baseline di sicurezza HoloLens 2
Importante
Alcuni dei criteri usati in questa baseline di sicurezza vengono introdotti nella build Insider più recente. Questi criteri funzioneranno solo nei dispositivi aggiornati alla build Insider più recente.
Questo articolo elenca e descrive le varie impostazioni della baseline di sicurezza che è possibile configurare in HoloLens 2 usando provider di servizi di configurazione (CSP). Come parte della gestione dei dispositivi mobili con Microsoft Endpoint Manager (formalmente noto come Microsoft Intune), usare le impostazioni standard o avanzate della baseline di sicurezza in base ai criteri e alle esigenze dell'organizzazione. Usare queste impostazioni di base di sicurezza per proteggere le risorse dell'organizzazione.
- Le impostazioni della baseline di sicurezza standard sono applicabili a tutti i tipi di utenti indipendentemente dallo scenario del caso d'uso e dal settore verticale.
- Le impostazioni della baseline di sicurezza avanzate sono consigliate per gli utenti che dispongono di controlli di sicurezza rigorosi dell'ambiente e richiedono criteri di sicurezza rigorosi per i dispositivi usati nell'ambiente.
Queste impostazioni di base di sicurezza si basano sulle linee guida e sulle procedure consigliate di Microsoft acquisite nella distribuzione e nel supporto dei dispositivi HoloLens 2 ai clienti in vari settori.
Dopo aver esaminato la baseline di sicurezza e deciso di usare quella, entrambe o le parti, vedere come abilitare queste linee di base di sicurezza
1. Impostazioni della baseline di sicurezza standard
Le sezioni seguenti descrivono le impostazioni consigliate di ogni CSP come parte del profilo di base di sicurezza standard.
1.1 CSP criteri
| Nome criteri | Valore | Descrizione |
|---|---|---|
| Account | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Non consentito | Limitare l'utente a usare un account MSA per l'autenticazione e i servizi di connessione non correlati alla posta elettronica. |
| Gestione applicazioni | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Negazione esplicita | Nega in modo esplicito le app non di Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Consentito | Consenti l'aggiornamento automatico delle app da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Negazione esplicita | Limitare l'utente a sbloccare la modalità sviluppatore, che consente all'utente di installare app nel dispositivo da un IDE. |
| Browser | ||
| Browser/AllowCookies | 1 - Blocca solo i cookie dai siti Web di terze parti | Con questo criterio è possibile configurare Microsoft Edge per bloccare solo i cookie di terze parti o bloccare tutti i cookie. |
| Browser/AllowPasswordManager | 0: non consentito | Non consentire a Microsoft Edge di usare gestione password. |
| Browser/AllowSmartScreen | 1 – Attivato | Attiva Windows Defender SmartScreen e impedisci agli utenti di disattivarlo. |
| Connettività | ||
| Connectivity/AllowUSBConnection | 0: non consentito | Disabilita la connessione USB tra il dispositivo e un computer per sincronizzare i file con il dispositivo o per usare gli strumenti di sviluppo per distribuire o eseguire il debug delle applicazioni. |
| Blocco del dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0: non consentito | Non consentire la restituzione dall'inattività senza PIN o password. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloccato | Bloccare i PIN o le password, ad esempio "1111" o "1234". |
| DeviceLock/AlfanumericDevicePasswordRequired | 1 - Password o PIN numerico obbligatorio | Richiedi password o PIN alfanumerico. |
| DeviceLock/DevicePasswordEnabled | 0 – Abilitato | Il blocco del dispositivo è abilitato. |
| DeviceLock/MaxInactivityTimeDeviceLock | Valore intero X in cui 0 < X < 999 Valore consigliato: 3 | Specifica l'intervallo massimo di tempo consentito (in minuti) dopo che il dispositivo è inattiva che causerà l'inattività del dispositivo per diventare PIN o password bloccato. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Solo cifre | Numero di tipi di elementi complessi (lettere maiuscole e minuscole, numeri e punteggiatura) richiesto per un PIN o una password complessa. |
| DeviceLock/MinDevicePasswordLength | Valore intero X in cui 4 < X < 16 per i dispositivi clientRecommended value: 8 | Specifica il numero o i caratteri minimi richiesti nel PIN o nella password. |
| Registrazione MDM | ||
| Experience/AllowManualMDMUnenrollment | 0: non consentito | Impedire all'utente di eliminare l'account aziendale usando il pannello di controllo dell'area di lavoro. |
| Identità | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Numero di giorni in cui la cache deve essere valida: 7 giorni | Numero di giorni in cui la cache di appartenenza al gruppo di Microsoft Entra deve essere valida. |
| Elettricità | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo di inattività nel numero di secondiRecommended valori: 60 sec | Consente di specificare il periodo di inattività prima che Windows disattiva la visualizzazione. |
| Impostazioni | ||
| Settings/AllowVPN | 0: non consentito | Non consentire all'utente di modificare le impostazioni VPN. |
| Impostazioni/PageVisibilityList | Nome abbreviato delle pagine visibili all'utente. Fornirà un'interfaccia utente per selezionare o deselezionare i nomi di pagina. Vedere i commenti per le pagine consigliate da nascondere. | Consente di visualizzare solo le pagine elencate all'utente nell'app Impostazioni. |
| Sistema | ||
| System/AllowStorageCard | 0: non consentito | L'uso della scheda SD non è consentito e le unità USB sono disabilitate. Questa impostazione non impedisce l'accesso a livello di codice alla scheda di archiviazione. |
| Aggiornamenti | ||
| Aggiornamento/AllowUpdateService | 1 – Consentito | Consenti l'accesso a Microsoft Update, Windows Server Update Services (WSUS) o a Microsoft Store. |
| Aggiornamento/ManagePreviewBuilds | 0 - Disabilitare le build di anteprima | Non consentire l'installazione delle build di anteprima nel dispositivo. |
1.2 ClientCertificateInstall CSP
È consigliabile configurare questo CSP come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP.
1.3 PassportForWork CSP
| Nome nodo | Valore | Descrizione |
|---|---|---|
| ID tenant | TenantId | Identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione di Windows Hello for Business. |
| TenantId/Policies/UsePassportForWork | Vero | Imposta Windows Hello for Business come metodo per l'accesso a Windows. |
| TenantId/Policies/RequireSecurityDevice | Vero | Richiede un modulo TPM (Trusted Platform Module) per Windows Hello for Business. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | I moduli TPM revision 1.2 possono essere usati con Windows Hello for Business. |
| TenantId/Policies/EnablePinRecovery | Falso | Il segreto di ripristino PIN non viene creato o archiviato. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | IL PIN viene effettuato quando l'utente accede, senza attendere un payload del certificato. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La lunghezza del PIN deve essere maggiore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La lunghezza del PIN deve essere minore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/MaiuscoleLetters | 2 | Le cifre sono necessarie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/MinuscoleLetters | 2 | Le cifre sono necessarie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Non consente l'uso di caratteri speciali nel PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Consente l'uso di cifre nel PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Numero di PIN precedenti che possono essere associati a un account utente che non può essere riutilizzato. |
| TenantId/Policies/PINComplexity/Scadenza | 90 | Periodo di tempo (in giorni) che un PIN può essere usato prima che il sistema richieda all'utente di modificarlo. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Le applicazioni non usano Windows Hello for Business certificati come certificati smart card e i fattori biometrici sono disponibili quando un utente viene chiesto di autorizzare l'uso della chiave privata del certificato. |
1.4 RootCATrustedCertificates CSP
È consigliabile configurare nodi Radice, CA, TrustedPublisher e TrustedPeople in questo CSP come procedura consigliata, ma non è consigliabile usare valori specifici per ogni nodo in questo CSP.
1.5 TenantLockdown CSP
| Nome nodo | Valore | Descrizione |
|---|---|---|
| RequireNetworkInOOBE | Vero | Quando il dispositivo passa attraverso OOBE al primo accesso o dopo una reimpostazione, l'utente deve scegliere una rete prima di procedere. Non c'è alcuna opzione "ignora per il momento". Questa opzione garantisce che il dispositivo rimanga associato al tenant in caso di reimpostazioni accidentali o intenzionali o cancellazione. |
1.6 VPNv2 CSP
È consigliabile configurare questo CSP come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
1.7 CSP WiFi
È consigliabile configurare questo CSP come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
2 Impostazioni avanzate della baseline di sicurezza
Le sezioni seguenti descrivono le impostazioni consigliate di ogni provider di servizi di rete come parte del profilo della baseline di sicurezza avanzata.
2.1 CSP criteri
| Nome criteri | Valore | Descrizione |
|---|---|---|
| Account | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Non consentito | Limitare l'utente a usare un account MSA per l'autenticazione e i servizi di connessione non correlati alla posta elettronica. |
| Gestione applicazioni | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Negazione esplicita | Negare in modo esplicito le app non di Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Consentito | Consenti l'aggiornamento automatico delle app da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Negazione esplicita | Limitare l'utente a sbloccare la modalità sviluppatore, che consente all'utente di installare app nel dispositivo da un IDE. |
| autenticazione | ||
| Autenticazione/AllowFastReconnect | 0: non consentito | Impedire la riconnessione rapida di EAP per il tentativo di TLS del metodo EAP. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0: non consentito | Altri dispositivi non potranno rilevare questo dispositivo. |
| Browser | ||
| Browser/AllowAutofill | 0 – Impedito/non consentito | Impedire agli utenti di usare la funzionalità Riempimento automatico per popolare automaticamente i campi del modulo in Microsoft Edge. |
| Browser/AllowCookies | 1 – Blocca solo i cookie da siti Web di terze parti | Blocca solo i cookie da siti Web di terze parti. |
| Browser/AllowDoNotTrack | 0 - Non inviare mai informazioni di rilevamento | Non inviare mai informazioni di rilevamento. |
| Browser/AllowPasswordManager | 0: non consentito | Impedire a Microsoft Edge di usare la gestione password. |
| Browser/AllowPopups | 1 – Attiva blocco popup | Attivare Blocco popup che impedisce l'apertura delle finestre popup. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Impedito/non consentito | Nascondere i suggerimenti di ricerca nella barra degli indirizzi di Microsoft Edge. |
| Browser/AllowSmartScreen | 1 – Attivato | Attiva Windows Defender SmartScreen e impedisce agli utenti di disattivarlo. |
| Connettività | ||
| Connectivity/AllowBluetooth | 0 - Non consentire bluetooth | Il pannello di controllo Bluetooth è disattivato e l'utente non sarà in grado di attivare Il Bluetooth. |
| Connectivity/AllowUSBConnection | 0: non consentito | Disabilita la connessione USB tra il dispositivo e un computer per sincronizzare i file con il dispositivo o per usare gli strumenti di sviluppo per distribuire o eseguire il debug delle applicazioni. |
| Blocco del dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0: non consentito | Non consentire la restituzione dall'inattività senza PIN o password. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloccato | Bloccare PIN o password, ad esempio "1111" o "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0: è necessario un PIN password o alfanumerico | Richiedere il PIN alfanumerico o la password. |
| DeviceLock/DevicePasswordEnabled | 0 – Abilitato | Il blocco del dispositivo è abilitato. |
| DeviceLock/DevicePasswordHistory | Intero X dove 0 < X < 50Recommended value: 15 | Specifica il numero di password che possono essere archiviate nella cronologia e non possono essere usate. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 10 | Numero di errori di autenticazione consentiti prima che il dispositivo venga cancellato. |
| DeviceLock/MaxInactivityTimeDeviceLock | Numero intero X in cui 0 < X < 999 Valore consigliato: 3 | Specifica la quantità massima di tempo (in minuti) consentita dopo che il dispositivo è inattiva che causerà il blocco del PIN o della password del dispositivo. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Sono necessarie cifre, lettere minuscole e lettere maiuscole | Numero di tipi di elementi complessi (lettere maiuscole e minuscole, numeri e punteggiatura) richiesto per un PIN o una password complessa. |
| DeviceLock/MinDevicePasswordLength | Intero X in cui 4 < X < 16 per i dispositivi clientValorecomando: 12 | Specifica il numero o i caratteri minimi richiesti nel PIN o nella password. |
| Registrazione MDM | ||
| Experience/AllowManualMDMUnenrollment | 0: non consentito | Impedire all'utente di eliminare l'account aziendale usando il pannello di controllo dell'area di lavoro. |
| Identità | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Numero di giorni in cui la cache deve essere validaValore consigliato: 7 giorni | Numero di giorni in cui la cache di appartenenza al gruppo Microsoft Entra deve essere valida. |
| Elettricità | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo di inattività in numero di secondiRecommended values: 60 secs | Consente di specificare il periodo di inattività prima che Windows spegni la visualizzazione. |
| Privacy | ||
| Privacy/LetAppsAccess AccountInfo |
2 - Forza nega | Nega l'accesso alle app di Windows alle informazioni sull'account. |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Windows | Le app di Windows elencate sono autorizzate ad accedere alle informazioni sull'account. |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Windows | Alle app di Windows elencate viene negato l'accesso alle informazioni sull'account. |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Windows | L'utente è in grado di controllare l'impostazione di privacy delle informazioni sull'account per le app di Windows elencate. |
| Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - Forza nega | Negare alle app di Windows l'accesso al movimento della testa, delle mani, dei controller del movimento e di altri oggetti rilevati dell'utente, mentre le app sono in esecuzione in background. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store | Le app elencate sono autorizzate ad accedere agli spostamenti dell'utente mentre le app sono in esecuzione in background. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store | Le app elencate vengono negate l'accesso agli spostamenti dell'utente mentre le app sono in esecuzione in background. |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store | L'utente è in grado di controllare l'impostazione di privacy degli spostamenti utente per le app elencate. |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Microsoft Store | Alle app elencate viene negato l'accesso al microfono. |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Elenco dei nomi famiglia di pacchetti delimitati da punti e virgola delle app di Microsoft Store | L'utente è in grado di controllare l'impostazione di privacy del microfono per le app elencate. |
| Ricerca | ||
| Search/AllowSearchToUse Location | 0: non consentito | Non consentire alla ricerca di usare le informazioni sulla posizione. |
| Sicurezza | ||
| Security/AllowAddProvisioningPackage | 0: non consentito | Impedire all'agente di configurazione di runtime di installare i pacchetti di provisioning. |
| Impostazioni | ||
| Settings/AllowVPN | 0: non consentito | Non consentire all'utente di modificare le impostazioni VPN. |
| Impostazioni/PageVisibilityList | Il nome abbreviato delle pagine visibili all'utente Consente di fornire un'interfaccia utente per selezionare o deselezionare i nomi delle pagine. Vedere i commenti per le pagine consigliate da nascondere. | Consente di visualizzare solo le pagine elencate all'utente nell'app Impostazioni. |
| Sistema | ||
| System/AllowStorageCard | 0: non consentito | L'uso della scheda SD non è consentito e le unità USB sono disabilitate. Questa impostazione non impedisce l'accesso a livello di codice alla scheda di archiviazione. |
| System/AllowTelemetry | 0 - Non consentito | Impedire al dispositivo di inviare dati di telemetria di diagnostica e utilizzo, ad esempio Watson. |
| Aggiornamenti | ||
| Update/AllowUpdateService | 1 – Consentito | Consentire l'accesso a Microsoft Update, Windows Server Update Services (WSUS) o a Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Disabilitare le build di anteprima | Non consentire l'installazione delle build di anteprima nel dispositivo. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0: non consentito | Non consentire la connessione a Wi-Fi all'esterno delle reti installate dal server MDM. |
2.2 Provider di servizi di configurazione AccountManagement
| Nome nodo | Valore | Descrizione |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Vero | Abilitare la gestione della durata del profilo per scenari di dispositivi condivisi o comuni. |
| UserProfileManagement/DeletionPolicy | 2: eliminare al raggiungimento sia della soglia di capacità di archiviazione che della soglia di inattività del profilo | Configura quando i profili verranno eliminati. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Iniziare a eliminare i profili quando la capacità di archiviazione disponibile scende al di sotto di questa soglia, data la percentuale di spazio di archiviazione totale disponibile per i profili. I profili che sono stati inattivi verranno eliminati per primi. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Interrompere l'eliminazione dei profili quando la capacità di archiviazione disponibile viene visualizzata fino a questa soglia, data la percentuale di spazio di archiviazione totale disponibile per i profili. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Iniziare a eliminare i profili quando non sono stati connessi durante il periodo specificato, in base al numero di giorni. |
2.3 CSP ApplicationControl
| Nome nodo | Valore | Descrizione |
|---|---|---|
| Criteri/GUID dei criteri | ID criterio nel BLOB dei criteri | ID criterio nel BLOB dei criteri. |
| Criteri/GUID/Criteri | BLOB di criteri | BLOB binario dei criteri codificato in base64. |
2.4 ClientCertificateInstall CSP
È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP.
2.5 PassportForWork CSP
| Nome nodo | Valore | Descrizione |
|---|---|---|
| ID tenant | TenantId | Identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte di Windows Hello for Business provisioning e gestione. |
| TenantId/Policies/UsePassportForWork | Vero | Imposta Windows Hello for Business come metodo per l'accesso a Windows. |
| TenantId/Policies/RequireSecurityDevice | Vero | Richiede un TPM (Trusted Platform Module) per Windows Hello for Business. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | I moduli TPM revisione 1.2 possono essere usati con Windows Hello for Business. |
| TenantId/Policies/EnablePinRecovery | Falso | Il segreto di ripristino del PIN non verrà creato o archiviato. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | Viene effettuato il provisioning del PIN quando l'utente accede, senza attendere un payload del certificato. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La lunghezza del PIN deve essere maggiore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La lunghezza del PIN deve essere minore o uguale a questo numero. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Non consente l'uso di caratteri speciali nel PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Consente l'uso di cifre nel PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Numero di PIN passati che possono essere associati a un account utente che non possono essere riutilizzati. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periodo di tempo (in giorni) che un PIN può essere usato prima che il sistema richieda all'utente di modificarlo. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Le applicazioni non usano certificati Windows Hello for Business come certificati smart card e i fattori biometrici sono disponibili quando viene richiesto a un utente di autorizzare l'uso della chiave privata del certificato. |
2.6 CSP RootCATrustedCertificates
È consigliabile configurare i nodi Root, CA, TrustedPublisher e TrustedPeople in questo CSP come procedura consigliata, ma non è consigliabile usare valori specifici per ogni nodo in questo CSP.
2.7 Provider di servizi di configurazione TenantLockdown
| Nome nodo | Valore | Descrizione |
|---|---|---|
| RequireNetworkInOOBE | Vero | Quando il dispositivo passa attraverso la configurazione guidata al primo accesso o dopo una reimpostazione, l'utente deve scegliere una rete prima di procedere. Non c'è nessuna opzione "skip for now". Ciò garantisce che il dispositivo rimanga associato al tenant in caso di reimpostazioni o cancellazione accidentali o intenzionali. |
2.8 CSP VPNv2
È consigliabile configurare i profili VPN come procedura consigliata, ma non consigliare valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
2.9 Provider di servizi di configurazione Wi-Fi
È consigliabile configurare i profili Wi-Fi come procedura consigliata, ma non consigliare valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.
Come abilitare queste righe di base di sicurezza
- Esaminare la baseline di sicurezza e decidere cosa applicare.
- Determinare i gruppi di Azure a cui si assegnerà la baseline. (Altre informazioni su utenti e gruppi)
- Creare la baseline.
Ecco come creare la baseline.
Molte delle impostazioni possono essere aggiunte usando il catalogo Impostazioni, ma talvolta potrebbe esserci un'impostazione che non è ancora stata popolata nel catalogo Impostazioni. In questi casi si useranno criteri personalizzati o URI OMA (Open Mobile Alliance - Uniform Resource Identifier). Per iniziare, vedere il catalogo delle impostazioni e, se non è stato trovato, seguire le istruzioni riportate di seguito per la creazione di un criterio personalizzato tramite OMA-URI.
Catalogo delle impostazioni
Accedere all'account nell'interfaccia di amministrazione MEM.
- Passare a Dispositivi ->Profili di configurazione ->+Crea profilo. Per Piattaforma selezionare Windows 10 e versioni successive e per tipo di profilo selezionare Catalogo impostazioni (anteprima).
- Creare un nome per il profilo e selezionare il pulsante Avanti .
- Nella schermata Impostazioni di configurazione selezionare + Aggiungi impostazioni.
Usando il nome dei criteri della baseline precedente, è possibile cercare i criteri. Il catalogo delle impostazioni spazierà il nome, quindi per trovare "Accounts/AllowMicrosoftAccountConnection" sarà necessario cercare "Consenti connessione all'account Microsoft". Dopo aver eseguito la ricerca, verrà visualizzato l'elenco dei criteri ridotti solo al CSP con questo criterio. Selezionare Account (o il provider di servizi di configurazione pertinente per la ricerca corrente), dopo aver visualizzato il risultato del criterio riportato di seguito. Selezionare la casella relativa ai criteri.
Al termine, il pannello a sinistra aggiungerà la categoria CSP e l'impostazione aggiunta. Da qui è possibile configurarlo dall'impostazione predefinita a un'impostazione più sicura.
È possibile continuare ad aggiungere più configurazioni allo stesso profilo, semplificando l'assegnazione contemporaneamente.
Aggiunta di criteri OMA-URI personalizzati
Alcuni criteri potrebbero non essere ancora disponibili nel catalogo impostazioni. Per questi criteri, è necessario creare un profilo URI OMA personalizzato. Accedere all'account nell'interfaccia di amministrazione MEM.
- Passare a Dispositivi ->Profili di configurazione ->+Crea profilo. Per Piattaforma selezionare Windows 10 e versioni successive e per tipo di profilo selezionare Modelli e selezionare Personalizzato.
- Creare un nome per il profilo e selezionare il pulsante Avanti .
- Fare clic sul pulsante Aggiungi.
È necessario compilare alcuni campi.
- Nome, è possibile denominarlo qualsiasi elemento correlato al criterio. Può trattarsi di un nome abbreviato usato per riconoscerlo.
- La descrizione sarà più dettagliata.
- L'URI OMA sarà la stringa URI OMA completa in cui si trova il criterio. Esempio:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Il tipo di dati è il tipo di valore accettato da questo criterio. Per questo esempio è un numero compreso tra 0 e 60, quindi è stato selezionato Integer.
- Dopo aver selezionato il tipo di dati, sarà possibile scrivere o caricare il valore necessario nel campo.
Al termine, il criterio viene aggiunto alla finestra principale. È possibile continuare ad aggiungere tutti i criteri personalizzati alla stessa configurazione personalizzata. Ciò consente di ridurre la gestione di più configurazioni dei dispositivi e semplifica l'assegnazione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per