Garis besar keamanan HoloLens 2
Penting
Beberapa kebijakan yang digunakan dalam garis besar keamanan ini diperkenalkan dalam build Insider terbaru kami. Kebijakan ini hanya akan berfungsi pada perangkat yang diperbarui ke build Insider terbaru.
Artikel ini mencantumkan dan menjelaskan berbagai pengaturan garis besar keamanan yang dapat Anda konfigurasikan di HoloLens 2 menggunakan Penyedia Layanan Konfigurasi (CSP). Sebagai bagian dari manajemen perangkat seluler Anda menggunakan Microsoft Endpoint Manager (secara resmi dikenal sebagai Microsoft Intune), gunakan pengaturan garis besar keamanan standar atau tingkat lanjut berikut tergantung pada kebijakan dan kebutuhan organisasi Anda. Gunakan pengaturan garis besar keamanan ini untuk membantu melindungi sumber daya organisasi Anda.
- Pengaturan garis besar keamanan standar berlaku untuk semua jenis pengguna terlepas dari skenario kasus penggunaan dan vertikal industri.
- Pengaturan garis besar keamanan tingkat lanjut adalah pengaturan yang direkomendasikan untuk pengguna yang memiliki kontrol keamanan yang ketat terhadap lingkungan mereka, dan memerlukan kebijakan keamanan yang ketat untuk perangkat yang digunakan di lingkungan mereka.
Pengaturan garis besar keamanan ini didasarkan pada panduan dan pengalaman praktik terbaik Microsoft yang diperoleh dalam menyebarkan dan mendukung perangkat HoloLens 2 kepada pelanggan di berbagai industri.
Setelah Anda meninjau garis besar keamanan dan memutuskan untuk menggunakan salah satu, keduanya, atau bagian, lalu lihat cara mengaktifkan garis dasar keamanan ini
Bagian berikut menjelaskan pengaturan yang direkomendasikan dari setiap CSP sebagai bagian dari profil garis besar keamanan standar.
Nama Kebijakan |
Nilai |
Deskripsi |
---|---|---|
Akun |
||
Accounts/AllowMicrosoftAccountConnection | 0 – Tidak Diizinkan | Batasi pengguna untuk menggunakan akun MSA untuk autentikasi dan layanan koneksi terkait non-email. |
Manajemen Aplikasi |
||
ApplicationManagement/AllowAllTrustedApps | 0 - Penolakan eksplisit | Tolak aplikasi non Microsoft Store secara eksplisit. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Diizinkan | Izinkan pembaruan otomatis aplikasi dari Microsoft Store. |
ApplicationManagement/AllowDeveloperUnlock | 0 - Penolakan eksplisit | Batasi pengguna untuk membuka kunci mode pengembang, yang memungkinkan pengguna menginstal aplikasi di perangkat dari IDE. |
Browser |
||
Browser/AllowCookies |
1 - Blokir hanya cookie dari situs web pihak ketiga | Dengan kebijakan ini, Anda dapat mengonfigurasi Microsoft Edge untuk memblokir cookie pihak ke-3 saja atau memblokir semua cookie. |
Browser/AllowPasswordManager | 0 – Tidak diperbolehkan | Larang Microsoft Edge untuk menggunakan pengelola kata sandi. |
Browser/AllowSmartScreen | 1 – Diaktifkan | Mengaktifkan Windows Defender SmartScreen dan mencegah pengguna mematikannya. |
Konektivitas |
||
Connectivity/AllowUSBConnection | 0 – Tidak diperbolehkan | Menonaktifkan koneksi USB antara perangkat dan komputer untuk menyinkronkan file dengan perangkat atau menggunakan alat pengembang untuk menyebarkan atau men-debug aplikasi. |
Kunci Perangkat |
||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – Tidak diperbolehkan | Larang pengembalian dari menganggur tanpa PIN atau kata sandi. |
DeviceLock/AllowSimpleDevicePassword | 0 – Diblokir | Blokir VPN atau kata sandi seperti "1111" atau "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 1 – Kata Sandi atau PIN Numerik diperlukan | Memerlukan kata sandi atau PIN alfanumerik. |
DeviceLock/DevicePasswordEnabled | 0 – Diaktifkan | Kunci perangkat diaktifkan. |
DeviceLock/MaxInactivityTimeDeviceLock | Bilangan bulat X di mana nilai 0 < X < 999 Direkomendasikan: 3 | Menentukan jumlah waktu maksimum (dalam menit) yang diizinkan setelah perangkat menganggur yang akan menyebabkan perangkat menjadi PIN atau kata sandi terkunci. |
DeviceLock/MinDevicePasswordComplexCharacters | 1 - Digit saja | Jumlah jenis elemen kompleks (huruf besar dan kecil, angka, dan tanda baca) yang diperlukan untuk PIN atau kata sandi yang kuat. |
DeviceLock/MinDevicePasswordLength | Bilangan bulat X di mana 4 < X < 16 untuk perangkat klienNilai yang direkommen: 8 | Menentukan jumlah minimum atau karakter yang diperlukan dalam PIN atau kata sandi. |
Pendaftaran MDM |
||
Experience/AllowManualMDMUnenrollment | 0 – Tidak diperbolehkan | Larang pengguna untuk menghapus akun tempat kerja menggunakan panel kontrol tempat kerja. |
Identitas |
||
MixedReality/AADGroupMembershipCacheValidityInDays | Jumlah hari cache menjadi nilai validRecommended: 7 hari | Jumlah hari cache keanggotaan grup Microsoft Entra harus valid. |
Power | ||
Power/DisplayOffTimeoutPluggedIn | Waktu menganggur dalam jumlah nilai detikRecommended: 60 detik | Memungkinkan Anda menentukan periode tidak aktif sebelum Windows mematikan tampilan. |
Pengaturan |
||
Pengaturan / AllowVPN | 0 – Tidak diperbolehkan | Larang pengguna untuk mengubah setelan VPN. |
Pengaturan/PageVisibilityList | Nama singkat halaman yang terlihat oleh pengguna. Akan menyediakan UI untuk memilih atau membatalkan pilihan nama halaman. Lihat komentar untuk halaman yang direkomendasikan untuk disembunyikan. | Izinkan hanya halaman yang tercantum untuk ditampilkan kepada pengguna di aplikasi Pengaturan. |
Sistem |
||
System/AllowStorageCard | 0 – Tidak diperbolehkan | Penggunaan kartu SD tidak diizinkan dan drive USB dinonaktifkan. Pengaturan ini tidak mencegah akses terprogram ke kartu penyimpanan. |
Pembaruan |
||
Memperbarui/AllowUpdateService | 1 – Diizinkan | Izinkan akses ke Microsoft Update, Windows Server Update Services (WSUS), atau Microsoft Store. |
Memperbarui/MengelolaPreviewBuilds | 0 - Menonaktifkan build Pratinjau | Larang build pratinjau untuk diinstal pada perangkat. |
Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik tetapi tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini.
Nama Simpul |
Nilai |
Deskripsi |
---|---|---|
ID Penyewa | |
Pengidentifikasi unik global (GUID), tanpa kurung kurawal ( { , } ), yang digunakan sebagai bagian dari penyediaan dan manajemen Windows Hello untuk Bisnis. |
TenantId/Policies/UsePassportForWork | Benar | Mengatur Windows Hello untuk Bisnis sebagai metode untuk masuk ke Windows. |
TenantId/Policies/RequireSecurityDevice | Benar | Memerlukan Modul Platform Tepercaya (TPM) untuk Windows Hello untuk Bisnis. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Palsu | Modul revisi TPM 1.2 diizinkan untuk digunakan dengan Windows Hello untuk Bisnis. |
TenantId/Policies/EnablePinRecovery | Palsu | Rahasia pemulihan PIN tidak dibuat atau disimpan. |
TenantId/Policies/UseCertificateForOnPremAuth | Palsu | PIN disediakan saat pengguna masuk, tanpa menunggu payload sertifikat. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Panjang PIN harus lebih besar dari atau sama dengan angka ini. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Panjang PIN harus kurang dari atau sama dengan angka ini. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Tidak mengizinkan penggunaan karakter khusus dalam PIN. |
TenantId/Policies/PINComplexity/Digits | 0 | Memungkinkan penggunaan digit dalam PIN. |
TenantId/Policies/PINComplexity/History | 10 | Jumlah VPN sebelumnya yang dapat dikaitkan dengan akun pengguna yang tidak dapat digunakan kembali. |
TenantId/Policies/PINComplexity/Expiration | 90 | Periode waktu (dalam hari) bahwa PIN dapat digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Palsu | Aplikasi tidak menggunakan sertifikat Windows Hello untuk Bisnis sebagai sertifikat kartu pintar, dan faktor biometrik tersedia ketika pengguna diminta untuk mengotorisasi penggunaan kunci privat sertifikat. |
Sebaiknya konfigurasikan simpul
Nama Simpul |
Nilai |
Deskripsi |
---|---|---|
RequireNetworkInOOBE | Benar | Ketika perangkat melewati OOBE pada saat masuk pertama atau setelah reset, pengguna diharuskan memilih jaringan sebelum melanjutkan. Tidak ada opsi "lewati untuk saat ini". Opsi ini memastikan bahwa perangkat tetap terikat ke penyewa jika terjadi reset atau penghapusan yang tidak disengaja atau disengaja. |
Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik, tetapi kami tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.
Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik, tetapi kami tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.
Bagian berikut menjelaskan pengaturan yang direkomendasikan dari setiap CSP sebagai bagian dari profil garis besar keamanan tingkat lanjut.
Nama Kebijakan |
Nilai |
Deskripsi |
---|---|---|
Akun |
||
Accounts/AllowMicrosoftAccountConnection | 0 – Tidak Diizinkan | Batasi pengguna untuk menggunakan akun MSA untuk autentikasi dan layanan koneksi terkait non-email. |
Manajemen Aplikasi |
||
ApplicationManagement/AllowAllTrustedApps | 0 - Penolakan eksplisit | Tolak aplikasi non-Microsoft Store secara eksplisit. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Diizinkan | Izinkan pembaruan otomatis aplikasi dari Microsoft Store. |
ApplicationManagement/AllowDeveloperUnlock | 0 - Penolakan eksplisit | Batasi pengguna untuk membuka kunci mode pengembang, yang memungkinkan pengguna menginstal aplikasi di perangkat dari IDE. |
Autentikasi |
||
Authentication/AllowFastReconnect | 0 – Tidak diperbolehkan | Larang EAP Fast Reconnect dicoba untuk metode EAP TLS. |
Bluetooth | ||
Bluetooth/AllowDiscoverableMode | 0 – Tidak diperbolehkan | Perangkat lain tidak akan dapat mendeteksi perangkat ini. |
Browser |
||
Browser/AllowAutofill | 0 – Dicegah/tidak diizinkan | Cegah pengguna menggunakan fitur Isi Otomatis untuk mengisi bidang formulir di Microsoft Edge secara otomatis. |
Browser/AllowCookies |
1 - Blokir hanya cookie dari situs web pihak ketiga | Blokir hanya cookie dari situs web pihak ketiga. |
Browser/AllowDoNotTrack | 0 - Jangan pernah mengirim informasi pelacakan | Jangan pernah mengirim informasi pelacakan. |
Browser/AllowPasswordManager | 0 – Tidak diperbolehkan | Larang Microsoft Edge untuk menggunakan pengelola kata sandi. |
Browser/AllowPopups | 1 – Aktifkan Pemblokir Pop-up | Aktifkan Pemblokir Pop-up yang menghentikan jendela pop-up dibuka. |
Browser/AllowSearchSuggestionsinAddressBar | 0 – Dicegah/tidak diizinkan | Sembunyikan saran pencarian di bilah Alamat Microsoft Edge. |
Browser/AllowSmartScreen | 1 – Diaktifkan | Mengaktifkan Windows Defender SmartScreen dan mencegah pengguna mematikannya. |
Konektivitas |
||
Connectivity/AllowBluetooth | 0 – Larang Bluetooth | Panel kontrol bluetooth berwarna abu-abu dan pengguna tidak akan dapat menyalakan Bluetooth. |
Connectivity/AllowUSBConnection | 0 – Tidak diperbolehkan | Menonaktifkan koneksi USB antara perangkat dan komputer untuk menyinkronkan file dengan perangkat atau menggunakan alat pengembang untuk menyebarkan atau men-debug aplikasi. |
Kunci Perangkat |
||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – Tidak diperbolehkan | Larang pengembalian dari menganggur tanpa PIN atau kata sandi. |
DeviceLock/AllowSimpleDevicePassword | 0 – Diblokir | Blokir VPN atau kata sandi seperti "1111" atau "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 0 – Kata sandi atau PIN Alfanumerik diperlukan | Memerlukan kata sandi atau PIN alfanumerik. |
DeviceLock/DevicePasswordEnabled | 0 – Diaktifkan | Kunci perangkat diaktifkan. |
DeviceLock/DevicePasswordHistory | Bilangan bulat X dengan nilai 0 < X < 50Recommended: 15 | Menentukan berapa banyak kata sandi yang dapat disimpan dalam riwayat yang tidak dapat digunakan. |
DeviceLock/MaxDevicePasswordFailedAttempts | Bilangan bulat X di mana 4 < X < 16 untuk perangkat klienNilai yang direkommen: 10 | Jumlah kegagalan autentikasi yang diizinkan sebelum perangkat akan dihapus. |
DeviceLock/MaxInactivityTimeDeviceLock | Bilangan bulat X di mana nilai 0 < X < 999 Direkomendasikan: 3 | Menentukan jumlah waktu maksimum (dalam menit) yang diizinkan setelah perangkat menganggur yang akan menyebabkan perangkat menjadi PIN atau kata sandi terkunci. |
DeviceLock/MinDevicePasswordComplexCharacters | 3 - Digit, huruf kecil, dan huruf besar diperlukan | Jumlah jenis elemen kompleks (huruf besar dan kecil, angka, dan tanda baca) yang diperlukan untuk PIN atau kata sandi yang kuat. |
DeviceLock/MinDevicePasswordLength | Bilangan bulat X di mana 4 < X < 16 untuk perangkat klienNilai yang direkommen: 12 | Menentukan jumlah minimum atau karakter yang diperlukan dalam PIN atau kata sandi. |
Pendaftaran MDM |
||
Experience/AllowManualMDMUnenrollment | 0 – Tidak diperbolehkan | Larang pengguna untuk menghapus akun tempat kerja menggunakan panel kontrol tempat kerja. |
Identitas |
||
MixedReality/AADGroupMembershipCacheValidityInDays | Jumlah hari cache menjadi nilai validRecommended: 7 hari | Jumlah hari cache keanggotaan grup Microsoft Entra harus valid. |
Power | ||
Power/DisplayOffTimeoutPluggedIn | Waktu menganggur dalam jumlah nilai detikRecommended: 60 detik | Memungkinkan Anda menentukan periode tidak aktif sebelum Windows mematikan tampilan. |
Privasi |
||
Privasi/LetAppsAccess |
2 - Tolak paksa | Menolak akses aplikasi Windows ke informasi akun. |
Privasi/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari aplikasi Windows | Aplikasi Windows yang terdaftar diizinkan mengakses informasi akun. |
Privasi/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari aplikasi Windows | Aplikasi Windows yang terdaftar ditolak aksesnya ke informasi akun. |
Privasi/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari aplikasi Windows | Pengguna dapat mengontrol pengaturan privasi informasi akun untuk aplikasi Windows yang tercantum. |
Privasi/LetAppsAccess BackgroundSpatialPerception |
2 - Tolak paksa | Tolak akses aplikasi Windows ke pergerakan kepala, tangan, pengontrol gerakan pengguna, dan objek terlacak lainnya, saat aplikasi berjalan di latar belakang. |
Privasi/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Bursa Windows | Aplikasi terdaftar diizinkan mengakses pergerakan pengguna saat aplikasi berjalan di latar belakang. |
Privasi/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Bursa Windows | Aplikasi yang tercantum ditolak akses ke pergerakan pengguna saat aplikasi berjalan di latar belakang. |
Privasi/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Bursa Windows | Pengguna dapat mengontrol pengaturan privasi pergerakan pengguna untuk aplikasi yang tercantum. |
Privasi/LetAppsAccess Microphone_ForceDenyTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Microsoft Store | Aplikasi yang tercantum ditolak aksesnya ke mikrofon. |
Privasi/LetAppsAccess Microphone_UserInControlOfTheseApps |
Daftar Nama Keluarga Paket berbatas titik koma dari Aplikasi Microsoft Store | Pengguna dapat mengontrol pengaturan privasi mikrofon untuk aplikasi yang tercantum. |
Pencarian |
||
Search/AllowSearchToUseLocation | 0 – Tidak diperbolehkan | Larang pencarian untuk menggunakan informasi lokasi. |
Keamanan |
||
Security/AllowAddProvisioningPackage | 0 – Tidak diperbolehkan | Larang agen konfigurasi runtime untuk menginstal paket provisi. |
Pengaturan |
||
Pengaturan / AllowVPN | 0 – Tidak diperbolehkan | Larang pengguna untuk mengubah setelan VPN. |
Pengaturan/PageVisibilityList | Nama singkat halaman yang terlihat oleh penggunaAkan menyediakan UI untuk memilih atau membatalkan pilihan nama halaman. Lihat komentar untuk halaman yang direkomendasikan untuk disembunyikan. | Izinkan hanya halaman yang tercantum untuk ditampilkan kepada pengguna di aplikasi Pengaturan. |
Sistem |
||
System/AllowStorageCard | 0 – Tidak diperbolehkan | Penggunaan kartu SD tidak diizinkan dan drive USB dinonaktifkan. Pengaturan ini tidak mencegah akses terprogram ke kartu penyimpanan. |
Sistem/AllowTelemetry | 0 - Tidak diperbolehkan | Larang perangkat untuk mengirim data telemetri diagnostik dan penggunaan, seperti Watson. |
Pembaruan |
||
Memperbarui/AllowUpdateService | 1 – Diizinkan | Izinkan akses ke Microsoft Update, Windows Server Update Services (WSUS), atau Microsoft Store. |
Memperbarui/MengelolaPreviewBuilds | 0 - Menonaktifkan build Pratinjau | Larang build pratinjau untuk diinstal pada perangkat. |
Wi-Fi |
||
Wifi/AllowManualWiFiConfiguration | 0 – Tidak diperbolehkan | Larang menyambungkan ke Wi-Fi di luar jaringan yang diinstal server MDM. |
Nama Simpul |
Nilai |
Deskripsi |
---|---|---|
UserProfileManagement/EnableProfileManager | Benar | Aktifkan manajemen seumur hidup profil untuk skenario perangkat bersama atau komunal. |
UserProfileManagement/DeletionPolicy | 2 - hapus pada ambang batas kapasitas penyimpanan dan ambang batas tidak aktif profil | Mengonfigurasi kapan profil akan dihapus. |
UserProfileManagement/StorageCapacityStartDeletion | 25% | Mulai hapus profil saat kapasitas penyimpanan yang tersedia berada di bawah ambang batas ini, yang diberikan sebagai persentase total penyimpanan yang tersedia untuk profil. Profil yang tidak aktif paling lama akan dihapus terlebih dahulu. |
UserProfileManagement/StorageCapacityStopDeletion | 50% | Berhenti menghapus profil ketika kapasitas penyimpanan yang tersedia dimunculkan ke ambang batas ini, yang diberikan sebagai persentase total penyimpanan yang tersedia untuk profil. |
UserProfileManagement/ProfileInactivityThreshold | 30 | Mulai hapus profil saat belum masuk selama periode yang ditentukan, yang diberikan sebagai jumlah hari. |
Nama Simpul |
Nilai |
Deskripsi |
---|---|---|
GUID Kebijakan/Kebijakan | ID Kebijakan |
ID kebijakan dalam blob kebijakan. |
Kebijakan/Kebijakan GUID/Policy | blob Kebijakan |
Blob biner kebijakan dikodekan dalam base64. |
Sebaiknya konfigurasikan CSP ini sebagai praktik terbaik tetapi tidak memiliki rekomendasi untuk nilai tertentu untuk setiap simpul dalam CSP ini.
Nama Simpul |
Nilai |
Deskripsi |
---|---|---|
ID Penyewa | |
Pengidentifikasi unik global (GUID), tanpa kurung kurawal ( { , } ), yang digunakan sebagai bagian dari penyediaan dan manajemen Windows Hello untuk Bisnis. |
TenantId/Policies/UsePassportForWork | Benar | Mengatur Windows Hello untuk Bisnis sebagai metode untuk masuk ke Windows. |
TenantId/Policies/RequireSecurityDevice | Benar | Memerlukan Modul Platform Tepercaya (TPM) untuk Windows Hello untuk Bisnis. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Palsu | Modul revisi TPM 1.2 diizinkan untuk digunakan dengan Windows Hello untuk Bisnis. |
TenantId/Policies/EnablePinRecovery | Palsu | Rahasia pemulihan PIN tidak akan dibuat atau disimpan. |
TenantId/Policies/UseCertificateForOnPremAuth | Palsu | PIN disediakan saat pengguna masuk, tanpa menunggu payload sertifikat. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Panjang PIN harus lebih besar dari atau sama dengan angka ini. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Panjang PIN harus kurang dari atau sama dengan angka ini. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Digit diperlukan dan semua set karakter lainnya tidak diperbolehkan. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Tidak mengizinkan penggunaan karakter khusus dalam PIN. |
TenantId/Policies/PINComplexity/Digits | 0 | Memungkinkan penggunaan digit dalam PIN. |
TenantId/Policies/PINComplexity/History | 10 | Jumlah VPN sebelumnya yang dapat dikaitkan dengan akun pengguna yang tidak dapat digunakan kembali. |
TenantId/Policies/PINComplexity/Expiration | 90 | Periode waktu (dalam hari) bahwa PIN dapat digunakan sebelum sistem mengharuskan pengguna untuk mengubahnya. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Palsu | Aplikasi tidak menggunakan sertifikat Windows Hello untuk Bisnis sebagai sertifikat kartu pintar, dan faktor biometrik tersedia ketika pengguna diminta untuk mengotorisasi penggunaan kunci privat sertifikat. |
Sebaiknya konfigurasikan simpul Root, CA, TrustedPublisher, dan TrustedPeople dalam CSP ini sebagai praktik terbaik tetapi tidak merekomendasikan nilai tertentu untuk setiap simpul dalam CSP ini.
Nama Simpul |
Nilai |
Deskripsi |
---|---|---|
RequireNetworkInOOBE | Benar | Ketika perangkat melewati OOBE pada saat pertama masuk atau setelah reset, pengguna diharuskan memilih jaringan sebelum melanjutkan. Tidak ada opsi "lewati untuk saat ini". Ini memastikan bahwa perangkat tetap terikat ke penyewa jika terjadi reset atau penghapusan yang tidak disengaja atau disengaja. |
2.8 VPNv2 CSP
Sebaiknya konfigurasikan profil VPN sebagai praktik terbaik tetapi tidak merekomendasikan nilai tertentu untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.
Sebaiknya konfigurasikan profil WiFi sebagai praktik terbaik tetapi tidak merekomendasikan nilai khusus untuk setiap simpul dalam CSP ini. Sebagian besar pengaturan terkait dengan lingkungan pelanggan.
- Tinjau garis besar keamanan, dan putuskan apa yang akan diterapkan.
- Tentukan Grup Azure yang akan Anda tetapkan garis besarnya. (Lainnya tentang pengguna dan grup)
- Buat garis besar.
Berikut cara membuat garis besar.
Banyak pengaturan dapat ditambahkan dengan menggunakan katalog Pengaturan, namun terkadang mungkin ada pengaturan yang belum diisi ke katalog Pengaturan. Dalam kasus tersebut, Anda akan menggunakan kebijakan Kustom, atau OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Mulailah dengan melihat katalog Pengaturan, dan jika tidak ditemukan, ikuti petunjuk di bawah ini untuk membuat kebijakan kustom melalui OMA-URI.
Masuk ke akun Anda di pusat admin MEM .
- Navigasi ke Perangkat
- profil Konfigurasi - +Buat profil . Untuk Platform, pilih Windows 10 dan yang lebih baru, dan untuk jenis profil pilih Pengaturan katalog (pratinjau). - Buat nama untuk profil, dan pilih tombol Berikutnya.
- Pada layar Pengaturan konfigurasi, pilih + Tambahkan pengaturan.
Dengan menggunakan nama kebijakan dari garis besar di atas, Anda dapat mencari kebijakan. Katalog pengaturan akan memberi spasi nama, jadi untuk menemukan "Akun/AllowMicrosoftAccountConnection" Anda harus mencari "Izinkan Koneksi Akun Microsoft". Setelah mencari, Anda akan melihat daftar kebijakan yang dikurangi hanya menjadi CSP yang memiliki kebijakan ini. Pilih Akun (atau CSP yang relevan dengan apa yang Anda cari saat ini), setelah Anda melihat hasil kebijakan di bawah ini. Centang kotak untuk kebijakan tersebut.
Setelah selesai, panel di sebelah kiri akan menambahkan kategori CSP, dan pengaturan yang Anda tambahkan. Dari sini Anda dapat mengonfigurasinya dari pengaturan default, ke satu pengaturan yang lebih aman.
Anda dapat terus menambahkan beberapa konfigurasi ke profil yang sama, yang akan mempermudah penetapan sekaligus.
Beberapa kebijakan mungkin belum tersedia di katalog Pengaturan. Untuk kebijakan ini, Anda harus membuat profil OMA-URI kustom. Masuk ke akun Anda di pusat admin MEM .
- Navigasi ke Perangkat
- profil Konfigurasi Templat- +Buat profil . Untuk Platform, pilihWindows 10 dan yang lebih baru , dan untuk jenis profil pilihdan pilih Kustom . - Buat nama untuk profil, dan pilih tombol Berikutnya.
- Pilih tombol Tambahkan.
Anda harus mengisi beberapa bidang.
- Nama, Anda dapat menamainya apa pun yang Anda butuhkan terkait dengan kebijakan. Ini bisa menjadi nama singkat yang Anda gunakan untuk mengenalinya.
- Deskripsi akan menjadi detail lebih lanjut yang mungkin Anda butuhkan.
- OMA-URI akan menjadi string OMA-URI lengkap tempat kebijakan berada. Contoh:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- Jenis data adalah jenis nilai yang diterima kebijakan ini. Untuk contoh ini adalah angka antara 0 dan 60, sehingga Bilangan bulat dipilih.
- Setelah memilih jenis data, Anda akan dapat menulis, atau mengunggah, nilai yang diperlukan ke bidang .
Setelah selesai, kebijakan Anda ditambahkan ke jendela utama. Anda dapat terus menambahkan semua kebijakan kustom Anda ke konfigurasi kustom yang sama. Ini membantu mengurangi pengelolaan beberapa konfigurasi perangkat dan mempermudah penugasan.