다음을 통해 공유


HoloLens 2 보안 기준

중요하다

이 보안 기준에 사용되는 정책 중 일부는 최신 참가자 빌드도입되었습니다. 이러한 정책은 최신 참가자 빌드로 업데이트된 디바이스에서만 작동합니다.

이 문서에서는 CSP(구성 서비스 공급자)를 사용하여 HoloLens 2에서 구성할 수 있는 다양한 보안 기준 설정을 나열하고 설명합니다. Microsoft Endpoint Manager(공식적으로 Microsoft Intune이라고 함)를 사용하는 모바일 디바이스 관리의 일부로 조직 정책 및 요구 사항에 따라 다음 표준 또는 고급 보안 기준 설정을 사용합니다. 이러한 보안 기준 설정을 사용하여 조직 리소스를 보호합니다.

  • 표준 보안 기준 설정은 사용 사례 시나리오 및 업계 수직에 관계없이 모든 유형의 사용자에게 적용됩니다.
  • 고급 보안 기준 설정은 환경에 대한 엄격한 보안 제어가 있고 해당 환경에서 사용되는 디바이스에 대해 엄격한 보안 정책이 필요한 사용자에게 권장되는 설정입니다.

이러한 보안 기준 설정은 다양한 산업의 고객에게 HoloLens 2 디바이스를 배포하고 지원하는 데 얻은 Microsoft의 모범 사례 지침 및 경험을 기반으로 합니다.

보안 기준을 검토하고 둘 다 또는 일부를 사용하기로 결정한 후에는 이러한 보안 기준선을 사용하도록 설정하는 방법을

1. 표준 보안 기준 설정

다음 섹션에서는 표준 보안 기준 프로필의 일부로 각 CSP의 권장 설정을 설명합니다.

1.1 정책 CSP

정책 이름 설명
계정
Accounts/AllowMicrosoftAccountConnection 0 – 허용 안 됨 전자 메일이 아닌 연결 인증 및 서비스에 대해 사용자가 MSA 계정을 사용하도록 제한합니다.
애플리케이션 관리
ApplicationManagement/AllowAllTrustedApps 0 - 명시적 거부 비 Microsoft Store 앱을 명시적으로 거부합니다.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – 허용됨 Microsoft Store에서 앱의 자동 업데이트를 허용합니다.
applicationManagement/AllowDeveloperUnlock 0 - 명시적 거부 사용자가 개발자 모드의 잠금을 해제하도록 제한하여 사용자가 IDE에서 디바이스에 앱을 설치할 수 있도록 합니다.
브라우저
Browser/AllowCookies 1 – 타사 웹 사이트에서 쿠키만 차단 이 정책을 사용하면 타사 쿠키만 차단하거나 모든 쿠키를 차단하도록 Microsoft Edge를 구성할 수 있습니다.
Browser/AllowPasswordManager 0 – 허용되지 않음 암호 관리자를 사용하도록 Microsoft Edge를 허용하지 않습니다.
Browser/AllowSmartScreen 1 – 켜짐 Windows Defender SmartScreen을 켜고 사용자가 해제하지 못하도록 합니다.
연결
연결/AllowUSBConnection 0 – 허용되지 않음 디바이스와 컴퓨터 간의 USB 연결을 사용하지 않도록 설정하여 디바이스와 파일을 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그합니다.
디바이스 잠금
DeviceLock/AllowIdleReturnWithoutPassword 0 – 허용되지 않음 PIN 또는 암호 없이 유휴 상태에서 반환을 허용하지 않습니다.
DeviceLock/AllowSimpleDevicePassword 0 – 차단됨 PIN 또는 암호(예: "1111" 또는 "1234")를 차단합니다.
deviceLock/AlphanumericDevicePasswordRequired 1 – 암호 또는 숫자 PIN 필요 암호 또는 영숫자 PIN이 필요합니다.
DeviceLock/DevicePasswordEnabled 0 – 사용 디바이스 잠금을 사용할 수 있습니다.
DeviceLock/MaxInactivityTimeDeviceLock 0 < X < 999 권장 값인 정수 X: 3 디바이스가 유휴 상태일 때 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다.
deviceLock/MinDevicePasswordComplexCharacters 1 - 숫자만 강력한 PIN 또는 암호에 필요한 복합 요소 형식(대문자 및 소문자, 숫자 및 문장 부호)의 수입니다.
deviceLock/MinDevicePasswordLength 클라이언트 devicesRecommended 값에 대해 4 < X < 16인 정수 X: 8 PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다.
MDM 등록
Experience/AllowManualMDMUnenrollment 0 – 허용되지 않음 사용자가 작업 공간 제어판을 사용하여 작업 공간 계정을 삭제하도록 허용하지 않습니다.
ID
MixedReality/AADGroupMembershipCacheValidityInDays validRecommended 값으로 캐시할 일 수: 7일 Microsoft Entra 그룹 멤버 자격 캐시가 유효해야 하는 일 수입니다.
Power
power/DisplayOffTimeoutPluggedIn 유휴 시간(초)입니다. 커밋된 값: 60초 Windows에서 디스플레이를 해제하기 전에 비활성 기간을 지정할 수 있습니다.
설정
설정/AllowVPN 0 – 허용되지 않음 사용자가 VPN 설정을 변경할 수 없습니다.
설정/PageVisibilityList 사용자에게 표시되는 페이지의 단축된 이름입니다. 페이지 이름을 선택하거나 선택 취소하는 UI를 제공합니다. 숨길 권장 페이지에 대한 설명을 참조하세요. 설정 앱에서 나열된 페이지만 사용자에게 표시하도록 허용합니다.
시스템
System/AllowStorageCard 0 – 허용되지 않음 SD 카드 사용은 허용되지 않으며 USB 드라이브는 사용할 수 없습니다. 이 설정은 스토리지 카드에 프로그래밍 방식으로 액세스하는 것을 방지하지 않습니다.
업데이트
Update/AllowUpdateService 1 – 허용됨 Microsoft Update, WSUS(Windows Server Update Services) 또는 Microsoft Store에 대한 액세스를 허용합니다.
Update/ManagePreviewBuilds 0 - 미리 보기 빌드 사용 안 함 디바이스에 설치할 미리 보기 빌드를 허용하지 않습니다.

1.2 ClientCertificateInstall CSP

이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다.

1.3 PassportForWork CSP

노드 이름 설명
테넌트 ID TenantId 비즈니스용 Windows Hello 프로비저닝 및 관리의 일부로 사용되는 중괄호({ , })가 없는 GUID(Globally Unique Identifier)입니다.
TenantId/Policies/UsePassportForWork 비즈니스용 Windows Hello를 Windows에 로그인하는 방법으로 설정합니다.
TenantId/Policies/RequireSecurityDevice 비즈니스용 Windows Hello용 TPM(신뢰할 수 있는 플랫폼 모듈)이 필요합니다.
TenantId/Policies/ExcludeSecurityDevices/TPM12 False TPM 수정 버전 1.2 모듈은 비즈니스용 Windows Hello와 함께 사용할 수 있습니다.
TenantId/Policies/EnablePinRecovery False PIN 복구 비밀은 생성되거나 저장되지 않습니다.
TenantId/Policies/UseCertificateForOnPremAuth False PIN은 사용자가 인증서 페이로드를 기다리지 않고 로그인할 때 프로비전됩니다.
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN 길이는 이 숫자보다 크거나 같아야 합니다.
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN 길이는 이 숫자보다 작거나 같아야 합니다.
TenantId/Policies/PINComplexity/UppercaseLetters 2 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다.
TenantId/Policies/PINComplexity/LowercaseLetters 2 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다.
TenantId/Policies/PINComplexity/SpecialCharacters 2 PIN에서 특수 문자를 사용할 수 없습니다.
TenantId/Policies/PINComplexity/Digits 0 PIN에서 숫자를 사용할 수 있습니다.
TenantId/Policies/PINComplexity/History 10 다시 사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN의 수입니다.
TenantId/Policies/PINComplexity/Expiration 90 시스템에서 PIN을 변경하도록 요구하기 전에 PIN을 사용할 수 있는 기간(일)입니다.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates False 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자에게 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 메시지가 표시되면 생체 인식 요소를 사용할 수 있습니다.

1.4 RootCATrustedCertificates CSP

이 CSP의 루트, CA, TrustedPublisher 및 TrustedPeople 노드를 구성하는 것이 가장 좋지만 이 CSP의 각 노드에 대한 특정 값에는 권장되지 않습니다.

1.5 TenantLockdown CSP

노드 이름 설명
RequireNetworkInOOBE 디바이스가 처음 로그인하거나 재설정한 후 OOBE를 통과하면 계속하기 전에 사용자가 네트워크를 선택해야 합니다. "지금은 건너뛰기" 옵션이 없습니다. 이 옵션을 사용하면 실수로 또는 의도적인 재설정 또는 초기화 시 디바이스가 테넌트에 바인딩된 상태로 유지됩니다.

1.6 VPNv2 CSP

이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.

1.7 WiFi CSP

이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.

2 고급 보안 기준 설정

다음 섹션에서는 고급 보안 기준 프로필의 일부로 각 CSP의 권장 설정을 설명합니다.

2.1 정책 CSP

정책 이름 설명
계정
Accounts/AllowMicrosoftAccountConnection 0 – 허용 안 됨 전자 메일이 아닌 연결 인증 및 서비스에 대해 사용자가 MSA 계정을 사용하도록 제한합니다.
애플리케이션 관리
ApplicationManagement/AllowAllTrustedApps 0 - 명시적 거부 비 Microsoft Store 앱을 명시적으로 거부합니다.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – 허용됨 Microsoft Store에서 앱의 자동 업데이트를 허용합니다.
applicationManagement/AllowDeveloperUnlock 0 - 명시적 거부 사용자가 개발자 모드의 잠금을 해제하도록 제한하여 사용자가 IDE에서 디바이스에 앱을 설치할 수 있도록 합니다.
인증
인증/AllowFastReconnect 0 – 허용되지 않음 EAP 메서드 TLS에 대해 EAP Fast Reconnect가 시도되지 않도록 합니다.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – 허용되지 않음 다른 디바이스는 이 디바이스를 검색할 수 없습니다.
브라우저
Browser/AllowAutofill 0 – 방지/허용 안 됨 사용자가 자동 채우기 기능을 사용하여 Microsoft Edge의 양식 필드를 자동으로 채우는 것을 방지합니다.
Browser/AllowCookies 1 – 타사 웹 사이트에서 쿠키만 차단 타사 웹 사이트에서 쿠키만 차단합니다.
Browser/AllowDoNotTrack 0 - 추적 정보를 보내지 않습니다. 추적 정보를 보내지 않습니다.
Browser/AllowPasswordManager 0 – 허용되지 않음 암호 관리자를 사용하도록 Microsoft Edge를 허용하지 않습니다.
Browser/AllowPopups 1 - 팝업 차단 켜기 팝업 차단을 켜면 팝업 창이 열리지 않습니다.
Browser/AllowSearchSuggestionsinAddressBar 0 – 방지/허용 안 됨 Microsoft Edge의 주소 표시줄에서 검색 제안을 숨깁니다.
Browser/AllowSmartScreen 1 – 켜짐 Windows Defender SmartScreen을 켜고 사용자가 해제하지 못하도록 합니다.
연결
연결/AllowBluetooth 0 – Bluetooth 허용 불허 Bluetooth 제어판이 회색으로 표시되고 사용자가 Bluetooth를 켤 수 없습니다.
연결/AllowUSBConnection 0 – 허용되지 않음 디바이스와 컴퓨터 간의 USB 연결을 사용하지 않도록 설정하여 디바이스와 파일을 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그합니다.
디바이스 잠금
DeviceLock/AllowIdleReturnWithoutPassword 0 – 허용되지 않음 PIN 또는 암호 없이 유휴 상태에서 반환을 허용하지 않습니다.
DeviceLock/AllowSimpleDevicePassword 0 – 차단됨 PIN 또는 암호(예: "1111" 또는 "1234")를 차단합니다.
deviceLock/AlphanumericDevicePasswordRequired 0 – 암호 또는 영숫자 PIN 필요 암호 또는 영숫자 PIN이 필요합니다.
DeviceLock/DevicePasswordEnabled 0 – 사용 디바이스 잠금을 사용할 수 있습니다.
DeviceLock/DevicePasswordHistory 0< X < 50Recommended 값: 15인 정수 X 사용할 수 없는 기록에 저장할 수 있는 암호 수를 지정합니다.
deviceLock/MaxDevicePasswordFailedAttempts 클라이언트 devicesRecommended 값에 대해 4< X < 16인 정수 X: 10 디바이스를 초기화하기 전에 허용되는 인증 실패 횟수입니다.
DeviceLock/MaxInactivityTimeDeviceLock 0 < X < 999 권장 값인 정수 X: 3 디바이스가 유휴 상태일 때 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다.
deviceLock/MinDevicePasswordComplexCharacters 3 - 숫자, 소문자 및 대문자가 필요합니다. 강력한 PIN 또는 암호에 필요한 복합 요소 형식(대문자 및 소문자, 숫자 및 문장 부호)의 수입니다.
deviceLock/MinDevicePasswordLength 클라이언트 devicesRecommended 값에 대해 4< X < 16인 정수 X: 12 PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다.
MDM 등록
Experience/AllowManualMDMUnenrollment 0 – 허용되지 않음 사용자가 작업 공간 제어판을 사용하여 작업 공간 계정을 삭제하도록 허용하지 않습니다.
ID
MixedReality/AADGroupMembershipCacheValidityInDays validRecommended 값으로 캐시할 일 수: 7일 Microsoft Entra 그룹 멤버 자격 캐시가 유효해야 하는 일 수입니다.
Power
power/DisplayOffTimeoutPluggedIn 유휴 시간(초)입니다. 커밋된 값: 60초 Windows에서 디스플레이를 해제하기 전에 비활성 기간을 지정할 수 있습니다.
개인 정보
Privacy/LetAppsAccess
accountInfo
2 - 강제 거부 계정 정보에 대한 Windows 앱 액세스를 거부합니다.
Privacy/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 나열된 Windows 앱은 계정 정보에 액세스할 수 있습니다.
Privacy/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 나열된 Windows 앱은 계정 정보에 대한 액세스가 거부됩니다.
Privacy/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 사용자는 나열된 Windows 앱에 대한 계정 정보 개인 정보 설정을 제어할 수 있습니다.
Privacy/LetAppsAccess
BackgroundSpatialPerception
2 - 강제 거부 앱이 백그라운드에서 실행되는 동안 Windows 앱에서 사용자의 머리, 손, 동작 컨트롤러 및 기타 추적된 개체의 움직임에 대한 액세스를 거부합니다.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 나열된 앱은 앱이 백그라운드에서 실행되는 동안 사용자의 움직임에 액세스할 수 있습니다.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 나열된 앱은 백그라운드에서 실행되는 동안 사용자의 움직임에 대한 액세스가 거부됩니다.
Privacy/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 사용자는 나열된 앱에 대한 사용자 이동 개인 정보 설정을 제어할 수 있습니다.
Privacy/LetAppsAccess
Microphone_ForceDenyTheseApps
Microsoft Store 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 나열된 앱은 마이크에 대한 액세스가 거부됩니다.
Privacy/LetAppsAccess
Microphone_UserInControlOfTheseApps
Microsoft Store 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 사용자는 나열된 앱에 대한 마이크 개인 정보 설정을 제어할 수 있습니다.
검색
Search/AllowSearchToUseLocation 0 – 허용되지 않음 위치 정보를 사용하도록 검색을 허용하지 않습니다.
보안
Security/AllowAddProvisioningPackage 0 – 허용되지 않음 프로비저닝 패키지를 설치하도록 런타임 구성 에이전트를 허용하지 않습니다.
설정
설정/AllowVPN 0 – 허용되지 않음 사용자가 VPN 설정을 변경할 수 없습니다.
설정/PageVisibilityList userWill에 표시되는 페이지의 단축된 이름은 페이지 이름을 선택하거나 선택 취소하는 UI를 제공합니다. 숨길 권장 페이지에 대한 설명을 참조하세요. 설정 앱에서 나열된 페이지만 사용자에게 표시하도록 허용합니다.
시스템
System/AllowStorageCard 0 – 허용되지 않음 SD 카드 사용은 허용되지 않으며 USB 드라이브는 사용할 수 없습니다. 이 설정은 스토리지 카드에 프로그래밍 방식으로 액세스하는 것을 방지하지 않습니다.
시스템/AllowTelemetry 0 - 허용되지 않음 디바이스에서 Watson과 같은 진단 및 사용량 원격 분석 데이터를 보낼 수 없습니다.
업데이트
Update/AllowUpdateService 1 – 허용됨 Microsoft Update, WSUS(Windows Server Update Services) 또는 Microsoft Store에 대한 액세스를 허용합니다.
Update/ManagePreviewBuilds 0 - 미리 보기 빌드 사용 안 함 디바이스에 설치할 미리 보기 빌드를 허용하지 않습니다.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – 허용되지 않음 MDM 서버 설치 네트워크 외부에서 Wi-Fi 연결을 허용하지 않습니다.

2.2 AccountManagement CSP

노드 이름 설명
UserProfileManagement/EnableProfileManager 공유 또는 공동 디바이스 시나리오에 대해 프로필 수명 관리를 사용하도록 설정합니다.
UserProfileManagement/DeletionPolicy 2 - 스토리지 용량 임계값과 프로필 비활성 임계값 모두에서 삭제 프로필을 삭제할 시기를 구성합니다.
UserProfileManagement/StorageCapacityStartDeletion 25% 사용 가능한 스토리지 용량이 이 임계값 아래로 떨어지면 프로필에 사용할 수 있는 총 스토리지의 백분율로 지정된 경우 프로필 삭제를 시작합니다. 가장 오랫동안 비활성 상태인 프로필은 먼저 삭제됩니다.
UserProfileManagement/StorageCapacityStopDeletion 50% 사용 가능한 스토리지 용량이 이 임계값까지 올라가면 프로필에 사용할 수 있는 총 스토리지의 백분율로 지정된 경우 프로필 삭제를 중지합니다.
UserProfileManagement/ProfileInactivityThreshold 30 지정된 기간 동안 프로필이 로그온되지 않은 경우 일 수로 지정된 프로필 삭제를 시작합니다.

2.3 ApplicationControl CSP

노드 이름 설명
정책/정책 GUID 정책 Blob의 정책 ID 정책 Blob의 정책 ID입니다.
정책/정책 GUID/Policy 정책 Blob base64로 인코딩된 정책 이진 Blob입니다.

2.4 ClientCertificateInstall CSP

이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다.

2.5 PassportForWork CSP

노드 이름 설명
테넌트 ID TenantId 비즈니스용 Windows Hello 프로비저닝 및 관리의 일부로 사용되는 중괄호({ , })가 없는 GUID(Globally Unique Identifier)입니다.
TenantId/Policies/UsePassportForWork 비즈니스용 Windows Hello를 Windows에 로그인하는 방법으로 설정합니다.
TenantId/Policies/RequireSecurityDevice 비즈니스용 Windows Hello용 TPM(신뢰할 수 있는 플랫폼 모듈)이 필요합니다.
TenantId/Policies/ExcludeSecurityDevices/TPM12 False TPM 수정 버전 1.2 모듈은 비즈니스용 Windows Hello와 함께 사용할 수 있습니다.
TenantId/Policies/EnablePinRecovery False PIN 복구 비밀은 만들거나 저장되지 않습니다.
TenantId/Policies/UseCertificateForOnPremAuth False PIN은 사용자가 로그인할 때 인증서 페이로드를 기다리지 않고 프로비전됩니다.
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN 길이는 이 숫자보다 크거나 같아야 합니다.
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN 길이는 이 숫자보다 작거나 같아야 합니다.
TenantId/Policies/PINComplexity/UppercaseLetters 2 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다.
TenantId/Policies/PINComplexity/LowercaseLetters 2 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다.
TenantId/Policies/PINComplexity/SpecialCharacters 2 PIN에서 특수 문자를 사용할 수 없습니다.
TenantId/Policies/PINComplexity/Digits 0 PIN에서 숫자를 사용할 수 있습니다.
TenantId/Policies/PINComplexity/History 10 다시 사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN의 수입니다.
TenantId/Policies/PINComplexity/Expiration 90 시스템에서 PIN을 변경하도록 요구하기 전에 PIN을 사용할 수 있는 기간(일)입니다.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates False 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자에게 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 메시지가 표시되면 생체 인식 요소를 사용할 수 있습니다.

2.6 RootCATrustedCertificates CSP

이 CSP의 루트, CA, TrustedPublisher 및 TrustedPeople 노드를 구성하는 것이 가장 좋지만 이 CSP의 각 노드에 대한 특정 값에는 권장하지 않습니다.

2.7 TenantLockdown CSP

노드 이름 설명
RequireNetworkInOOBE 디바이스가 처음 로그인하거나 재설정한 후 OOBE를 통과하면 계속하기 전에 네트워크를 선택해야 합니다. "지금은 건너뛰기" 옵션이 없습니다. 이렇게 하면 우발적이거나 의도적인 재설정 또는 초기화 시 디바이스가 테넌트에 바인딩된 상태로 유지됩니다.

2.8 VPNv2 CSP

VPN 프로필을 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.

2.9 WiFi CSP

WiFi 프로필을 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.

이러한 보안 기본 줄을 사용하도록 설정하는 방법

  1. 보안 기준을 검토하고 적용할 내용을 결정합니다.
  2. 기준을 할당할 Azure 그룹을 결정합니다. (사용자 및 그룹에 대한 자세한 내용은)
  3. 기준을 만듭니다.

기준을 만드는 방법은 다음과 같습니다.

설정 카탈로그를 사용하여 많은 설정을 추가할 수 있지만 설정 카탈로그에 아직 채워지지 않은 설정이 있을 수 있습니다. 이러한 경우 사용자 지정 정책 또는 OMA-URI(Open Mobile Alliance - Uniform Resource Identifier)를 사용합니다. 먼저 설정 카탈로그를 살펴보고 찾을 수 없는 경우 OMA-URI를 통해 사용자 지정 정책을 만들기 위한 아래 지침을 따릅니다.

설정 카탈로그

MEM 관리 센터계정에 로그인합니다.

  1. 디바이스 ->구성 프로필 ->+프로필만들기로 이동합니다. 플랫폼의 경우 Windows 10 이상선택하고 프로필 유형에 대해 설정 카탈로그(미리 보기)선택합니다.
  2. 프로필의 이름을 만들고 다음 단추를 선택합니다.
  3. 구성 설정 화면에서 + 설정 추가선택합니다.

위의 기준에서 정책의 이름을 사용하여 정책을 검색할 수 있습니다. 설정 카탈로그는 이름 간격을 지정하므로 "Accounts/AllowMicrosoftAccountConnection"을 찾으려면 "Microsoft 계정 연결 허용"을 검색해야 합니다. 검색한 후에는 정책 목록이 이 정책이 있는 CSP로 축소된 것을 볼 수 있습니다. 아래의 정책 결과가 표시되면 계정(또는 현재 검색 중인 항목과 관련된 CSP)를 선택합니다. 정책 확인란을 선택합니다.

설정 선택기 옵션의 스크린샷

완료되면 왼쪽의 패널에 CSP 범주와 추가한 설정이 추가됩니다. 여기에서 기본 설정에서 보안으로 구성할 수 있습니다.

설정 카탈로그의 스크린샷

동일한 프로필에 여러 구성을 계속 추가할 수 있으므로 한 번에 더 쉽게 할당할 수 있습니다.

사용자 지정 OMA-URI 정책 추가

일부 정책은 아직 설정 카탈로그에서 사용할 수 없습니다. 이러한 정책의 경우 사용자 지정 OMA-URI 프로필만들어야 합니다. MEM 관리 센터계정에 로그인합니다.

  1. 디바이스 ->구성 프로필 ->+프로필만들기로 이동합니다. 플랫폼의 경우 Windows 10 이상선택하고 프로필 유형에 대해 템플릿 선택하고 사용자 지정선택합니다.
  2. 프로필의 이름을 만들고 다음 단추를 선택합니다.
  3. 추가 단추를 선택합니다.

몇 가지 필드를 입력해야 합니다.

  • 이름을 지정하면 정책과 관련된 모든 항목의 이름을 지정할 수 있습니다. 이를 인식하는 데 사용하는 약식 이름일 수 있습니다.
  • 자세한 내용은 필요할 수 있습니다.
  • OMA-URI 정책이 있는 전체 OMA-URI 문자열입니다. 예: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • 데이터 형식은 이 정책이 허용하는 값의 형식입니다. 이 예제에서는 0에서 60 사이의 숫자이므로 정수를 선택했습니다.
  • 데이터 형식을 선택하면 필드에 필요한 값을 쓰거나 업로드할 수 있습니다.

OMA-URI 구성 스크린샷

완료되면 정책이 주 창에 추가됩니다. 동일한 사용자 지정 구성에 모든 사용자 지정 정책을 계속 추가할 수 있습니다. 이렇게 하면 여러 디바이스 구성 관리를 줄이고 할당을 더 쉽게 수행할 수 있습니다.

OMA-URI 구성의 스크린샷