HoloLens 2-beveiligingsbasislijnen
Belangrijk
Sommige beleidsregels die in deze beveiligingsbasislijn worden gebruikt, worden geïntroduceerd in onze nieuwste Insider-build. Deze beleidsregels werken alleen op apparaten die zijn bijgewerkt naar de nieuwste Insider-build.
In dit artikel worden de verschillende beveiligingsbasislijninstellingen beschreven die u op HoloLens 2 kunt configureren met behulp van CSP (Configuration Service Providers). Als onderdeel van het beheer van mobiele apparaten met Behulp van Microsoft Endpoint Manager (formeel bekend als Microsoft Intune), gebruikt u de volgende standaard- of geavanceerde beveiligingsbasislijninstellingen, afhankelijk van uw organisatiebeleid en behoeften. Gebruik deze beveiligingsbasislijninstellingen om uw organisatieresources te beveiligen.
- Standaardinstellingen voor beveiligingsbasislijnen zijn van toepassing op alle typen gebruikers, ongeacht het use-casescenario en de branche verticaal.
- Geavanceerde beveiligingsbasislijninstellingen worden aanbevolen voor gebruikers die strikte beveiligingscontroles van hun omgeving hebben en strenge beveiligingsbeleidsregels vereisen voor apparaten die in hun omgeving worden gebruikt.
Deze beveiligingsbasislijninstellingen zijn gebaseerd op de best practicerichtlijnen en ervaring van Microsoft bij het implementeren en ondersteunen van HoloLens 2-apparaten voor klanten in verschillende branches.
Nadat u de beveiligingsbasislijn hebt gecontroleerd en hebt besloten om de basislijn te gebruiken, beide of onderdelen, bekijkt u hoe u deze beveiligingsbasislijnen inschakelt
1. Standaardinstellingen voor beveiligingsbasislijn
In de volgende secties worden de aanbevolen instellingen van elke CSP beschreven als onderdeel van het standaardbeveiligingsbasislijnprofiel.
1.1 beleids-CSP-
| beleidsnaam | waarde | beschrijving |
|---|---|---|
| accounts | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Niet toegestaan | Beperk de gebruiker om een MSA-account te gebruiken voor niet-e-mailgerelateerde verbindingsverificatie en -services. |
| Application Management- | ||
| ApplicationManagement/AllowAllTrustedApps- | 0 - Expliciet weigeren | Weiger expliciet niet-Microsoft Store-apps. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Toegestaan | Toestaan dat apps automatisch worden bijgewerkt vanuit de Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Expliciet weigeren | Beperk de gebruiker om de ontwikkelaarsmodus te ontgrendelen, zodat de gebruiker apps op het apparaat kan installeren vanuit een IDE. |
| browser | ||
| Browser/AllowCookies- | 1 – Alleen cookies van websites van derden blokkeren | Met dit beleid kunt u Microsoft Edge zo configureren dat alleen cookies van derden worden geblokkeerd of dat alle cookies worden geblokkeerd. |
| Browser/AllowPasswordManager- | 0 – Niet toegestaan | Microsoft Edge niet toestaan om wachtwoordbeheer te gebruiken. |
| Browser/AllowSmartScreen- | 1 – Ingeschakeld | Hiermee schakelt u Windows Defender SmartScreen in en voorkomt u dat gebruikers het uitschakelen. |
| -connectiviteits | ||
| Connectivity/AllowUSBConnection | 0 – Niet toegestaan | Hiermee schakelt u een USB-verbinding tussen het apparaat en een computer uit om bestanden te synchroniseren met het apparaat of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen. |
| apparaatvergrendeling | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Niet toegestaan | Retourneert niet-actief zonder pincode of wachtwoord. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Geblokkeerd | Blokkeer pincodes of wachtwoorden, zoals '1111' of '1234'. |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Wachtwoord of numerieke pincode vereist | Wachtwoord of alfanumerieke pincode vereisen. |
| DeviceLock/DevicePasswordEnabled | 0 – Ingeschakeld | Apparaatvergrendeling is ingeschakeld. |
| DeviceLock/MaxInactivityTimeDeviceLock | Een geheel getal X waarbij 0 < X < 999 Aanbevolen waarde: 3 | Hiermee geeft u de maximale tijdsduur (in minuten) op die is toegestaan nadat het apparaat inactief is, waardoor het apparaat wordt vergrendeld met een pincode of wachtwoord. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Alleen cijfers | Het aantal complexe elementtypen (hoofdletters en kleine letters, cijfers en leestekens) dat is vereist voor een sterke pincode of wachtwoord. |
| DeviceLock/MinDevicePasswordLength- | Een geheel getal X waarbij 4 < X < 16 voor clientapparatenRecommended waarde: 8 | Hiermee geeft u het minimum aantal of tekens op dat is vereist in de pincode of het wachtwoord. |
| MDM-inschrijving |
||
| Experience/AllowManualMDMUnenrollment | 0 – Niet toegestaan | Hiermee staat u de gebruiker toe het werkplekaccount te verwijderen met behulp van het configuratiescherm van de werkplek. |
| identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Aantal dagen dat de cache geldige waarde moet zijn: 7 dagen | Het aantal dagen dat de microsoft Entra-groepslidmaatschapscache geldig moet zijn. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Niet-actieve tijd in aantal secondenHerstelwaarden: 60 sec. | Hiermee kunt u de periode van inactiviteit opgeven voordat Windows de weergave uitschakelt. |
| Instellingen | ||
| Settings/AllowVPN- | 0 – Niet toegestaan | Hiermee staat u de gebruiker toe vpn-instellingen te wijzigen. |
| Settings/PageVisibilityList | Verkorte naam van de pagina's die zichtbaar zijn voor de gebruiker. Geeft een gebruikersinterface op om de paginanamen te selecteren of de selectie op te heffen. Zie opmerkingen voor aanbevolen pagina's die u wilt verbergen. | Toestaan dat alleen vermelde pagina's worden weergegeven aan de gebruiker in de app Instellingen. |
| System | ||
| System/AllowStorageCard- | 0 – Niet toegestaan | SD-kaartgebruik is niet toegestaan en USB-stations zijn uitgeschakeld. Deze instelling voorkomt geen programmatische toegang tot de opslagkaart. |
| Updates | ||
| Update/AllowUpdateService- | 1 – Toegestaan | Toegang tot Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store toestaan. |
| Update/ManagePreviewBuilds | 0 - Preview-builds uitschakelen | Geen preview-versies mogen worden geïnstalleerd op het apparaat. |
1.2 ClientCertificateInstall CSP-
U wordt aangeraden deze CSP als best practice te configureren, maar geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP.
1.3 PassportForWork CSP
| knooppuntnaam | waarde | beschrijving |
|---|---|---|
| Tenant-id | TenantId- | Een GUID (Globally Unique Identifier), zonder accolades ({ , }), die wordt gebruikt als onderdeel van het inrichten en beheren van Windows Hello voor Bedrijven. |
| TenantId/Policies/UsePassportForWork | Waar | Hiermee stelt u Windows Hello voor Bedrijven in als een methode voor het aanmelden bij Windows. |
| TenantId/Policies/RequireSecurityDevice | Waar | Vereist een TPM (Trusted Platform Module) voor Windows Hello voor Bedrijven. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Vals | TPM-revisie 1.2-modules mogen worden gebruikt met Windows Hello voor Bedrijven. |
| TenantId/Policies/EnablePinRecovery | Vals | Het herstelgeheim voor pincodes wordt niet gemaakt of opgeslagen. |
| TenantId/Policies/UseCertificateForOnPremAuth | Vals | De pincode wordt ingericht wanneer de gebruiker zich aanmeldt, zonder te wachten op een nettolading van een certificaat. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | De lengte van de pincode moet groter zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | De lengte van de pincode moet kleiner zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Het gebruik van speciale tekens in de pincode is niet toegestaan. |
| TenantId/Policies/PINComplexity/Digits | 0 | Hiermee staat u het gebruik van cijfers in pincode toe. |
| TenantId/Policies/PINComplexity/History | 10 | Aantal eerdere pincodes dat kan worden gekoppeld aan een gebruikersaccount dat niet opnieuw kan worden gebruikt. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periode (in dagen) die een pincode kan worden gebruikt voordat de gebruiker deze moet wijzigen. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Vals | Toepassingen gebruiken geen Windows Hello voor Bedrijven-certificaten als smartcardcertificaten en biometrische factoren zijn beschikbaar wanneer een gebruiker wordt gevraagd het gebruik van de persoonlijke sleutel van het certificaat te autoriseren. |
1.4 RootCATrustedCertificates CSP
U wordt aangeraden root-, CA-, TrustedPublisher- en TrustedPeople-knooppunten in deze CSP te configureren als aanbevolen procedure, maar wordt niet aanbevolen voor specifieke waarden voor elk knooppunt in deze CSP.
1.5 TenantLockdown-CSP-
| knooppuntnaam | waarde | beschrijving |
|---|---|---|
| RequireNetworkInOOBE | Waar | Wanneer het apparaat bij de eerste aanmelding of na het opnieuw instellen via OOBE gaat, moet de gebruiker een netwerk kiezen voordat u doorgaat. De optie 'Nu overslaan' is niet beschikbaar. Deze optie zorgt ervoor dat het apparaat gebonden blijft aan de tenant in geval van onbedoelde of opzettelijke resets of wissen. |
1.6 VPNv2 CSP-
We raden u aan deze CSP als best practice te configureren, maar we hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
1.7 WiFi CSP-
We raden u aan deze CSP als best practice te configureren, maar we hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
2 Geavanceerde beveiligingsbasislijninstellingen
In de volgende secties worden de aanbevolen instellingen van elke CSP beschreven als onderdeel van het geavanceerde beveiligingsbasislijnprofiel.
2.1 Beleids-CSP-
| beleidsnaam | waarde | beschrijving |
|---|---|---|
| accounts | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Niet toegestaan | Beperk de gebruiker om een MSA-account te gebruiken voor niet-e-mailgerelateerde verbindingsverificatie en -services. |
| Application Management- | ||
| ApplicationManagement/AllowAllTrustedApps- | 0 - Expliciet weigeren | Niet-Microsoft Store-apps expliciet weigeren. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Toegestaan | Toestaan dat apps automatisch worden bijgewerkt vanuit de Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Expliciet weigeren | Beperk de gebruiker om de ontwikkelaarsmodus te ontgrendelen, zodat de gebruiker apps op het apparaat kan installeren vanuit een IDE. |
| verificatie | ||
| Authentication/AllowFastReconnect | 0 – Niet toegestaan | EAP Fast Reconnect wordt niet meer geprobeerd voor EAP-methode TLS. |
| Bluetooth- | ||
| Bluetooth/AllowDiscoverableMode | 0 – Niet toegestaan | Andere apparaten kunnen dit apparaat niet detecteren. |
| browser | ||
| Browser/AllowAutofill- | 0 – Voorkomen/niet toegestaan | Voorkomen dat gebruikers de functie Automatisch doorvoeren gebruiken om de formuliervelden automatisch in te vullen in Microsoft Edge. |
| Browser/AllowCookies- | 1 – Alleen cookies van websites van derden blokkeren | Alleen cookies van websites van derden blokkeren. |
| Browser/AllowDoNotTrack- | 0 - Nooit traceringsgegevens verzenden | Verzend nooit traceringsgegevens. |
| Browser/AllowPasswordManager- | 0 – Niet toegestaan | Microsoft Edge niet toestaan om wachtwoordbeheer te gebruiken. |
| Browser/AllowPopups | 1 – Pop-upblokkering inschakelen | Schakel pop-upblokkering in om pop-upvensters niet te openen. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Voorkomen/niet toegestaan | Zoeksuggesties verbergen in de adresbalk van Microsoft Edge. |
| Browser/AllowSmartScreen- | 1 – Ingeschakeld | Hiermee schakelt u Windows Defender SmartScreen in en voorkomt u dat gebruikers het uitschakelen. |
| -connectiviteits | ||
| Connectivity/AllowBluetooth- | 0 – Bluetooth niet weigeren | Het Bluetooth-configuratiescherm wordt grijs weergegeven en de gebruiker kan Bluetooth niet inschakelen. |
| Connectivity/AllowUSBConnection | 0 – Niet toegestaan | Hiermee schakelt u een USB-verbinding tussen het apparaat en een computer uit om bestanden te synchroniseren met het apparaat of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen. |
| apparaatvergrendeling | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Niet toegestaan | Retourneert niet-actief zonder pincode of wachtwoord. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Geblokkeerd | Blokkeer pincodes of wachtwoorden, zoals '1111' of '1234'. |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 : wachtwoord of alfanumerieke pincode vereist | Wachtwoord of alfanumerieke pincode vereisen. |
| DeviceLock/DevicePasswordEnabled | 0 – Ingeschakeld | Apparaatvergrendeling is ingeschakeld. |
| DeviceLock/DevicePasswordHistory | Een geheel getal X waarbij 0 < X < 50Herstelwaarde: 15 | Hiermee geeft u op hoeveel wachtwoorden kunnen worden opgeslagen in de geschiedenis die niet kan worden gebruikt. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Een geheel getal X waarbij 4 < X < 16 voor clientapparatenRecommended waarde: 10 | Het aantal verificatiefouten dat is toegestaan voordat het apparaat wordt gewist. |
| DeviceLock/MaxInactivityTimeDeviceLock | Een geheel getal X waarbij 0 < X < 999 Aanbevolen waarde: 3 | Hiermee geeft u de maximale tijdsduur (in minuten) op die is toegestaan nadat het apparaat inactief is, waardoor het apparaat wordt vergrendeld met een pincode of wachtwoord. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Cijfers, kleine letters en hoofdletters zijn vereist | Het aantal complexe elementtypen (hoofdletters en kleine letters, cijfers en leestekens) dat is vereist voor een sterke pincode of wachtwoord. |
| DeviceLock/MinDevicePasswordLength- | Een geheel getal X waarbij 4 < X < 16 voor clientapparatenRecommended waarde: 12 | Hiermee geeft u het minimum aantal of tekens op dat is vereist in de pincode of het wachtwoord. |
| MDM-inschrijving |
||
| Experience/AllowManualMDMUnenrollment | 0 – Niet toegestaan | Hiermee staat u de gebruiker toe het werkplekaccount te verwijderen met behulp van het configuratiescherm van de werkplek. |
| identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Aantal dagen dat de cache geldige waarde moet zijn: 7 dagen | Het aantal dagen dat de microsoft Entra-groepslidmaatschapscache geldig moet zijn. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Niet-actieve tijd in aantal secondenHerstelwaarden: 60 sec. | Hiermee kunt u de periode van inactiviteit opgeven voordat Windows de weergave uitschakelt. |
| Privacy- | ||
|
Privacy/LetAppsAccess- AccountInfo- |
2 - Weigeren afdwingen | Weigert Windows-apps toegang tot accountgegevens. |
|
Privacy/LetAppsAccess- AccountInfo_ForceAllowTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps | Vermelde Windows-apps hebben toegang tot accountgegevens. |
|
Privacy/LetAppsAccess- AccountInfo_ForceDenyTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps | Vermelde Windows-apps hebben geen toegang tot accountgegevens. |
|
Privacy/LetAppsAccess- AccountInfo_UserInControlOfTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps | De gebruiker kan de privacyinstelling voor accountgegevens voor de vermelde Windows-apps beheren. |
|
Privacy/LetAppsAccess- BackgroundSpatialPerception- |
2 - Weigeren afdwingen | Weiger Windows-apps toegang tot de verplaatsing van het hoofd, de handen, bewegingscontrollers en andere bijgehouden objecten van de gebruiker, terwijl de apps op de achtergrond worden uitgevoerd. |
|
Privacy/LetAppsAccess- BackgroundSpatialPerception_ForceAllowTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps | Vermelde apps hebben toegang tot de verplaatsingen van de gebruiker terwijl de apps op de achtergrond worden uitgevoerd. |
|
Privacy/LetAppsAccess- BackgroundSpatialPerception_ForceDenyTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps | Vermelde apps hebben geen toegang tot de verplaatsingen van de gebruiker terwijl de apps op de achtergrond worden uitgevoerd. |
|
Privacy/LetAppsAccess- sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps | De gebruiker kan de privacyinstelling voor gebruikersverplaatsingen voor de vermelde apps beheren. |
|
Privacy/LetAppsAccess- Microphone_ForceDenyTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Microsoft Store-apps | Vermelde apps hebben geen toegang tot de microfoon. |
|
Privacy/LetAppsAccess- Microphone_UserInControlOfTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Microsoft Store-apps | De gebruiker kan de privacyinstelling voor de microfoon voor de vermelde apps beheren. |
| zoeken | ||
| Search/AllowSearchToUseLocation | 0 – Niet toegestaan | Zoekactie niet toe om locatiegegevens te gebruiken. |
| Security | ||
| Security/AllowAddProvisioningPackage | 0 – Niet toegestaan | Hiermee staat u de runtimeconfiguratieagent toe om inrichtingspakketten te installeren. |
| Instellingen | ||
| Settings/AllowVPN- | 0 – Niet toegestaan | Hiermee staat u de gebruiker toe vpn-instellingen te wijzigen. |
| Settings/PageVisibilityList | Verkorte naam van de pagina's die zichtbaar zijn voor de gebruikerWill, geeft een gebruikersinterface op om de paginanamen te selecteren of de selectie ervan op te heffen. Zie opmerkingen voor aanbevolen pagina's die u wilt verbergen. | Toestaan dat alleen vermelde pagina's worden weergegeven aan de gebruiker in de app Instellingen. |
| System | ||
| System/AllowStorageCard- | 0 – Niet toegestaan | SD-kaartgebruik is niet toegestaan en USB-stations zijn uitgeschakeld. Deze instelling voorkomt geen programmatische toegang tot de opslagkaart. |
| System/AllowTelemetry- | 0 - Niet toegestaan | Hiermee staat u toe dat het apparaat diagnostische gegevens en gebruikstelemetriegegevens verzendt, zoals Watson. |
| Updates | ||
| Update/AllowUpdateService- | 1 – Toegestaan | Toegang tot Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store toestaan. |
| Update/ManagePreviewBuilds | 0 - Preview-builds uitschakelen | Geen preview-versies mogen worden geïnstalleerd op het apparaat. |
| Wi-Fi- | ||
| Wifi/AllowManualWiFiConfiguration- | 0 – Niet toegestaan | U kunt geen verbinding maken met Wi-Fi buiten op de MDM-server geïnstalleerde netwerken. |
2.2 AccountManagement CSP
| knooppuntnaam | waarde | beschrijving |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Waar | Schakel levensduurbeheer van profielen in voor scenario's met gedeelde of gemeenschappelijke apparaten. |
| UserProfileManagement/DeletionPolicy | 2 : verwijderen bij zowel drempelwaarde voor opslagcapaciteit als profiel-inactiviteitsdrempel | Hiermee configureert u wanneer profielen worden verwijderd. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Begin met het verwijderen van profielen wanneer de beschikbare opslagcapaciteit onder deze drempelwaarde valt, gegeven als percentage van de totale beschikbare opslagruimte voor profielen. Profielen die inactief zijn geweest, worden eerst verwijderd. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Stop met het verwijderen van profielen wanneer de beschikbare opslagcapaciteit tot deze drempelwaarde wordt gebracht, gegeven als percentage van de totale beschikbare opslagruimte voor profielen. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Begin met het verwijderen van profielen wanneer ze niet zijn aangemeld tijdens de opgegeven periode, gegeven als aantal dagen. |
2.3 ApplicationControl CSP-
| knooppuntnaam | waarde | beschrijving |
|---|---|---|
| Beleid/beleids-GUID | beleids-id in de beleidsblob | Beleids-id in de beleidsblob. |
| Beleid/Beleids-GUID/Policy | beleidsblob | Binaire blobbeleid gecodeerd in base64. |
2.4 ClientCertificateInstall CSP-
U wordt aangeraden deze CSP als best practice te configureren, maar geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP.
2.5 PassportForWork CSP
| knooppuntnaam | waarde | beschrijving |
|---|---|---|
| Tenant-id | TenantId- | Een GUID (Globally Unique Identifier), zonder accolades ({ , }), die wordt gebruikt als onderdeel van het inrichten en beheren van Windows Hello voor Bedrijven. |
| TenantId/Policies/UsePassportForWork | Waar | Hiermee stelt u Windows Hello voor Bedrijven in als een methode voor het aanmelden bij Windows. |
| TenantId/Policies/RequireSecurityDevice | Waar | Vereist een TPM (Trusted Platform Module) voor Windows Hello voor Bedrijven. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Vals | TPM-revisie 1.2-modules mogen worden gebruikt met Windows Hello voor Bedrijven. |
| TenantId/Policies/EnablePinRecovery | Vals | Het herstelgeheim voor pincodes wordt niet gemaakt of opgeslagen. |
| TenantId/Policies/UseCertificateForOnPremAuth | Vals | De pincode wordt ingericht wanneer de gebruiker zich aanmeldt, zonder te wachten op een nettolading van een certificaat. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | De lengte van de pincode moet groter zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | De lengte van de pincode moet kleiner zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Het gebruik van speciale tekens in de pincode is niet toegestaan. |
| TenantId/Policies/PINComplexity/Digits | 0 | Hiermee staat u het gebruik van cijfers in pincode toe. |
| TenantId/Policies/PINComplexity/History | 10 | Aantal eerdere pincodes dat kan worden gekoppeld aan een gebruikersaccount dat niet opnieuw kan worden gebruikt. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periode (in dagen) die een pincode kan worden gebruikt voordat de gebruiker deze moet wijzigen. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Vals | Toepassingen gebruiken geen Windows Hello voor Bedrijven-certificaten als smartcardcertificaten en biometrische factoren zijn beschikbaar wanneer een gebruiker wordt gevraagd het gebruik van de persoonlijke sleutel van het certificaat te autoriseren. |
2.6 RootCATrustedCertificates CSP
Het is raadzaam om basis-, CA-, TrustedPublisher- en TrustedPeople-knooppunten in deze CSP te configureren als best practice, maar niet voor specifieke waarden voor elk knooppunt in deze CSP.
2.7 TenantLockdown-CSP-
| knooppuntnaam | waarde | beschrijving |
|---|---|---|
| RequireNetworkInOOBE | Waar | Wanneer het apparaat bij de eerste aanmelding of na het opnieuw instellen via OOBE gaat, moet de gebruiker een netwerk kiezen voordat u doorgaat. De optie 'Nu overslaan' is niet beschikbaar. Dit zorgt ervoor dat het apparaat gebonden blijft aan de tenant in geval van onbedoeld of opzettelijk opnieuw instellen of wissen. |
2.8 VPNv2 CSP-
We raden u aan VPN-profielen te configureren als best practice, maar raden geen specifieke waarden aan voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
2.9 WiFi CSP-
We raden u aan Wi-Fi-profielen als best practice te configureren, maar raden geen specifieke waarden aan voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
Deze beveiligingsbasislijnen inschakelen
- Controleer de beveiligingsbasislijn en bepaal wat u wilt toepassen.
- Bepaal aan welke Azure-groepen u de basislijn toewijst. (Meer informatie over gebruikers en groepen)
- Maak de basislijn.
U maakt als volgt de basislijn.
Veel van de instellingen kunnen worden toegevoegd met behulp van de catalogus Instellingen, maar soms is er mogelijk een instelling die nog niet is ingevuld in de catalogus Instellingen. In dergelijke gevallen gebruikt u een aangepast beleid of OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Kijk eerst in de catalogus Instellingen en als deze niet wordt gevonden, volgt u de onderstaande instructies voor het maken van een aangepast beleid via OMA-URI.
Catalogus met instellingen
Meld u aan bij uw account in het MEM-beheercentrum.
- Navigeer naar Apparaten ->Configuratieprofielen ->+Profiel maken. Selecteer voor Platform Windows 10 en hogeren selecteer voor profieltype instellingencatalogus (preview).
- Maak een naam voor het profiel en selecteer de knop Volgende.
- Selecteer in het scherm Configuratie-instellingen + Instellingen toevoegen.
Met behulp van de naam van het beleid uit de bovenstaande basislijn kunt u zoeken naar het beleid. In de instellingencatalogus wordt de naam weergegeven, dus als u Accounts/AllowMicrosoftAccountConnection wilt vinden, moet u zoeken in 'Verbinding met Microsoft-account toestaan'. Nadat u hebt gezocht, ziet u de lijst met beleidsregels die zijn gereduceerd tot alleen de CSP die dit beleid heeft. Selecteer Accounts (of de relevante CSP voor wat u momenteel zoekt), zodra u het beleidsresultaat hieronder ziet. Schakel het selectievakje voor het beleid in.
Als u klaar bent, voegt het deelvenster aan de linkerkant de CSP-categorie en de instelling toe die u hebt toegevoegd. Hier kunt u deze configureren vanuit de standaardinstelling, naar een veiligere instelling.
U kunt meerdere configuraties blijven toevoegen aan hetzelfde profiel, waardoor het eenvoudiger wordt om in één keer toe te wijzen.
Aangepast OMA-URI-beleid toevoegen
Sommige beleidsregels zijn mogelijk nog niet beschikbaar in de catalogus Instellingen. Voor deze beleidsregels moet u een aangepast OMA-URI profiel maken. Meld u aan bij uw account in het MEM-beheercentrum.
- Navigeer naar Apparaten ->Configuratieprofielen ->+Profiel maken. Selecteer voor Platform Windows 10 en hogeren selecteer voor profieltype Sjablonen en selecteer Aangepaste.
- Maak een naam voor het profiel en selecteer de knop Volgende.
- Selecteer de knop Toevoegen.
U moet enkele velden invullen.
- U kunt deze naam geven aan alles wat u nodig hebt met betrekking tot het beleid. Dit kan een verkorte naam zijn die u gebruikt om deze te herkennen.
- Beschrijving bevat meer details die u mogelijk nodig hebt.
- De OMA-URI is de volledige OMA-URI tekenreeks waarin het beleid zich bevindt. Voorbeeld:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Het gegevenstype is het type waarde dat door dit beleid wordt geaccepteerd. In dit voorbeeld is het een getal tussen 0 en 60, dus integer is geselecteerd.
- Zodra u het gegevenstype selecteert, kunt u de benodigde waarde naar het veld schrijven of uploaden.
Als u klaar bent, wordt uw beleid toegevoegd aan het hoofdvenster. U kunt al uw aangepaste beleidsregels blijven toevoegen aan dezelfde aangepaste configuratie. Dit vermindert het beheer van meerdere apparaatconfiguraties en maakt het toewijzen eenvoudiger.
