tingkat lanjut adalah pengaturan yang direkomendasikan untuk pengguna yang memiliki kontrol keamanan yang ketat terhadap lingkungan mereka, dan memerlukan kebijakan keamanan yang ketat untuk perangkat yang digunakan di lingkungan mereka.

Pengaturan garis besar keamanan ini didasarkan pada panduan dan pengalaman praktik terbaik Microsoft yang diperoleh dalam menyebarkan dan mendukung perangkat HoloLens 2 kepada pelanggan di berbagai industri.

Setelah Anda meninjau garis besar keamanan dan memutuskan untuk menggunakan salah satu, keduanya, atau bagian, lalu lihat cara mengaktifkan garis dasar keamanan ini

1. Pengaturan garis besar keamanan standar

Bagian berikut menjelaskan pengaturan yang direkomendasikan dari setiap CSP sebagai bagian dari profil garis besar keamanan standar.

1.1 CSP Kebijakan

Nama Kebijakan Nilai Deskripsi
Akun
Accounts/AllowMicrosoftAccountConnection 0 – Tidak Diizinkan Batasi pengguna untuk menggunakan akun MSA untuk autentikasi dan layanan koneksi terkait non-email.
Manajemen Aplikasi
ApplicationManagement/AllowAllTrustedApps 0 - Penolakan eksplisit Tolak aplikasi non Microsoft Store secara eksplisit.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Diizinkan Izinkan pembaruan otomatis aplikasi dari Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Penolakan eksplisit Batasi pengguna untuk membuka kunci mode pengembang, yang memungkinkan pengguna menginstal aplikasi di perangkat dari IDE.
Browser
Browser/AllowCookies 1 - Blokir hanya cookie dari situs web pihak ketiga Dengan kebijakan ini, Anda dapat mengonfigurasi Microsoft Edge untuk memblokir cookie pihak ke-3 saja atau memblokir semua cookie.
Browser/AllowPasswordManager 0 – Tidak diperbolehkan Larang Microsoft Edge untuk menggunakan pengelola kata sandi.
Browser/AllowSmartScreen 1 – Diaktifkan Mengaktifkan Windows Defender SmartScreen dan mencegah pengguna mematikannya.
Konektivitas
Connectivity/AllowUSBConnection 0 – Tidak diperbolehkan Menonaktifkan koneksi USB antara perangkat dan komputer untuk menyinkronkan file dengan perangkat atau menggunakan alat pengembang untuk menyebarkan atau men-debug aplikasi.
Kunci Perangkat
DeviceLock/AllowIdleReturnWithoutPassword 0 – Tidak diperbolehkan Larang pengembalian dari menganggur tanpa PIN atau kata sandi.
DeviceLock/AllowSimpleDevicePassword 0 – Diblokir Blokir VPN atau kata sandi seperti "1111" atau "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 – Kata Sandi atau PIN Numerik diperlukan Memerlukan kata sandi atau PIN alfanumerik.
DeviceLock/DevicePasswordEnabled 0 – Diaktifkan Kunci perangkat diaktifkan.
DeviceLock/MaxInactivityTimeDeviceLock Bilangan bulat X di mana nilai 0 < X < 999 Direkomendasikan: 3 Menentukan jumlah waktu maksimum (dalam menit) yang diizinkan setelah perangkat menganggur yang akan menyebabkan perangkat menjadi PIN atau kata sandi terkunci.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Digit saja Jumlah jenis elemen kompleks (huruf besar dan kecil, angka, dan tanda baca) yang diperlukan untuk PIN atau kata sandi yang kuat.
DeviceLock/MinDevicePasswordLength Bilangan bulat X di mana 4 < X < 16 untuk perangkat klienNilai yang direkommen: 8 Menentukan jumlah minimum atau karakter yang diperlukan dalam PIN atau kata sandi.
Pendaftaran MDM
Experience/AllowManualMDMUnenrollment 0 – Tidak diperbolehkan Larang pengguna untuk menghapus akun tempat kerja menggunakan panel kontrol tempat kerja.
Identitas
MixedReality/AADGroupMembershipCacheValidityInDays Jumlah hari cache menjadi nilai validRecommended: 7 hari Jumlah hari cache keanggotaan grup Microsoft Entra harus valid.
Power
Power/DisplayOffTimeoutPluggedIn Waktu menganggur dalam jumlah nilai detikRecommended: 60 detik Memungkinkan Anda menentukan periode tidak aktif sebelum Windows mematikan tampilan.
Pengaturan
Pengaturan / AllowVPN 0 – Tidak diperbolehkan Larang pengguna untuk mengubah setelan VPN.
Pengaturan/PageVisibilityList Nama singkat halaman yang terlihat oleh pengguna. Akan menyediakan UI untuk memilih atau membatalkan pilihan nama halaman. Lihat komentar untuk halaman yang direkomendasikan untuk disembunyikan. Izinkan hanya halaman yang tercantum untuk ditampilkan kepada pengguna di aplikasi Pengaturan.
Sistem
System/AllowStorageCard 0 – Tidak diperbolehkan Penggunaan kartu SD tidak diizinkan dan drive USB dinonaktifkan. Pengaturan ini tidak mencegah akses terprogram ke kartu penyimpanan.
Pembaruan
Memperbarui/AllowUpdateService 1 – Diizinkan Izinkan akses ke Microsoft Update, Windows Server Update Services (WSUS), atau Microsoft Store.
Memperbarui/MengelolaPreviewBuilds 0 - Menonaktifkan build Pratinjau Larang build pratinjau untuk diinstal pada perangkat.

Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik tetapi tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini.

Nama Simpul Nilai Deskripsi
ID Penyewa TenantId Pengidentifikasi unik global (GUID), tanpa kurung kurawal ( { , } ), yang digunakan sebagai bagian dari penyediaan dan manajemen Windows Hello untuk Bisnis.
TenantId/Policies/UsePassportForWork Benar Mengatur Windows Hello untuk Bisnis sebagai metode untuk masuk ke Windows.
TenantId/Policies/RequireSecurityDevice Benar Memerlukan Modul Platform Tepercaya (TPM) untuk Windows Hello untuk Bisnis.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Palsu Modul revisi TPM 1.2 diizinkan untuk digunakan dengan Windows Hello untuk Bisnis.
TenantId/Policies/EnablePinRecovery Palsu Rahasia pemulihan PIN tidak dibuat atau disimpan.
TenantId/Policies/UseCertificateForOnPremAuth Palsu PIN disediakan saat pengguna masuk, tanpa menunggu payload sertifikat.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Panjang PIN harus lebih besar dari atau sama dengan angka ini.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Panjang PIN harus kurang dari atau sama dengan angka ini.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Tidak mengizinkan penggunaan karakter khusus dalam PIN.
TenantId/Policies/PINComplexity/Digits 0 Memungkinkan penggunaan digit dalam PIN.
TenantId/Policies/PINComplexity/History 10 Jumlah VPN sebelumnya yang dapat dikaitkan dengan akun pengguna yang tidak dapat digunakan kembali.
TenantId/Policies/PINComplexity/Expiration 90 Periode waktu (dalam hari) bahwa PIN dapat digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Palsu Aplikasi tidak menggunakan sertifikat Windows Hello untuk Bisnis sebagai sertifikat kartu pintar, dan faktor biometrik tersedia ketika pengguna diminta untuk mengotorisasi penggunaan kunci privat sertifikat.

Sebaiknya konfigurasikan simpul Root, CA, TrustedPublisher, dan TrustedPeople dalam CSP ini sebagai praktik terbaik tetapi tidak akan merekomendasikan nilai tertentu untuk setiap simpul dalam CSP ini.

1.5 CSP TenantLockdown

Nama Simpul Nilai Deskripsi
RequireNetworkInOOBE Benar Ketika perangkat melewati OOBE pada saat masuk pertama atau setelah reset, pengguna diharuskan memilih jaringan sebelum melanjutkan. Tidak ada opsi "lewati untuk saat ini". Opsi ini memastikan bahwa perangkat tetap terikat ke penyewa jika terjadi reset atau penghapusan yang tidak disengaja atau disengaja.

1.6 CSP VPNv2

Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik, tetapi kami tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.

1.7 CSP WiFi

Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik, tetapi kami tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.

2 Pengaturan garis besar keamanan tingkat lanjut

Bagian berikut menjelaskan pengaturan yang direkomendasikan dari setiap CSP sebagai bagian dari profil garis besar keamanan tingkat lanjut.

2.1 CSP Kebijakan

Nama Kebijakan Nilai Deskripsi
Akun
Accounts/AllowMicrosoftAccountConnection 0 – Tidak Diizinkan Batasi pengguna untuk menggunakan akun MSA untuk autentikasi dan layanan koneksi terkait non-email.
Manajemen Aplikasi
ApplicationManagement/AllowAllTrustedApps 0 - Penolakan eksplisit Tolak aplikasi non-Microsoft Store secara eksplisit.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Diizinkan Izinkan pembaruan otomatis aplikasi dari Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Penolakan eksplisit Batasi pengguna untuk membuka kunci mode pengembang, yang memungkinkan pengguna menginstal aplikasi di perangkat dari IDE.
Autentikasi
Authentication/AllowFastReconnect 0 – Tidak diperbolehkan Larang EAP Fast Reconnect dicoba untuk metode EAP TLS.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – Tidak diperbolehkan Perangkat lain tidak akan dapat mendeteksi perangkat ini.
Browser
Browser/AllowAutofill 0 – Dicegah/tidak diizinkan Cegah pengguna menggunakan fitur Isi Otomatis untuk mengisi bidang formulir di Microsoft Edge secara otomatis.
Browser/AllowCookies 1 - Blokir hanya cookie dari situs web pihak ketiga Blokir hanya cookie dari situs web pihak ketiga.
Browser/AllowDoNotTrack 0 - Jangan pernah mengirim informasi pelacakan Jangan pernah mengirim informasi pelacakan.
Browser/AllowPasswordManager 0 – Tidak diperbolehkan Larang Microsoft Edge untuk menggunakan pengelola kata sandi.
Browser/AllowPopups 1 – Aktifkan Pemblokir Pop-up Aktifkan Pemblokir Pop-up yang menghentikan jendela pop-up dibuka.
Browser/AllowSearchSuggestionsinAddressBar 0 – Dicegah/tidak diizinkan Sembunyikan saran pencarian di bilah Alamat Microsoft Edge.
Browser/AllowSmartScreen 1 – Diaktifkan Mengaktifkan Windows Defender SmartScreen dan mencegah pengguna mematikannya.
Konektivitas
Connectivity/AllowBluetooth 0 – Larang Bluetooth Panel kontrol bluetooth berwarna abu-abu dan pengguna tidak akan dapat menyalakan Bluetooth.
Connectivity/AllowUSBConnection 0 – Tidak diperbolehkan Menonaktifkan koneksi USB antara perangkat dan komputer untuk menyinkronkan file dengan perangkat atau menggunakan alat pengembang untuk menyebarkan atau men-debug aplikasi.
Kunci Perangkat
DeviceLock/AllowIdleReturnWithoutPassword 0 – Tidak diperbolehkan Larang pengembalian dari menganggur tanpa PIN atau kata sandi.
DeviceLock/AllowSimpleDevicePassword 0 – Diblokir Blokir VPN atau kata sandi seperti "1111" atau "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0 – Kata sandi atau PIN Alfanumerik diperlukan Memerlukan kata sandi atau PIN alfanumerik.
DeviceLock/DevicePasswordEnabled 0 – Diaktifkan Kunci perangkat diaktifkan.
DeviceLock/DevicePasswordHistory Bilangan bulat X dengan nilai 0 < X < 50Recommended: 15 Menentukan berapa banyak kata sandi yang dapat disimpan dalam riwayat yang tidak dapat digunakan.
DeviceLock/MaxDevicePasswordFailedAttempts Bilangan bulat X di mana 4 < X < 16 untuk perangkat klienNilai yang direkommen: 10 Jumlah kegagalan autentikasi yang diizinkan sebelum perangkat akan dihapus.
DeviceLock/MaxInactivityTimeDeviceLock Bilangan bulat X di mana nilai 0 < X < 999 Direkomendasikan: 3 Menentukan jumlah waktu maksimum (dalam menit) yang diizinkan setelah perangkat menganggur yang akan menyebabkan perangkat menjadi PIN atau kata sandi terkunci.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Digit, huruf kecil, dan huruf besar diperlukan Jumlah jenis elemen kompleks (huruf besar dan kecil, angka, dan tanda baca) yang diperlukan untuk PIN atau kata sandi yang kuat.
DeviceLock/MinDevicePasswordLength Bilangan bulat X di mana 4 < X < 16 untuk perangkat klienNilai yang direkommen: 12 Menentukan jumlah minimum atau karakter yang diperlukan dalam PIN atau kata sandi.
Pendaftaran MDM
Experience/AllowManualMDMUnenrollment 0 – Tidak diperbolehkan Larang pengguna untuk menghapus akun tempat kerja menggunakan panel kontrol tempat kerja.
Identitas
MixedReality/AADGroupMembershipCacheValidityInDays Jumlah hari cache menjadi nilai validRecommended: 7 hari Jumlah hari cache keanggotaan grup Microsoft Entra harus valid.
Power
Power/DisplayOffTimeoutPluggedIn Waktu menganggur dalam jumlah nilai detikRecommended: 60 detik Memungkinkan Anda menentukan periode tidak aktif sebelum Windows mematikan tampilan.
Privasi
Privasi/LetAppsAccess
AccountInfo
2 - Tolak paksa Menolak akses aplikasi Windows ke informasi akun.
Privasi/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari aplikasi Windows Aplikasi Windows yang terdaftar diizinkan mengakses informasi akun.
Privasi/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari aplikasi Windows Aplikasi Windows yang terdaftar ditolak aksesnya ke informasi akun.
Privasi/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari aplikasi Windows Pengguna dapat mengontrol pengaturan privasi informasi akun untuk aplikasi Windows yang tercantum.
Privasi/LetAppsAccess
BackgroundSpatialPerception
2 - Tolak paksa Tolak akses aplikasi Windows ke pergerakan kepala, tangan, pengontrol gerakan pengguna, dan objek terlacak lainnya, saat aplikasi berjalan di latar belakang.
Privasi/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Bursa Windows Aplikasi terdaftar diizinkan mengakses pergerakan pengguna saat aplikasi berjalan di latar belakang.
Privasi/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Bursa Windows Aplikasi yang tercantum ditolak akses ke pergerakan pengguna saat aplikasi berjalan di latar belakang.
Privasi/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Bursa Windows Pengguna dapat mengontrol pengaturan privasi pergerakan pengguna untuk aplikasi yang tercantum.
Privasi/LetAppsAccess
Microphone_ForceDenyTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Microsoft Store Aplikasi yang tercantum ditolak aksesnya ke mikrofon.
Privasi/LetAppsAccess
Microphone_UserInControlOfTheseApps
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Microsoft Store Pengguna dapat mengontrol pengaturan privasi mikrofon untuk aplikasi yang tercantum.
Pencarian
Search/AllowSearchToUseLocation 0 – Tidak diperbolehkan Larang pencarian untuk menggunakan informasi lokasi.
Keamanan
Security/AllowAddProvisioningPackage 0 – Tidak diperbolehkan Larang agen konfigurasi runtime untuk menginstal paket provisi.
Pengaturan
Pengaturan / AllowVPN 0 – Tidak diperbolehkan Larang pengguna untuk mengubah setelan VPN.
Pengaturan/PageVisibilityList Nama singkat halaman yang terlihat oleh penggunaAkan menyediakan UI untuk memilih atau membatalkan pilihan nama halaman. Lihat komentar untuk halaman yang direkomendasikan untuk disembunyikan. Izinkan hanya halaman yang tercantum untuk ditampilkan kepada pengguna di aplikasi Pengaturan.
Sistem
System/AllowStorageCard 0 – Tidak diperbolehkan Penggunaan kartu SD tidak diizinkan dan drive USB dinonaktifkan. Pengaturan ini tidak mencegah akses terprogram ke kartu penyimpanan.
Sistem/AllowTelemetry 0 - Tidak diperbolehkan Larang perangkat untuk mengirim data telemetri diagnostik dan penggunaan, seperti Watson.
Pembaruan
Memperbarui/AllowUpdateService 1 – Diizinkan Izinkan akses ke Microsoft Update, Windows Server Update Services (WSUS), atau Microsoft Store.
Memperbarui/MengelolaPreviewBuilds 0 - Menonaktifkan build Pratinjau Larang build pratinjau untuk diinstal pada perangkat.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – Tidak diperbolehkan Larang menyambungkan ke Wi-Fi di luar jaringan yang diinstal server MDM.
Nama Simpul Nilai Deskripsi
UserProfileManagement/EnableProfileManager Benar Aktifkan manajemen seumur hidup profil untuk skenario perangkat bersama atau komunal.
UserProfileManagement/DeletionPolicy 2 - hapus pada ambang batas kapasitas penyimpanan dan ambang batas tidak aktif profil Mengonfigurasi kapan profil akan dihapus.
UserProfileManagement/StorageCapacityStartDeletion 25% Mulai hapus profil saat kapasitas penyimpanan yang tersedia berada di bawah ambang batas ini, yang diberikan sebagai persentase total penyimpanan yang tersedia untuk profil. Profil yang tidak aktif paling lama akan dihapus terlebih dahulu.
UserProfileManagement/StorageCapacityStopDeletion 50% Berhenti menghapus profil ketika kapasitas penyimpanan yang tersedia dimunculkan ke ambang batas ini, yang diberikan sebagai persentase total penyimpanan yang tersedia untuk profil.
UserProfileManagement/ProfileInactivityThreshold 30 Mulai hapus profil saat belum masuk selama periode yang ditentukan, yang diberikan sebagai jumlah hari.
Nama Simpul Nilai Deskripsi
GUID Kebijakan/Kebijakan ID Kebijakan dalam blob kebijakan ID kebijakan dalam blob kebijakan.
Kebijakan/Kebijakan GUID/Policy blob Kebijakan Blob biner kebijakan dikodekan dalam base64.

Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik tetapi tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini.

Nama Simpul Nilai Deskripsi
ID Penyewa TenantId Pengidentifikasi unik global (GUID), tanpa kurung kurawal ( { , } ), yang digunakan sebagai bagian dari penyediaan dan manajemen Windows Hello untuk Bisnis.
TenantId/Policies/UsePassportForWork Benar Mengatur Windows Hello untuk Bisnis sebagai metode untuk masuk ke Windows.
TenantId/Policies/RequireSecurityDevice Benar Memerlukan Modul Platform Tepercaya (TPM) untuk Windows Hello untuk Bisnis.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Palsu Modul revisi TPM 1.2 diizinkan untuk digunakan dengan Windows Hello untuk Bisnis.
TenantId/Policies/EnablePinRecovery Palsu Rahasia pemulihan PIN tidak akan dibuat atau disimpan.
TenantId/Policies/UseCertificateForOnPremAuth Palsu PIN disediakan saat pengguna masuk, tanpa menunggu payload sertifikat.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Panjang PIN harus lebih besar dari atau sama dengan angka ini.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Panjang PIN harus kurang dari atau sama dengan angka ini.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Tidak mengizinkan penggunaan karakter khusus dalam PIN.
TenantId/Policies/PINComplexity/Digits 0 Memungkinkan penggunaan digit dalam PIN.
TenantId/Policies/PINComplexity/History 10 Jumlah VPN sebelumnya yang dapat dikaitkan dengan akun pengguna yang tidak dapat digunakan kembali.
TenantId/Policies/PINComplexity/Expiration 90 Periode waktu (dalam hari) bahwa PIN dapat digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Palsu Aplikasi tidak menggunakan sertifikat Windows Hello untuk Bisnis sebagai sertifikat kartu pintar, dan faktor biometrik tersedia ketika pengguna diminta untuk mengotorisasi penggunaan kunci privat sertifikat.

Sebaiknya konfigurasikan simpul Root, CA, TrustedPublisher, dan TrustedPeople dalam CSP ini sebagai praktik terbaik tetapi tidak merekomendasikan nilai tertentu untuk setiap simpul dalam CSP ini.

2.7 CSP TenantLockdown

Nama Simpul Nilai Deskripsi
RequireNetworkInOOBE Benar Ketika perangkat melewati OOBE pada saat pertama masuk atau setelah reset, pengguna diharuskan memilih jaringan sebelum melanjutkan. Tidak ada opsi "lewati untuk saat ini". Ini memastikan bahwa perangkat tetap terikat ke penyewa jika terjadi reset atau penghapusan yang tidak disengaja atau disengaja.

Sebaiknya konfigurasikan profil VPN sebagai praktik terbaik tetapi tidak merekomendasikan nilai tertentu untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.

2.9 WiFi CSP

Sebaiknya konfigurasikan profil WiFi sebagai praktik terbaik tetapi tidak merekomendasikan nilai khusus untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.

Cara mengaktifkan garis dasar keamanan ini

  1. Tinjau garis besar keamanan, dan putuskan apa yang akan diterapkan.
  2. Tentukan Grup Azure yang akan Anda tetapkan garis besarnya. (Lainnya tentang pengguna dan grup)
  3. Buat garis besar.

Berikut cara membuat garis besar.

Banyak pengaturan dapat ditambahkan dengan menggunakan katalog Pengaturan, namun terkadang mungkin ada pengaturan yang belum diisi ke katalog Pengaturan. Dalam kasus tersebut, Anda akan menggunakan kebijakan Kustom, atau OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Mulailah dengan melihat katalog Pengaturan, dan jika tidak ditemukan, ikuti petunjuk di bawah ini untuk membuat kebijakan kustom melalui OMA-URI.

Pengaturan katalog

Masuk ke akun Anda di pusat admin MEM .

  1. Navigasi ke Perangkat - profil Konfigurasi -+Buat profil. Untuk Platform, pilih Windows 10 dan yang lebih baru, dan untuk jenis profil pilih Pengaturan katalog (pratinjau).
  2. Buat nama untuk profil, dan pilih tombol Berikutnya.
  3. Pada layar Pengaturan konfigurasi, pilih + Tambahkan pengaturan.

Dengan menggunakan nama kebijakan dari garis besar di atas, Anda dapat mencari kebijakan. Katalog pengaturan akan memberi spasi nama, jadi untuk menemukan "Akun/AllowMicrosoftAccountConnection" Anda harus mencari "Izinkan Koneksi Akun Microsoft". Setelah mencari, Anda akan melihat daftar kebijakan yang dikurangi hanya menjadi CSP yang memiliki kebijakan ini. Pilih Akun (atau CSP yang relevan dengan apa yang Anda cari saat ini), setelah Anda melihat hasil kebijakan di bawah ini. Centang kotak untuk kebijakan tersebut.

Cuplikan layar opsi pemilih pengaturan.

Setelah selesai, panel di sebelah kiri akan menambahkan kategori CSP, dan pengaturan yang Anda tambahkan. Dari sini Anda dapat mengonfigurasinya dari pengaturan default, ke satu pengaturan yang lebih aman.

Cuplikan layar katalog pengaturan.

Anda dapat terus menambahkan beberapa konfigurasi ke profil yang sama, yang akan mempermudah penetapan sekaligus.

Menambahkan kebijakan OMA-URI kustom

Beberapa kebijakan mungkin belum tersedia di katalog Pengaturan. Untuk kebijakan ini, Anda harus membuat profil OMA-URI kustom. Masuk ke akun Anda di pusat admin MEM .

  1. Navigasi ke Perangkat - profil Konfigurasi -+Buat profil. Untuk Platform, pilih Windows 10 dan yang lebih baru, dan untuk jenis profil pilih Templat dan pilih Kustom .
  2. Buat nama untuk profil, dan pilih tombol Berikutnya.
  3. Pilih tombol Tambahkan.

Anda harus mengisi beberapa bidang.

  • Nama, Anda dapat menamainya apa pun yang Anda butuhkan terkait dengan kebijakan. Ini bisa menjadi nama singkat yang Anda gunakan untuk mengenalinya.
  • Deskripsi akan menjadi detail lebih lanjut yang mungkin Anda butuhkan.
  • OMA-URI akan menjadi string OMA-URI lengkap tempat kebijakan berada. Contoh: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Jenis data adalah jenis nilai yang diterima kebijakan ini. Untuk contoh ini adalah angka antara 0 dan 60, sehingga Bilangan bulat dipilih.
  • Setelah memilih jenis data, Anda akan dapat menulis, atau mengunggah, nilai yang diperlukan ke bidang .

Cuplikan layar konfigurasi OMA-URI.

Setelah selesai, kebijakan Anda ditambahkan ke jendela utama. Anda dapat terus menambahkan semua kebijakan kustom Anda ke konfigurasi kustom yang sama. Ini membantu mengurangi pengelolaan beberapa konfigurasi perangkat dan mempermudah penugasan.

Cuplikan layar konfigurasi OMA-URI.