HoloLens 2 보안 기준
중요
이 보안 기준에 사용되는 정책 중 일부는 최신 참가자 빌드에 도입되었습니다. 이러한 정책은 최신 참가자 빌드로 업데이트된 디바이스에서만 작동합니다.
이 문서에서는 CSP(구성 서비스 공급자)를 사용하여 HoloLens 2 구성할 수 있는 다양한 보안 기준 설정을 나열하고 설명합니다. Microsoft Endpoint Manager(공식적으로 Microsoft Intune라고 함)를 사용하는 모바일 디바이스 관리의 일부로 조직 정책 및 요구 사항에 따라 다음 표준 또는 고급 보안 기준 설정을 사용합니다. 이러한 보안 기준 설정을 사용하여 조직 리소스를 보호합니다.
- 표준 보안 기준 설정은 사용 사례 시나리오 및 업계 수직에 관계없이 모든 유형의 사용자에게 적용됩니다.
- 고급 보안 기준 설정은 환경에 대한 엄격한 보안 제어가 있고 해당 환경에서 사용되는 디바이스에 대해 엄격한 보안 정책이 필요한 사용자에게 권장되는 설정입니다.
이러한 보안 기준 설정은 다양한 산업의 고객에게 HoloLens 2 디바이스를 배포하고 지원하는 데 얻은 Microsoft의 모범 사례 지침 및 경험을 기반으로 합니다.
보안 기준을 검토하고 둘 다 또는 일부를 사용하기로 결정한 후에는 이러한 보안 기준선을 사용하도록 설정하는 방법을 검사.
1. 표준 보안 기준 설정
다음 섹션에서는 표준 보안 기준 프로필의 일부로 각 CSP의 권장 설정을 설명합니다.
1.1 정책 CSP
| 정책 이름 | 값 | 설명 |
|---|---|---|
| 계정 | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 허용되지 않음 | 사용자가 비 이메일 관련 연결 인증 및 서비스에 MSA 계정을 사용하도록 제한합니다. |
| 애플리케이션 관리 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 명시적 거부 | Microsoft Store가 아닌 앱을 명시적으로 거부합니다. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 허용됨 | Microsoft Store에서 앱 자동 업데이트를 허용합니다. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 명시적 거부 | 사용자가 개발자 모드의 잠금을 해제하도록 제한하면 사용자가 IDE에서 디바이스에 앱을 설치할 수 있습니다. |
| 브라우저 | ||
| Browser/AllowCookies | 1 – 타사 웹 사이트에서 쿠키만 차단 | 이 정책을 사용하면 타사 쿠키만 차단하거나 모든 쿠키를 차단하도록 Microsoft Edge를 구성할 수 있습니다. |
| Browser/AllowPasswordManager | 0 – 허용되지 않음 | 암호 관리자를 사용하도록 Microsoft Edge를 허용하지 않습니다. |
| Browser/AllowSmartScreen | 1 – 켜짐 | Windows Defender SmartScreen을 켜고 사용자가 끄지 못하도록 합니다. |
| 연결 | ||
| Connectivity/AllowUSBConnection | 0 – 허용되지 않음 | 디바이스와 컴퓨터 간의 USB 연결을 사용하지 않도록 설정하여 디바이스와 파일을 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그합니다. |
| 디바이스 잠금 | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – 허용되지 않음 | PIN 또는 암호 없이 유휴 상태에서 반환을 허용하지 않습니다. |
| DeviceLock/AllowSimpleDevicePassword | 0 – 차단됨 | PIN 또는 암호(예: "1111" 또는 "1234")를 차단합니다. |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – 암호 또는 숫자 PIN 필요 | 암호 또는 영숫자 PIN이 필요합니다. |
| DeviceLock/DevicePasswordEnabled | 0 – 사용 | 디바이스 잠금이 사용하도록 설정됩니다. |
| DeviceLock/MaxInactivityTimeDeviceLock | 0 < X 999 권장 값: 3인 정수 X < | 디바이스가 유휴 상태인 후 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - 숫자만 | 강력한 PIN 또는 암호에 필요한 복합 요소 유형(대문자 및 소문자, 숫자, 구두점) 수입니다. |
| DeviceLock/MinDevicePasswordLength | 정수 X( 클라이언트 디바이스의 경우 4 < X < 16) 커밋된 값: 8 | PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다. |
| MDM 등록 | ||
| Experience/AllowManualMDMUnenrollment | 0 – 허용되지 않음 | 사용자가 작업 공간 제어판을 사용하여 회사 계정을 삭제하도록 허용하지 않습니다. |
| ID | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | 캐시가 validRecommended 값이 될 일 수: 7일 | Microsoft Entra 그룹 멤버 자격 캐시가 유효해야 하는 일 수입니다. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | 유휴 시간(초)입니다. 커밋된 값: 60초 | Windows에서 디스플레이를 해제하기 전에 비활성 기간을 지정할 수 있습니다. |
| 설정 | ||
| Settings/AllowVPN | 0 – 허용되지 않음 | 사용자가 VPN 설정을 변경하는 것을 허용하지 않습니다. |
| 설정/PageVisibilityList | 사용자에게 표시되는 페이지의 단축된 이름입니다. 페이지 이름을 선택하거나 선택 취소하는 UI를 제공합니다. 숨길 권장 페이지에 대한 주석을 참조하세요. | 설정 앱에서 나열된 페이지만 사용자에게 표시하도록 허용합니다. |
| 시스템 | ||
| System/AllowStorageCard | 0 – 허용되지 않음 | SD 카드 사용이 허용되지 않으며 USB 드라이브가 비활성화됩니다. 이 설정은 스토리지 카드 프로그래밍 방식으로 액세스하는 것을 방지하지 않습니다. |
| 업데이트 | ||
| Update/AllowUpdateService | 1 – 허용됨 | Microsoft Update, Windows Server Update Services(WSUS) 또는 Microsoft Store에 대한 액세스를 허용합니다. |
| Update/ManagePreviewBuilds | 0 - 미리 보기 빌드 사용 안 함 | 미리 보기 빌드가 디바이스에 설치되도록 허용하지 않습니다. |
1.2 ClientCertificateInstall CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다.
1.3 PassportForWork CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| 테넌트 ID | TenantId | 비즈니스용 Windows Hello 프로비저닝 및 관리의 일부로 사용되는 중괄호({ , } )가 없는 GUID(Globally Unique Identifier)입니다. |
| TenantId/Policies/UsePassportForWork | True | 비즈니스용 Windows Hello Windows에 로그인하는 방법으로 설정합니다. |
| TenantId/Policies/RequireSecurityDevice | True | 비즈니스용 Windows Hello TPM(신뢰할 수 있는 플랫폼 모듈)이 필요합니다. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM 수정 버전 1.2 모듈은 비즈니스용 Windows Hello 사용할 수 있습니다. |
| TenantId/Policies/EnablePinRecovery | False | PIN 복구 비밀은 생성되거나 저장되지 않습니다. |
| TenantId/Policies/UseCertificateForOnPremAuth | False | PIN은 사용자가 로그인할 때 인증서 페이로드를 기다리지 않고 프로비전됩니다. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 길이는 이 숫자보다 크거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 길이는 이 숫자보다 작거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 숫자가 필요하고 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 숫자가 필요하고 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN에서 특수 문자를 사용할 수 없습니다. |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN에서 숫자를 사용할 수 있습니다. |
| TenantId/Policies/PINComplexity/History | 10 | 다시 사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN의 수입니다. |
| TenantId/Policies/PINComplexity/Expiration | 90 | 시스템에서 사용자가 PIN을 변경하도록 요구하기 전에 PIN을 사용할 수 있는 기간(일)입니다. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자에게 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 요청을 받을 때 생체 인식 요소를 사용할 수 있습니다. |
1.4 RootCATrustedCertificates CSP
이 CSP에서 루트, CA, TrustedPublisher 및 TrustedPeople 노드를 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다.
1.5 TenantLockdown CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| RequireNetworkInOOBE | True | 디바이스가 처음 로그인하거나 재설정한 후 OOBE를 통과하는 경우 사용자는 계속하기 전에 네트워크를 선택해야 합니다. "지금은 건너뛰기" 옵션이 없습니다. 이 옵션을 사용하면 실수로 또는 의도적인 초기화 또는 초기화 시 디바이스가 테넌트에 바인딩된 상태로 유지됩니다. |
1.6 VPNv2 CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
1.7 WiFi CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
2 고급 보안 기준 설정
다음 섹션에서는 고급 보안 기준 프로필의 일부로 각 CSP의 권장 설정을 설명합니다.
2.1 정책 CSP
| 정책 이름 | 값 | 설명 |
|---|---|---|
| 계정 | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 허용되지 않음 | 사용자가 비 메일 관련 연결 인증 및 서비스에 MSA 계정을 사용하도록 제한합니다. |
| 애플리케이션 관리 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 명시적 거부 | 비 Microsoft Store 앱을 명시적으로 거부합니다. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 허용됨 | Microsoft Store에서 앱의 자동 업데이트를 허용합니다. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 명시적 거부 | 사용자가 개발자 모드의 잠금을 해제하도록 제한하여 사용자가 IDE에서 디바이스에 앱을 설치할 수 있도록 합니다. |
| 인증 | ||
| Authentication/AllowFastReconnect | 0 – 허용되지 않음 | EAP 메서드 TLS에 대해 EAP 빠른 다시 연결을 시도하지 않도록 허용합니다. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – 허용되지 않음 | 다른 디바이스는 이 디바이스를 검색할 수 없습니다. |
| 브라우저 | ||
| Browser/AllowAutofill | 0 – 방지됨/허용되지 않음 | 사용자가 자동 채우기 기능을 사용하여 Microsoft Edge의 양식 필드를 자동으로 채웁히지 않도록 합니다. |
| Browser/AllowCookies | 1 – 타사 웹 사이트에서 쿠키만 차단 | 타사 웹 사이트에서 쿠키만 차단합니다. |
| Browser/AllowDoNotTrack | 0 - 추적 정보를 보내지 않습니다. | 추적 정보를 보내지 않습니다. |
| Browser/AllowPasswordManager | 0 – 허용되지 않음 | Microsoft Edge에서 암호 관리자를 사용하도록 허용하지 않습니다. |
| Browser/AllowPopups | 1 – 팝업 차단 켜기 | 팝업 차단을 켜면 팝업 창이 열리지 않습니다. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – 방지됨/허용되지 않음 | Microsoft Edge의 주소 표시줄에서 검색 제안을 숨깁니다. |
| Browser/AllowSmartScreen | 1 – 켜짐 | Windows Defender SmartScreen을 켜고 사용자가 끄지 못하도록 합니다. |
| 연결 | ||
| Connectivity/AllowBluetooth | 0 – Bluetooth 허용 불허 | Bluetooth 제어판이 회색으로 표시되고 사용자가 Bluetooth를 켤 수 없습니다. |
| Connectivity/AllowUSBConnection | 0 – 허용되지 않음 | 디바이스와 컴퓨터 간의 USB 연결을 사용하지 않도록 설정하여 파일을 디바이스와 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그합니다. |
| 디바이스 잠금 | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – 허용되지 않음 | PIN 또는 암호 없이 유휴 상태에서 반환을 허용하지 않습니다. |
| DeviceLock/AllowSimpleDevicePassword | 0 – 차단됨 | PIN 또는 암호(예: "1111" 또는 "1234")를 차단합니다. |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – 암호 또는 영숫자 PIN 필요 | 암호 또는 영숫자 PIN이 필요합니다. |
| DeviceLock/DevicePasswordEnabled | 0 – 사용 | 디바이스 잠금을 사용할 수 있습니다. |
| DeviceLock/DevicePasswordHistory | 정수 X( 0 < X < 50Recommended 값: 15) | 사용할 수 없는 기록에 저장할 암호 수를 지정합니다. |
| DeviceLock/MaxDevicePasswordFailedAttempts | 정수 X( 클라이언트 디바이스의 경우 4 < X < 16) 커밋된 값: 10 | 디바이스가 초기화되기 전에 허용되는 인증 실패 횟수입니다. |
| DeviceLock/MaxInactivityTimeDeviceLock | 0 < X 999 권장 값: 3인 정수 X < | 디바이스가 유휴 상태인 후 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - 숫자, 소문자 및 대문자가 필요합니다. | 강력한 PIN 또는 암호에 필요한 복합 요소 유형(대문자 및 소문자, 숫자, 구두점) 수입니다. |
| DeviceLock/MinDevicePasswordLength | 정수 X( 클라이언트 디바이스의 경우 4 < X < 16) 커밋된 값: 12 | PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다. |
| MDM 등록 | ||
| Experience/AllowManualMDMUnenrollment | 0 – 허용되지 않음 | 사용자가 작업 공간 제어판을 사용하여 회사 계정을 삭제하도록 허용하지 않습니다. |
| ID | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | validRecommended 값이 될 캐시의 일 수: 7일 | Microsoft Entra 그룹 멤버 자격 캐시가 유효해야 하는 일 수입니다. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | 유휴 시간(초) 커밋된 값: 60초 | Windows에서 디스플레이를 해제하기 전에 비활성 기간을 지정할 수 있습니다. |
| 개인 정보 보호 | ||
| Privacy/LetAppsAccess AccountInfo |
2 - 강제 거부 | 계정 정보에 대한 Windows 앱 액세스를 거부합니다. |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 Windows 앱은 계정 정보에 액세스할 수 있습니다. |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 Windows 앱은 계정 정보에 대한 액세스가 거부됩니다. |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 사용자는 나열된 Windows 앱에 대한 계정 정보 개인 정보 설정을 제어할 수 있습니다. |
| Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - 강제 거부 | 앱이 백그라운드에서 실행되는 동안 사용자의 머리, 손, 모션 컨트롤러 및 기타 추적된 개체의 움직임에 대한 Windows 앱 액세스를 거부합니다. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 앱은 앱이 백그라운드에서 실행되는 동안 사용자의 움직임에 액세스할 수 있습니다. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 앱이 백그라운드에서 실행되는 동안 나열된 앱은 사용자의 움직임에 대한 액세스가 거부됩니다. |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 사용자는 나열된 앱에 대한 사용자 이동 개인 정보 설정을 제어할 수 있습니다. |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 앱은 마이크에 대한 액세스가 거부됩니다. |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 사용자는 나열된 앱에 대한 마이크 개인 정보 설정을 제어할 수 있습니다. |
| 검색 | ||
| Search/AllowSearchToUseLocation | 0 – 허용되지 않음 | 위치 정보를 사용하도록 검색을 허용하지 않습니다. |
| 보안 | ||
| Security/AllowAddProvisioningPackage | 0 – 허용되지 않음 | 런타임 구성 에이전트가 프로비저닝 패키지를 설치하도록 허용하지 않습니다. |
| 설정 | ||
| Settings/AllowVPN | 0 – 허용되지 않음 | 사용자가 VPN 설정을 변경할 수 있도록 허용하지 않습니다. |
| 설정/PageVisibilityList | userWill에 표시되는 페이지의 단축된 이름은 페이지 이름을 선택하거나 선택 취소하는 UI를 제공합니다. 숨길 권장 페이지에 대한 주석을 참조하세요. | 설정 앱에서 나열된 페이지만 사용자에게 표시하도록 허용합니다. |
| 시스템 | ||
| System/AllowStorageCard | 0 – 허용되지 않음 | SD 카드 사용이 허용되지 않으며 USB 드라이브가 사용하지 않도록 설정됩니다. 이 설정은 스토리지 카드 프로그래밍 방식으로 액세스하는 것을 방지하지 않습니다. |
| System/AllowTelemetry | 0 - 허용되지 않음 | 디바이스가 Watson과 같은 진단 및 사용량 원격 분석 데이터를 전송하도록 허용하지 않습니다. |
| 업데이트 | ||
| Update/AllowUpdateService | 1 – 허용됨 | Microsoft Update, Windows Server Update Services(WSUS) 또는 Microsoft Store에 대한 액세스를 허용합니다. |
| Update/ManagePreviewBuilds | 0 - 미리 보기 빌드 사용 안 함 | 미리 보기 빌드가 디바이스에 설치되도록 허용하지 않습니다. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – 허용되지 않음 | MDM 서버 설치 네트워크 외부에서 Wi-Fi 연결을 허용하지 않습니다. |
2.2 AccountManagement CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| UserProfileManagement/EnableProfileManager | True | 공유 또는 공동 디바이스 시나리오에 대해 프로필 수명 관리를 사용하도록 설정합니다. |
| UserProfileManagement/DeletionPolicy | 2 - 스토리지 용량 임계값 및 프로필 비활성 임계값 모두에서 삭제 | 프로필이 삭제되는 시기를 구성합니다. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | 사용 가능한 스토리지 용량이 프로필에 사용할 수 있는 총 스토리지의 백분율로 지정된 이 임계값 아래로 떨어지면 프로필 삭제를 시작합니다. 가장 오랫동안 비활성 상태였던 프로필은 먼저 삭제됩니다. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | 사용 가능한 스토리지 용량이 이 임계값까지 올라가면 프로필에 사용할 수 있는 총 스토리지의 백분율로 지정된 경우 프로필 삭제를 중지합니다. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | 지정된 기간 동안 로그온하지 않은 프로필이 일 수로 지정된 경우 프로필 삭제를 시작합니다. |
2.3 ApplicationControl CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| 정책/정책 GUID | 정책 Blob의 정책 ID | 정책 Blob의 정책 ID입니다. |
| 정책/정책 GUID/정책 | 정책 Blob | base64로 인코딩된 정책 이진 Blob입니다. |
2.4 ClientCertificateInstall CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다.
2.5 PassportForWork CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| 테넌트 ID | TenantId | 비즈니스용 Windows Hello 프로비저닝 및 관리의 일부로 사용되는 중괄호({ , } )가 없는 GUID(Globally Unique Identifier)입니다. |
| TenantId/Policies/UsePassportForWork | True | 비즈니스용 Windows Hello Windows에 로그인하는 방법으로 설정합니다. |
| TenantId/Policies/RequireSecurityDevice | True | 비즈니스용 Windows Hello TPM(신뢰할 수 있는 플랫폼 모듈)이 필요합니다. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM 수정 버전 1.2 모듈은 비즈니스용 Windows Hello 사용할 수 있습니다. |
| TenantId/Policies/EnablePinRecovery | False | PIN 복구 비밀은 만들거나 저장되지 않습니다. |
| TenantId/Policies/UseCertificateForOnPremAuth | False | PIN은 사용자가 로그인할 때 인증서 페이로드를 기다리지 않고 프로비전됩니다. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 길이는 이 숫자보다 크거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 길이는 이 숫자보다 작거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 숫자가 필요하고 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 숫자가 필요하고 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN에서 특수 문자를 사용할 수 없습니다. |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN에서 숫자를 사용할 수 있습니다. |
| TenantId/Policies/PINComplexity/History | 10 | 재사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN의 수입니다. |
| TenantId/Policies/PINComplexity/Expiration | 90 | 시스템에서 사용자가 PIN을 변경해야 하기 전에 PIN을 사용할 수 있는 기간(일)입니다. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자가 인증서의 프라이빗 키 사용에 권한을 부여하라는 요청을 받을 때 생체 인식 요소를 사용할 수 있습니다. |
2.6 RootCATrustedCertificates CSP
이 CSP의 Root, CA, TrustedPublisher 및 TrustedPeople 노드를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다.
2.7 TenantLockdown CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| RequireNetworkInOOBE | True | 디바이스가 처음 로그인하거나 재설정한 후 OOBE를 통과하는 경우 사용자는 계속하기 전에 네트워크를 선택해야 합니다. "지금은 건너뛰기" 옵션이 없습니다. 이렇게 하면 실수로 또는 의도적인 초기화 또는 초기화 시 디바이스가 테넌트에 바인딩된 상태로 유지됩니다. |
2.8 VPNv2 CSP
VPN 프로필을 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
2.9 WiFi CSP
WiFi 프로필을 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
이러한 보안 기준선을 사용하도록 설정하는 방법
- 보안 기준을 검토하고 적용할 항목을 결정합니다.
- 기준을 할당할 Azure 그룹을 결정합니다. (사용자 및 그룹에 대한 자세한 내용은)
- 기준을 만듭니다.
기준을 만드는 방법은 다음과 같습니다.
설정 카탈로그를 사용하여 많은 설정을 추가할 수 있지만 설정 카탈로그에 아직 채워지지 않은 설정이 있을 수 있습니다. 이러한 경우 사용자 지정 정책 또는 OMA-URI(Open Mobile Alliance - Uniform Resource Identifier)를 사용합니다. 먼저 설정 카탈로그를 살펴보고 찾을 수 없는 경우 OMA-URI를 통해 사용자 지정 정책을 만들기 위한 아래 지침을 따릅니다.
설정 카탈로그
MEM 관리 센터에서 계정에 로그인합니다.
- 디바이스 ->구성 프로필 ->+프로필 만들기로 이동합니다. 플랫폼에서 Windows 10 이상을 선택하고 프로필 유형에 대해 설정 카탈로그(미리 보기)를 선택합니다.
- 프로필 이름을 만들고 다음 단추를 선택합니다.
- 구성 설정 화면에서 + 설정 추가를 선택합니다.
위의 기준에서 정책 이름을 사용하여 정책을 검색할 수 있습니다. 설정 카탈로그는 이름을 공백으로 지정하므로 "Accounts/AllowMicrosoftAccountConnection"을 찾으려면 "Microsoft 계정 연결 허용"을 검색해야 합니다. 검색한 후에는 정책 목록이 이 정책이 있는 CSP로 축소된 것을 볼 수 있습니다. 아래 정책 결과가 표시되면 계정 (또는 현재 검색 중인 항목과 관련된 CSP)을 선택합니다. 정책 확인란을 선택합니다.
완료되면 왼쪽의 패널에 CSP 범주와 추가한 설정이 추가됩니다. 여기에서 기본 설정에서 보안으로 구성할 수 있습니다.
동일한 프로필에 여러 구성을 계속 추가할 수 있으므로 한 번에 더 쉽게 할당할 수 있습니다.
사용자 지정 OMA-URI 정책 추가
일부 정책은 아직 설정 카탈로그에서 사용할 수 없습니다. 이러한 정책의 경우 사용자 지정 OMA-URI 프로필을 만들어야 합니다. MEM 관리 센터에서 계정에 로그인합니다.
- 디바이스 ->구성 프로필 ->+프로필 만들기로 이동합니다. 플랫폼에서 Windows 10 이상을 선택하고 프로필 유형에 대해 템플릿을 선택하고 사용자 지정을 선택합니다.
- 프로필 이름을 만들고 다음 단추를 선택합니다.
- 추가 단추를 선택합니다.
몇 가지 필드를 입력해야 합니다.
- 이름을 지정하면 정책과 관련된 모든 항목의 이름을 지정할 수 있습니다. 이를 인식하는 데 사용하는 약식 이름일 수 있습니다.
- 자세한 내용은 필요할 수 있습니다.
- OMA-URI는 정책이 있는 전체 OMA-URI 문자열입니다. 예:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - 데이터 형식은 이 정책이 허용하는 값의 형식입니다. 이 예제에서는 0에서 60 사이의 숫자이므로 정수가 선택되었습니다.
- 데이터 형식을 선택하면 필드에 필요한 값을 작성하거나 업로드할 수 있습니다.
완료되면 정책이 기본 창에 추가됩니다. 모든 사용자 지정 정책을 동일한 사용자 지정 구성에 계속 추가할 수 있습니다. 이렇게 하면 여러 디바이스 구성 관리를 줄이고 할당을 더 쉽게 수행할 수 있습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기