Baseline di sicurezza di HoloLens 2
Importante
Alcuni dei criteri usati in questa baseline di sicurezza sono introdotti nell'ultima build Insider. Questi criteri funzioneranno solo sui dispositivi aggiornati alla build più recente di Insider.
Questo articolo elenca e descrive le varie impostazioni della baseline di sicurezza che è possibile configurare in HoloLens 2 usando i provider di servizi di configurazione (CSP). Nell'ambito della gestione dei dispositivi mobili con Microsoft Endpoint Manager (formalmente noto come Microsoft Intune), usare le impostazioni standard o avanzate della baseline di sicurezza seguenti a seconda dei criteri e delle esigenze dell'organizzazione. Usare queste impostazioni della baseline di sicurezza per proteggere le risorse dell'organizzazione.
- Le impostazioni della baseline di sicurezza standard sono applicabili a tutti i tipi di utenti indipendentemente dallo scenario del caso d'uso e dal settore verticale.
- Le impostazioni avanzate della baseline di sicurezza sono impostazioni consigliate per gli utenti che hanno controlli di sicurezza rigorosi del proprio ambiente e richiedono criteri di sicurezza rigorosi per i dispositivi usati nel proprio ambiente.
Queste impostazioni della baseline di sicurezza sono basate sulle linee guida e sull'esperienza consigliate di Microsoft acquisite per la distribuzione e il supporto di dispositivi HoloLens 2 ai clienti in diversi settori.
Dopo aver esaminato la baseline di sicurezza e aver deciso di usare quella, entrambe o le parti, vedere come abilitare queste linee di base di sicurezza
1. Impostazioni della baseline di sicurezza standard
Le sezioni seguenti descrivono le impostazioni consigliate di ogni provider di servizi di configurazione come parte del profilo della baseline di sicurezza standard.
1.1 criteri CSP
| nome criterio | valore | Descrizione |
|---|---|---|
| account |
||
| account /AllowMicrosoftAccountConnection | 0 – Non consentito | Limitare l'utente all'uso di un account del servizio gestito per l'autenticazione e i servizi di connessione non correlati alla posta elettronica. |
| di gestione delle applicazioni | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Negazione esplicita | Negare in modo esplicito le app non di Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Consentito | Consenti l'aggiornamento automatico delle app da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Negazione esplicita | Limitare l'utente a sbloccare la modalità sviluppatore, che consente all'utente di installare le app nel dispositivo da un IDE. |
| Browser | ||
| Browser/AllowCookies | 1 – Blocca solo i cookie da siti Web di terze parti | Con questo criterio, è possibile configurare Microsoft Edge per bloccare solo i cookie di terze parti o bloccare tutti i cookie. |
| Browser/AllowPasswordManager | 0 – Non consentito | Non consentire a Microsoft Edge di usare il gestore delle password. |
| Browser/AllowSmartScreen | 1 – Attivato | Attiva Windows Defender SmartScreen e impedisce agli utenti di disattivarla. |
| connettività | ||
| connectivity/AllowUSBConnection | 0 – Non consentito | Disabilita la connessione USB tra il dispositivo e un computer per sincronizzare i file con il dispositivo o per usare gli strumenti di sviluppo per distribuire o eseguire il debug delle applicazioni. |
| blocco del dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Non consentito | Non consentire la restituzione da inattiva senza PIN o password. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloccato | Bloccare PIN o password, ad esempio "1111" o "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 - Password o PIN numerico obbligatorio | Richiedi pin alfanumerico o password. |
| DeviceLock/DevicePasswordEnabled | 0 - Abilitato | Il blocco del dispositivo è abilitato. |
| DeviceLock/MaxInactivityTimeDeviceLock | Intero X in cui 0 < X < 999 Valore consigliato: 3 | Specifica la quantità massima di tempo (in minuti) consentita dopo che il dispositivo è inattiva che causerà il blocco del PIN o della password del dispositivo. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Solo cifre | Numero di tipi di elemento complessi (lettere maiuscole e minuscole, numeri e punteggiatura) necessari per un PIN o una password complessa. |
| DeviceLock/MinDevicePasswordLength | Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 8 | Specifica il numero o i caratteri minimi richiesti nel PIN o nella password. |
| di registrazione MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 – Non consentito | Non consentire all'utente di eliminare l'account aziendale usando il pannello di controllo dell'area di lavoro. |
| identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Numero di giorni in cui la cache deve essere validaValore consigliato: 7 giorni | Numero di giorni in cui deve essere valida la cache di appartenenza al gruppo Microsoft Entra. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo di inattività in numero di secondiRecommended values: 60 secs | Consente di specificare il periodo di inattività prima che Windows spegni la visualizzazione. |
| Impostazioni | ||
| Impostazioni/AllowVPN | 0 – Non consentito | Non consentire all'utente di modificare le impostazioni VPN. |
| Impostazioni/PageVisibilityList | Nome abbreviato delle pagine visibili all'utente. Fornirà un'interfaccia utente per selezionare o deselezionare i nomi delle pagine. Vedere i commenti per le pagine consigliate da nascondere. | Consente di visualizzare solo le pagine elencate all'utente nell'app Impostazioni. |
| system | ||
| system/AllowStorageCard | 0 – Non consentito | L'uso della scheda SD non è consentito e le unità USB sono disabilitate. Questa impostazione non impedisce l'accesso a livello di codice alla scheda di archiviazione. |
| aggiornamenti di |
||
| Update/AllowUpdateService | 1 – Consentito | Consentire l'accesso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Disabilitare le build di anteprima | Non consentire l'installazione delle build di anteprima nel dispositivo. |
1.2 ClientCertificateInstallare CSP
È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP.
1.3 PassportForWork CSP
| nome nodo |
valore | Descrizione |
|---|---|---|
| Tenant ID | TenantId | Identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione di Windows Hello for Business. |
| TenantId/Policies/UsePassportForWork | Vero | Imposta Windows Hello for Business come metodo per l'accesso a Windows. |
| TenantId/Policies/RequireSecurityDevice | Vero | Richiede un modulo TPM (Trusted Platform Module) per Windows Hello for Business. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | I moduli della revisione 1.2 di TPM possono essere usati con Windows Hello for Business. |
| TenantId/Policies/EnablePinRecovery | Falso | Il segreto di ripristino PIN non viene creato o archiviato. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | Viene effettuato il provisioning del PIN quando l'utente esegue l'accesso, senza attendere un payload del certificato. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La lunghezza del PIN deve essere maggiore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La lunghezza del PIN deve essere minore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Non consente l'uso di caratteri speciali nel PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Consente l'uso di cifre nel PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Numero di PIN passati che possono essere associati a un account utente che non possono essere riutilizzati. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periodo di tempo (in giorni) che un PIN può essere usato prima che il sistema richieda all'utente di modificarlo. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Le applicazioni non usano i certificati di Windows Hello for Business come certificati smart card e i fattori biometrici sono disponibili quando viene chiesto a un utente di autorizzare l'uso della chiave privata del certificato. |
1.4 CSP RootCATrustedCertificates
È consigliabile configurare nodi Radice, CA, TrustedPublisher e TrustedPeople in questo CSP come procedura consigliata, ma non è consigliabile usare valori specifici per ogni nodo in questo CSP.
1.5 CSP TenantLockdown
| nome nodo |
valore | Descrizione |
|---|---|---|
| RequireNetworkInOOBE | Vero | Quando il dispositivo passa attraverso la Configurazione guidata al primo accesso o dopo una reimpostazione, l'utente deve scegliere una rete prima di procedere. Non esiste un'opzione "ignora per il momento". Questa opzione garantisce che il dispositivo rimanga associato al tenant in caso di reimpostazioni o cancellazione accidentali o intenzionali. |
1.6 CSP VPNv2
È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
1.7 CSP WiFi
È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
2 Impostazioni avanzate della baseline di sicurezza
Le sezioni seguenti descrivono le impostazioni consigliate di ogni provider di servizi di configurazione come parte del profilo della baseline di sicurezza avanzata.
2.1 criteri CSP
| nome criterio | valore | Descrizione |
|---|---|---|
| account |
||
| account /AllowMicrosoftAccountConnection | 0 – Non consentito | Limitare l'utente all'uso di un account del servizio gestito per l'autenticazione e i servizi di connessione non correlati alla posta elettronica. |
| di gestione delle applicazioni | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Negazione esplicita | Negare in modo esplicito le app non di Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Consentito | Consenti l'aggiornamento automatico delle app da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Negazione esplicita | Limitare l'utente a sbloccare la modalità sviluppatore, che consente all'utente di installare le app nel dispositivo da un IDE. |
| di autenticazione di |
||
| autenticazione /AllowFastReconnect | 0 – Non consentito | Non consentire la riconnessione rapida EAP per il metodo EAP TLS. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – Non consentito | Altri dispositivi non saranno in grado di rilevare questo dispositivo. |
| Browser | ||
| Browser/AllowAutofill | 0 – Impedito/non consentito | Impedire agli utenti di usare la funzionalità riempimento automatico per popolare automaticamente i campi del modulo in Microsoft Edge. |
| Browser/AllowCookies | 1 – Blocca solo i cookie da siti Web di terze parti | Blocca solo i cookie da siti Web di terze parti. |
| Browser/AllowDoNotTrack | 0 - Non inviare mai informazioni di rilevamento | Non inviare mai informazioni di rilevamento. |
| Browser/AllowPasswordManager | 0 – Non consentito | Non consentire a Microsoft Edge di usare il gestore delle password. |
| Browser/AllowPopups | 1 – Attiva blocco popup | Attivare Blocco popup che impedisce l'apertura delle finestre popup. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Impedito/non consentito | Nascondere i suggerimenti di ricerca nella barra degli indirizzi di Microsoft Edge. |
| Browser/AllowSmartScreen | 1 – Attivato | Attiva Windows Defender SmartScreen e impedisce agli utenti di disattivarla. |
| connettività | ||
| connettività/AllowBluetooth | 0 - Non consentire il Bluetooth | Il pannello di controllo Bluetooth è disattivato e l'utente non sarà in grado di attivare Bluetooth. |
| connectivity/AllowUSBConnection | 0 – Non consentito | Disabilita la connessione USB tra il dispositivo e un computer per sincronizzare i file con il dispositivo o per usare gli strumenti di sviluppo per distribuire o eseguire il debug delle applicazioni. |
| blocco del dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Non consentito | Non consentire la restituzione da inattiva senza PIN o password. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloccato | Bloccare PIN o password, ad esempio "1111" o "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0- Password o PIN alfanumerico obbligatorio | Richiedi pin alfanumerico o password. |
| DeviceLock/DevicePasswordEnabled | 0 - Abilitato | Il blocco del dispositivo è abilitato. |
| DeviceLock/DevicePasswordHistory | Intero X in cui 0 < X < valore 50Recommended: 15 | Specifica il numero di password che possono essere archiviate nella cronologia che non possono essere usate. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 10 | Numero di errori di autenticazione consentiti prima che il dispositivo venga cancellato. |
| DeviceLock/MaxInactivityTimeDeviceLock | Intero X in cui 0 < X < 999 Valore consigliato: 3 | Specifica la quantità massima di tempo (in minuti) consentita dopo che il dispositivo è inattiva che causerà il blocco del PIN o della password del dispositivo. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Sono necessarie cifre, lettere minuscole e lettere maiuscole | Numero di tipi di elemento complessi (lettere maiuscole e minuscole, numeri e punteggiatura) necessari per un PIN o una password complessa. |
| DeviceLock/MinDevicePasswordLength | Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 12 | Specifica il numero o i caratteri minimi richiesti nel PIN o nella password. |
| di registrazione MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 – Non consentito | Non consentire all'utente di eliminare l'account aziendale usando il pannello di controllo dell'area di lavoro. |
| identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Numero di giorni in cui la cache deve essere validaValore consigliato: 7 giorni | Numero di giorni in cui deve essere valida la cache di appartenenza al gruppo Microsoft Entra. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo di inattività in numero di secondiRecommended values: 60 secs | Consente di specificare il periodo di inattività prima che Windows spegni la visualizzazione. |
| privacy | ||
| Privacy/LetAppsAccess AccountInfo |
2 - Forza nega | Nega l'accesso alle app di Windows alle informazioni sull'account. |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows | Le app di Windows elencate sono autorizzate ad accedere alle informazioni sull'account. |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows | Le app di Windows elencate vengono negate l'accesso alle informazioni sull'account. |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows | L'utente è in grado di controllare l'impostazione di privacy delle informazioni sull'account per le app di Windows elencate. |
| Privacy/LetAppsAccess backgroundSpatialPerception |
2 - Forza nega | Negare alle app di Windows l'accesso allo spostamento della testa, delle mani, dei controller del movimento e di altri oggetti rilevati, mentre le app sono in esecuzione in background. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store | Le app elencate sono autorizzate ad accedere agli spostamenti dell'utente mentre le app sono in esecuzione in background. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store | Le app elencate vengono negate l'accesso agli spostamenti dell'utente mentre le app sono in esecuzione in background. |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store | L'utente è in grado di controllare l'impostazione di privacy degli spostamenti utente per le app elencate. |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Microsoft Store | Le app elencate vengono negate l'accesso al microfono. |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Microsoft Store | L'utente è in grado di controllare l'impostazione della privacy del microfono per le app elencate. |
| ricerca | ||
| Search/AllowSearchToUseLocation | 0 – Non consentito | Non consentire la ricerca per usare le informazioni sulla posizione. |
| security | ||
| Security/AllowAddProvisioningPackage | 0 – Non consentito | Non consentire all'agente di configurazione di runtime di installare i pacchetti di provisioning. |
| Impostazioni | ||
| Impostazioni/AllowVPN | 0 – Non consentito | Non consentire all'utente di modificare le impostazioni VPN. |
| Impostazioni/PageVisibilityList | Il nome abbreviato delle pagine visibili all'utente Fornisce un'interfaccia utente per selezionare o deselezionare i nomi delle pagine. Vedere i commenti per le pagine consigliate da nascondere. | Consente di visualizzare solo le pagine elencate all'utente nell'app Impostazioni. |
| system | ||
| system/AllowStorageCard | 0 – Non consentito | L'uso della scheda SD non è consentito e le unità USB sono disabilitate. Questa impostazione non impedisce l'accesso a livello di codice alla scheda di archiviazione. |
| system/AllowTelemetry | 0 - Non consentito | Non consentire al dispositivo di inviare dati di telemetria di diagnostica e utilizzo, ad esempio Watson. |
| aggiornamenti di |
||
| Update/AllowUpdateService | 1 – Consentito | Consentire l'accesso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Disabilitare le build di anteprima | Non consentire l'installazione delle build di anteprima nel dispositivo. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – Non consentito | Non consentire la connessione a Wi-Fi all'esterno delle reti installate dal server MDM. |
2.2 CSP AccountManagement
| nome nodo |
valore | Descrizione |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Vero | Abilitare la gestione della durata del profilo per scenari di dispositivi condivisi o comuni. |
| UserProfileManagement/DeletionPolicy | 2 : eliminazione sia alla soglia di capacità di archiviazione che alla soglia di inattività del profilo | Configura quando i profili verranno eliminati. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Iniziare a eliminare i profili quando la capacità di archiviazione disponibile scende al di sotto di questa soglia, data come percentuale dello spazio di archiviazione totale disponibile per i profili. I profili che sono stati inattivi verranno eliminati per primi. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Interrompere l'eliminazione dei profili quando la capacità di archiviazione disponibile viene visualizzata fino a questa soglia, data la percentuale di spazio di archiviazione totale disponibile per i profili. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Iniziare a eliminare i profili quando non sono stati connessi durante il periodo specificato, dato come numero di giorni. |
2.3 CSP ApplicationControl
| nome nodo |
valore | Descrizione |
|---|---|---|
| CRITERI/GUID dei criteri | id criterio nel BLOB dei criteri | ID criterio nel BLOB dei criteri. |
| Criteri/ GUID dei criteri/Policy | BLOB dei criteri di |
BLOB binario dei criteri codificato in Base64. |
2.4 ClientCertificateInstallare CSP
È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP.
2.5 PassportForWork CSP
| nome nodo |
valore | Descrizione |
|---|---|---|
| Tenant ID | TenantId | Identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione di Windows Hello for Business. |
| TenantId/Policies/UsePassportForWork | Vero | Imposta Windows Hello for Business come metodo per l'accesso a Windows. |
| TenantId/Policies/RequireSecurityDevice | Vero | Richiede un modulo TPM (Trusted Platform Module) per Windows Hello for Business. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | I moduli della revisione 1.2 di TPM possono essere usati con Windows Hello for Business. |
| TenantId/Policies/EnablePinRecovery | Falso | Il segreto di ripristino PIN non verrà creato o archiviato. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | Viene effettuato il provisioning del PIN quando l'utente accede, senza attendere un payload del certificato. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La lunghezza del PIN deve essere maggiore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La lunghezza del PIN deve essere minore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Non consente l'uso di caratteri speciali nel PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Consente l'uso di cifre nel PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Numero di PIN passati che possono essere associati a un account utente che non possono essere riutilizzati. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periodo di tempo (in giorni) che un PIN può essere usato prima che il sistema richieda all'utente di modificarlo. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Le applicazioni non usano i certificati di Windows Hello for Business come certificati smart card e i fattori biometrici sono disponibili quando viene chiesto a un utente di autorizzare l'uso della chiave privata del certificato. |
2.6 CSP RootCATrustedCertificates
È consigliabile configurare nodi Radice, CA, TrustedPublisher e TrustedPeople in questo CSP come procedura consigliata, ma non è consigliabile usare valori specifici per ogni nodo in questo CSP.
2.7 TenantLockdown CSP
| nome nodo |
valore | Descrizione |
|---|---|---|
| RequireNetworkInOOBE | Vero | Quando il dispositivo passa attraverso la Configurazione guidata al primo accesso o dopo una reimpostazione, l'utente deve scegliere una rete prima di procedere. Non esiste un'opzione "ignora per il momento". In questo modo il dispositivo rimane associato al tenant in caso di reimpostazioni o cancellazione accidentali o intenzionali. |
2.8 CSP VPNv2
È consigliabile configurare i profili VPN come procedura consigliata, ma non consigliare valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
2.9 CSP WiFi
È consigliabile configurare i profili WiFi come procedura consigliata, ma non consigliare valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
Come abilitare queste linee di base di sicurezza
- Esaminare la baseline di sicurezza e decidere cosa applicare.
- Determinare i gruppi di Azure a cui si assegnerà la baseline. (Altre informazioni su utenti e gruppi)
- Creare la linea di base.
Ecco come creare la linea di base.
Molte delle impostazioni possono essere aggiunte usando il catalogo Impostazioni, ma a volte potrebbe esserci un'impostazione che non è ancora stata popolata nel catalogo Impostazioni. In questi casi si useranno criteri personalizzati o OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Per iniziare, esaminare il catalogo delle impostazioni e, se non è stato trovato, seguire le istruzioni seguenti per la creazione di un criterio personalizzato tramite URI OMA.
Catalogo delle impostazioni
Accedere all'account nell'interfaccia di amministrazione MEM.
- Passare a Dispositivi - profili di configurazione> ->+Crea profilo. Per Piattaforma selezionare Windows 10 e versioni successivee per tipo di profilo selezionare Catalogo impostazioni (anteprima).
- Creare un nome per il profilo e selezionare il pulsante Avanti.
- Nella schermata Impostazioni di configurazione selezionare + Aggiungi impostazioni.
Usando il nome dei criteri della baseline precedente, è possibile cercare i criteri. Il catalogo delle impostazioni spazierà il nome, quindi per trovare "Accounts/AllowMicrosoftAccountConnection" sarà necessario cercare "Consenti connessione account Microsoft". Dopo la ricerca, verrà visualizzato l'elenco dei criteri ridotti solo al provider di servizi di configurazione con questo criterio. Selezionare Account (o il CSP pertinente a ciò che si sta cercando), dopo aver visualizzato il risultato del criterio seguente. Selezionare la casella relativa ai criteri.
Al termine, il pannello a sinistra aggiungerà la categoria CSP e l'impostazione aggiunta. Da qui è possibile configurarlo dall'impostazione predefinita a un'impostazione più sicura.
È possibile continuare ad aggiungere più configurazioni allo stesso profilo, semplificando l'assegnazione contemporaneamente.
Aggiunta di criteri di OMA-URI personalizzati
Alcuni criteri potrebbero non essere ancora disponibili nel catalogo Impostazioni. Per questi criteri, è necessario creare un profilo di OMA-URI personalizzato. Accedere all'account nell'interfaccia di amministrazione MEM.
- Passare a Dispositivi - profili di configurazione> ->+Crea profilo. In Piattaforma selezionare Windows 10 e versioni successivee per tipo di profilo selezionare Modelli e selezionare personalizzato.
- Creare un nome per il profilo e selezionare il pulsante Avanti.
- Selezionare il pulsante aggiungi
.
È necessario compilare alcuni campi.
- Nome, è possibile denominarlo qualsiasi elemento correlato al criterio. Può trattarsi di un nome abbreviato usato per riconoscerlo.
- La descrizione sarà più dettagliata.
- Il OMA-URI sarà la stringa OMA-URI completa in cui si trova il criterio. Esempio:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Il tipo di dati è il tipo di valore accettato da questo criterio. Per questo esempio è un numero compreso tra 0 e 60, quindi è stato selezionato Integer.
- Dopo aver selezionato il tipo di dati, sarà possibile scrivere o caricare il valore necessario nel campo.
Al termine, i criteri vengono aggiunti alla finestra principale. È possibile continuare ad aggiungere tutti i criteri personalizzati alla stessa configurazione personalizzata. In questo modo è possibile ridurre la gestione di più configurazioni dei dispositivi e semplificare l'assegnazione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per