Lezen in het Engels

Delen via


HoloLens 2-beveiligingsbasislijnen

Belangrijk

Sommige beleidsregels die in deze beveiligingsbasislijn worden gebruikt, worden geïntroduceerd in onze nieuwste Insider-build. Deze beleidsregels werken alleen op apparaten die zijn bijgewerkt naar de nieuwste Insider-build.

In dit artikel worden de verschillende beveiligingsbasislijninstellingen beschreven die u op HoloLens 2 kunt configureren met behulp van CSP (Configuration Service Providers). Als onderdeel van het beheer van mobiele apparaten met Behulp van Microsoft Endpoint Manager (formeel bekend als Microsoft Intune), gebruikt u de volgende standaard- of geavanceerde beveiligingsbasislijninstellingen, afhankelijk van uw organisatiebeleid en behoeften. Gebruik deze beveiligingsbasislijninstellingen om uw organisatieresources te beveiligen.

  • Standaardinstellingen voor beveiligingsbasislijnen zijn van toepassing op alle typen gebruikers, ongeacht het use-casescenario en de branche verticaal.
  • Geavanceerde beveiligingsbasislijninstellingen worden aanbevolen voor gebruikers die strikte beveiligingscontroles van hun omgeving hebben en strenge beveiligingsbeleidsregels vereisen voor apparaten die in hun omgeving worden gebruikt.

Deze beveiligingsbasislijninstellingen zijn gebaseerd op de best practicerichtlijnen en ervaring van Microsoft bij het implementeren en ondersteunen van HoloLens 2-apparaten voor klanten in verschillende branches.

Nadat u de beveiligingsbasislijn hebt gecontroleerd en hebt besloten om de basislijn te gebruiken, beide of onderdelen, bekijkt u hoe u deze beveiligingsbasislijnen inschakelt

1. Standaardinstellingen voor beveiligingsbasislijn

In de volgende secties worden de aanbevolen instellingen van elke CSP beschreven als onderdeel van het standaardbeveiligingsbasislijnprofiel.

beleidsnaam waarde beschrijving
accounts
Accounts/AllowMicrosoftAccountConnection 0 – Niet toegestaan Beperk de gebruiker om een MSA-account te gebruiken voor niet-e-mailgerelateerde verbindingsverificatie en -services.
Application Management-
ApplicationManagement/AllowAllTrustedApps- 0 - Expliciet weigeren Weiger expliciet niet-Microsoft Store-apps.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Toegestaan Toestaan dat apps automatisch worden bijgewerkt vanuit de Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Expliciet weigeren Beperk de gebruiker om de ontwikkelaarsmodus te ontgrendelen, zodat de gebruiker apps op het apparaat kan installeren vanuit een IDE.
browser
Browser/AllowCookies- 1 – Alleen cookies van websites van derden blokkeren Met dit beleid kunt u Microsoft Edge zo configureren dat alleen cookies van derden worden geblokkeerd of dat alle cookies worden geblokkeerd.
Browser/AllowPasswordManager- 0 – Niet toegestaan Microsoft Edge niet toestaan om wachtwoordbeheer te gebruiken.
Browser/AllowSmartScreen- 1 – Ingeschakeld Hiermee schakelt u Windows Defender SmartScreen in en voorkomt u dat gebruikers het uitschakelen.
-connectiviteits
Connectivity/AllowUSBConnection 0 – Niet toegestaan Hiermee schakelt u een USB-verbinding tussen het apparaat en een computer uit om bestanden te synchroniseren met het apparaat of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen.
apparaatvergrendeling
DeviceLock/AllowIdleReturnWithoutPassword 0 – Niet toegestaan Retourneert niet-actief zonder pincode of wachtwoord.
DeviceLock/AllowSimpleDevicePassword 0 – Geblokkeerd Blokkeer pincodes of wachtwoorden, zoals '1111' of '1234'.
DeviceLock/AlphanumericDevicePasswordRequired 1 – Wachtwoord of numerieke pincode vereist Wachtwoord of alfanumerieke pincode vereisen.
DeviceLock/DevicePasswordEnabled 0 – Ingeschakeld Apparaatvergrendeling is ingeschakeld.
DeviceLock/MaxInactivityTimeDeviceLock Een geheel getal X waarbij 0 < X < 999 Aanbevolen waarde: 3 Hiermee geeft u de maximale tijdsduur (in minuten) op die is toegestaan nadat het apparaat inactief is, waardoor het apparaat wordt vergrendeld met een pincode of wachtwoord.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Alleen cijfers Het aantal complexe elementtypen (hoofdletters en kleine letters, cijfers en leestekens) dat is vereist voor een sterke pincode of wachtwoord.
DeviceLock/MinDevicePasswordLength- Een geheel getal X waarbij 4 < X < 16 voor clientapparatenRecommended waarde: 8 Hiermee geeft u het minimum aantal of tekens op dat is vereist in de pincode of het wachtwoord.
MDM-inschrijving
Experience/AllowManualMDMUnenrollment 0 – Niet toegestaan Hiermee staat u de gebruiker toe het werkplekaccount te verwijderen met behulp van het configuratiescherm van de werkplek.
identity
MixedReality/AADGroupMembershipCacheValidityInDays Aantal dagen dat de cache geldige waarde moet zijn: 7 dagen Het aantal dagen dat de microsoft Entra-groepslidmaatschapscache geldig moet zijn.
Power
Power/DisplayOffTimeoutPluggedIn Niet-actieve tijd in aantal secondenHerstelwaarden: 60 sec. Hiermee kunt u de periode van inactiviteit opgeven voordat Windows de weergave uitschakelt.
Instellingen
Settings/AllowVPN- 0 – Niet toegestaan Hiermee staat u de gebruiker toe vpn-instellingen te wijzigen.
Settings/PageVisibilityList Verkorte naam van de pagina's die zichtbaar zijn voor de gebruiker. Geeft een gebruikersinterface op om de paginanamen te selecteren of de selectie op te heffen. Zie opmerkingen voor aanbevolen pagina's die u wilt verbergen. Toestaan dat alleen vermelde pagina's worden weergegeven aan de gebruiker in de app Instellingen.
System
System/AllowStorageCard- 0 – Niet toegestaan SD-kaartgebruik is niet toegestaan en USB-stations zijn uitgeschakeld. Deze instelling voorkomt geen programmatische toegang tot de opslagkaart.
Updates
Update/AllowUpdateService- 1 – Toegestaan Toegang tot Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store toestaan.
Update/ManagePreviewBuilds 0 - Preview-builds uitschakelen Geen preview-versies mogen worden geïnstalleerd op het apparaat.

U wordt aangeraden deze CSP als best practice te configureren, maar geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP.

knooppuntnaam waarde beschrijving
Tenant-id TenantId- Een GUID (Globally Unique Identifier), zonder accolades ({ , }), die wordt gebruikt als onderdeel van het inrichten en beheren van Windows Hello voor Bedrijven.
TenantId/Policies/UsePassportForWork Waar Hiermee stelt u Windows Hello voor Bedrijven in als een methode voor het aanmelden bij Windows.
TenantId/Policies/RequireSecurityDevice Waar Vereist een TPM (Trusted Platform Module) voor Windows Hello voor Bedrijven.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Vals TPM-revisie 1.2-modules mogen worden gebruikt met Windows Hello voor Bedrijven.
TenantId/Policies/EnablePinRecovery Vals Het herstelgeheim voor pincodes wordt niet gemaakt of opgeslagen.
TenantId/Policies/UseCertificateForOnPremAuth Vals De pincode wordt ingericht wanneer de gebruiker zich aanmeldt, zonder te wachten op een nettolading van een certificaat.
TenantId/Policies/PINComplexity/MinimumPINLength 6 De lengte van de pincode moet groter zijn dan of gelijk zijn aan dit getal.
TenantId/Policies/PINComplexity/MaximumPINLength 6 De lengte van de pincode moet kleiner zijn dan of gelijk zijn aan dit getal.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Het gebruik van speciale tekens in de pincode is niet toegestaan.
TenantId/Policies/PINComplexity/Digits 0 Hiermee staat u het gebruik van cijfers in pincode toe.
TenantId/Policies/PINComplexity/History 10 Aantal eerdere pincodes dat kan worden gekoppeld aan een gebruikersaccount dat niet opnieuw kan worden gebruikt.
TenantId/Policies/PINComplexity/Expiration 90 Periode (in dagen) die een pincode kan worden gebruikt voordat de gebruiker deze moet wijzigen.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Vals Toepassingen gebruiken geen Windows Hello voor Bedrijven-certificaten als smartcardcertificaten en biometrische factoren zijn beschikbaar wanneer een gebruiker wordt gevraagd het gebruik van de persoonlijke sleutel van het certificaat te autoriseren.

U wordt aangeraden root-, CA-, TrustedPublisher- en TrustedPeople-knooppunten in deze CSP te configureren als aanbevolen procedure, maar wordt niet aanbevolen voor specifieke waarden voor elk knooppunt in deze CSP.

knooppuntnaam waarde beschrijving
RequireNetworkInOOBE Waar Wanneer het apparaat bij de eerste aanmelding of na het opnieuw instellen via OOBE gaat, moet de gebruiker een netwerk kiezen voordat u doorgaat. De optie 'Nu overslaan' is niet beschikbaar. Deze optie zorgt ervoor dat het apparaat gebonden blijft aan de tenant in geval van onbedoelde of opzettelijke resets of wissen.

We raden u aan deze CSP als best practice te configureren, maar we hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.

We raden u aan deze CSP als best practice te configureren, maar we hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.

2 Geavanceerde beveiligingsbasislijninstellingen

In de volgende secties worden de aanbevolen instellingen van elke CSP beschreven als onderdeel van het geavanceerde beveiligingsbasislijnprofiel.

beleidsnaam waarde beschrijving
accounts
Accounts/AllowMicrosoftAccountConnection 0 – Niet toegestaan Beperk de gebruiker om een MSA-account te gebruiken voor niet-e-mailgerelateerde verbindingsverificatie en -services.
Application Management-
ApplicationManagement/AllowAllTrustedApps- 0 - Expliciet weigeren Niet-Microsoft Store-apps expliciet weigeren.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Toegestaan Toestaan dat apps automatisch worden bijgewerkt vanuit de Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Expliciet weigeren Beperk de gebruiker om de ontwikkelaarsmodus te ontgrendelen, zodat de gebruiker apps op het apparaat kan installeren vanuit een IDE.
verificatie
Authentication/AllowFastReconnect 0 – Niet toegestaan EAP Fast Reconnect wordt niet meer geprobeerd voor EAP-methode TLS.
Bluetooth-
Bluetooth/AllowDiscoverableMode 0 – Niet toegestaan Andere apparaten kunnen dit apparaat niet detecteren.
browser
Browser/AllowAutofill- 0 – Voorkomen/niet toegestaan Voorkomen dat gebruikers de functie Automatisch doorvoeren gebruiken om de formuliervelden automatisch in te vullen in Microsoft Edge.
Browser/AllowCookies- 1 – Alleen cookies van websites van derden blokkeren Alleen cookies van websites van derden blokkeren.
Browser/AllowDoNotTrack- 0 - Nooit traceringsgegevens verzenden Verzend nooit traceringsgegevens.
Browser/AllowPasswordManager- 0 – Niet toegestaan Microsoft Edge niet toestaan om wachtwoordbeheer te gebruiken.
Browser/AllowPopups 1 – Pop-upblokkering inschakelen Schakel pop-upblokkering in om pop-upvensters niet te openen.
Browser/AllowSearchSuggestionsinAddressBar 0 – Voorkomen/niet toegestaan Zoeksuggesties verbergen in de adresbalk van Microsoft Edge.
Browser/AllowSmartScreen- 1 – Ingeschakeld Hiermee schakelt u Windows Defender SmartScreen in en voorkomt u dat gebruikers het uitschakelen.
-connectiviteits
Connectivity/AllowBluetooth- 0 – Bluetooth niet weigeren Het Bluetooth-configuratiescherm wordt grijs weergegeven en de gebruiker kan Bluetooth niet inschakelen.
Connectivity/AllowUSBConnection 0 – Niet toegestaan Hiermee schakelt u een USB-verbinding tussen het apparaat en een computer uit om bestanden te synchroniseren met het apparaat of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen.
apparaatvergrendeling
DeviceLock/AllowIdleReturnWithoutPassword 0 – Niet toegestaan Retourneert niet-actief zonder pincode of wachtwoord.
DeviceLock/AllowSimpleDevicePassword 0 – Geblokkeerd Blokkeer pincodes of wachtwoorden, zoals '1111' of '1234'.
DeviceLock/AlphanumericDevicePasswordRequired 0 : wachtwoord of alfanumerieke pincode vereist Wachtwoord of alfanumerieke pincode vereisen.
DeviceLock/DevicePasswordEnabled 0 – Ingeschakeld Apparaatvergrendeling is ingeschakeld.
DeviceLock/DevicePasswordHistory Een geheel getal X waarbij 0 < X < 50Herstelwaarde: 15 Hiermee geeft u op hoeveel wachtwoorden kunnen worden opgeslagen in de geschiedenis die niet kan worden gebruikt.
DeviceLock/MaxDevicePasswordFailedAttempts Een geheel getal X waarbij 4 < X < 16 voor clientapparatenRecommended waarde: 10 Het aantal verificatiefouten dat is toegestaan voordat het apparaat wordt gewist.
DeviceLock/MaxInactivityTimeDeviceLock Een geheel getal X waarbij 0 < X < 999 Aanbevolen waarde: 3 Hiermee geeft u de maximale tijdsduur (in minuten) op die is toegestaan nadat het apparaat inactief is, waardoor het apparaat wordt vergrendeld met een pincode of wachtwoord.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Cijfers, kleine letters en hoofdletters zijn vereist Het aantal complexe elementtypen (hoofdletters en kleine letters, cijfers en leestekens) dat is vereist voor een sterke pincode of wachtwoord.
DeviceLock/MinDevicePasswordLength- Een geheel getal X waarbij 4 < X < 16 voor clientapparatenRecommended waarde: 12 Hiermee geeft u het minimum aantal of tekens op dat is vereist in de pincode of het wachtwoord.
MDM-inschrijving
Experience/AllowManualMDMUnenrollment 0 – Niet toegestaan Hiermee staat u de gebruiker toe het werkplekaccount te verwijderen met behulp van het configuratiescherm van de werkplek.
identity
MixedReality/AADGroupMembershipCacheValidityInDays Aantal dagen dat de cache geldige waarde moet zijn: 7 dagen Het aantal dagen dat de microsoft Entra-groepslidmaatschapscache geldig moet zijn.
Power
Power/DisplayOffTimeoutPluggedIn Niet-actieve tijd in aantal secondenHerstelwaarden: 60 sec. Hiermee kunt u de periode van inactiviteit opgeven voordat Windows de weergave uitschakelt.
Privacy-
Privacy/LetAppsAccess-
AccountInfo-
2 - Weigeren afdwingen Weigert Windows-apps toegang tot accountgegevens.
Privacy/LetAppsAccess-
AccountInfo_ForceAllowTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps Vermelde Windows-apps hebben toegang tot accountgegevens.
Privacy/LetAppsAccess-
AccountInfo_ForceDenyTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps Vermelde Windows-apps hebben geen toegang tot accountgegevens.
Privacy/LetAppsAccess-
AccountInfo_UserInControlOfTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps De gebruiker kan de privacyinstelling voor accountgegevens voor de vermelde Windows-apps beheren.
Privacy/LetAppsAccess-
BackgroundSpatialPerception-
2 - Weigeren afdwingen Weiger Windows-apps toegang tot de verplaatsing van het hoofd, de handen, bewegingscontrollers en andere bijgehouden objecten van de gebruiker, terwijl de apps op de achtergrond worden uitgevoerd.
Privacy/LetAppsAccess-
BackgroundSpatialPerception_ForceAllowTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps Vermelde apps hebben toegang tot de verplaatsingen van de gebruiker terwijl de apps op de achtergrond worden uitgevoerd.
Privacy/LetAppsAccess-
BackgroundSpatialPerception_ForceDenyTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps Vermelde apps hebben geen toegang tot de verplaatsingen van de gebruiker terwijl de apps op de achtergrond worden uitgevoerd.
Privacy/LetAppsAccess-
sBackgroundSpatialPerception_UserInControlOfTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps De gebruiker kan de privacyinstelling voor gebruikersverplaatsingen voor de vermelde apps beheren.
Privacy/LetAppsAccess-
Microphone_ForceDenyTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Microsoft Store-apps Vermelde apps hebben geen toegang tot de microfoon.
Privacy/LetAppsAccess-
Microphone_UserInControlOfTheseApps
Lijst met door puntkomma's gescheiden pakketfamilienamen van Microsoft Store-apps De gebruiker kan de privacyinstelling voor de microfoon voor de vermelde apps beheren.
zoeken
Search/AllowSearchToUseLocation 0 – Niet toegestaan Zoekactie niet toe om locatiegegevens te gebruiken.
Security
Security/AllowAddProvisioningPackage 0 – Niet toegestaan Hiermee staat u de runtimeconfiguratieagent toe om inrichtingspakketten te installeren.
Instellingen
Settings/AllowVPN- 0 – Niet toegestaan Hiermee staat u de gebruiker toe vpn-instellingen te wijzigen.
Settings/PageVisibilityList Verkorte naam van de pagina's die zichtbaar zijn voor de gebruikerWill, geeft een gebruikersinterface op om de paginanamen te selecteren of de selectie ervan op te heffen. Zie opmerkingen voor aanbevolen pagina's die u wilt verbergen. Toestaan dat alleen vermelde pagina's worden weergegeven aan de gebruiker in de app Instellingen.
System
System/AllowStorageCard- 0 – Niet toegestaan SD-kaartgebruik is niet toegestaan en USB-stations zijn uitgeschakeld. Deze instelling voorkomt geen programmatische toegang tot de opslagkaart.
System/AllowTelemetry- 0 - Niet toegestaan Hiermee staat u toe dat het apparaat diagnostische gegevens en gebruikstelemetriegegevens verzendt, zoals Watson.
Updates
Update/AllowUpdateService- 1 – Toegestaan Toegang tot Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store toestaan.
Update/ManagePreviewBuilds 0 - Preview-builds uitschakelen Geen preview-versies mogen worden geïnstalleerd op het apparaat.
Wi-Fi-
Wifi/AllowManualWiFiConfiguration- 0 – Niet toegestaan U kunt geen verbinding maken met Wi-Fi buiten op de MDM-server geïnstalleerde netwerken.
knooppuntnaam waarde beschrijving
UserProfileManagement/EnableProfileManager Waar Schakel levensduurbeheer van profielen in voor scenario's met gedeelde of gemeenschappelijke apparaten.
UserProfileManagement/DeletionPolicy 2 : verwijderen bij zowel drempelwaarde voor opslagcapaciteit als profiel-inactiviteitsdrempel Hiermee configureert u wanneer profielen worden verwijderd.
UserProfileManagement/StorageCapacityStartDeletion 25% Begin met het verwijderen van profielen wanneer de beschikbare opslagcapaciteit onder deze drempelwaarde valt, gegeven als percentage van de totale beschikbare opslagruimte voor profielen. Profielen die inactief zijn geweest, worden eerst verwijderd.
UserProfileManagement/StorageCapacityStopDeletion 50% Stop met het verwijderen van profielen wanneer de beschikbare opslagcapaciteit tot deze drempelwaarde wordt gebracht, gegeven als percentage van de totale beschikbare opslagruimte voor profielen.
UserProfileManagement/ProfileInactivityThreshold 30 Begin met het verwijderen van profielen wanneer ze niet zijn aangemeld tijdens de opgegeven periode, gegeven als aantal dagen.
knooppuntnaam waarde beschrijving
Beleid/beleids-GUID beleids-id in de beleidsblob Beleids-id in de beleidsblob.
Beleid/Beleids-GUID/Policy beleidsblob Binaire blobbeleid gecodeerd in base64.

U wordt aangeraden deze CSP als best practice te configureren, maar geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP.

knooppuntnaam waarde beschrijving
Tenant-id TenantId- Een GUID (Globally Unique Identifier), zonder accolades ({ , }), die wordt gebruikt als onderdeel van het inrichten en beheren van Windows Hello voor Bedrijven.
TenantId/Policies/UsePassportForWork Waar Hiermee stelt u Windows Hello voor Bedrijven in als een methode voor het aanmelden bij Windows.
TenantId/Policies/RequireSecurityDevice Waar Vereist een TPM (Trusted Platform Module) voor Windows Hello voor Bedrijven.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Vals TPM-revisie 1.2-modules mogen worden gebruikt met Windows Hello voor Bedrijven.
TenantId/Policies/EnablePinRecovery Vals Het herstelgeheim voor pincodes wordt niet gemaakt of opgeslagen.
TenantId/Policies/UseCertificateForOnPremAuth Vals De pincode wordt ingericht wanneer de gebruiker zich aanmeldt, zonder te wachten op een nettolading van een certificaat.
TenantId/Policies/PINComplexity/MinimumPINLength 6 De lengte van de pincode moet groter zijn dan of gelijk zijn aan dit getal.
TenantId/Policies/PINComplexity/MaximumPINLength 6 De lengte van de pincode moet kleiner zijn dan of gelijk zijn aan dit getal.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Het gebruik van speciale tekens in de pincode is niet toegestaan.
TenantId/Policies/PINComplexity/Digits 0 Hiermee staat u het gebruik van cijfers in pincode toe.
TenantId/Policies/PINComplexity/History 10 Aantal eerdere pincodes dat kan worden gekoppeld aan een gebruikersaccount dat niet opnieuw kan worden gebruikt.
TenantId/Policies/PINComplexity/Expiration 90 Periode (in dagen) die een pincode kan worden gebruikt voordat de gebruiker deze moet wijzigen.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Vals Toepassingen gebruiken geen Windows Hello voor Bedrijven-certificaten als smartcardcertificaten en biometrische factoren zijn beschikbaar wanneer een gebruiker wordt gevraagd het gebruik van de persoonlijke sleutel van het certificaat te autoriseren.

Het is raadzaam om basis-, CA-, TrustedPublisher- en TrustedPeople-knooppunten in deze CSP te configureren als best practice, maar niet voor specifieke waarden voor elk knooppunt in deze CSP.

knooppuntnaam waarde beschrijving
RequireNetworkInOOBE Waar Wanneer het apparaat bij de eerste aanmelding of na het opnieuw instellen via OOBE gaat, moet de gebruiker een netwerk kiezen voordat u doorgaat. De optie 'Nu overslaan' is niet beschikbaar. Dit zorgt ervoor dat het apparaat gebonden blijft aan de tenant in geval van onbedoeld of opzettelijk opnieuw instellen of wissen.

We raden u aan VPN-profielen te configureren als best practice, maar raden geen specifieke waarden aan voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.

We raden u aan Wi-Fi-profielen als best practice te configureren, maar raden geen specifieke waarden aan voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.

Deze beveiligingsbasislijnen inschakelen

  1. Controleer de beveiligingsbasislijn en bepaal wat u wilt toepassen.
  2. Bepaal aan welke Azure-groepen u de basislijn toewijst. (Meer informatie over gebruikers en groepen)
  3. Maak de basislijn.

U maakt als volgt de basislijn.

Veel van de instellingen kunnen worden toegevoegd met behulp van de catalogus Instellingen, maar soms is er mogelijk een instelling die nog niet is ingevuld in de catalogus Instellingen. In dergelijke gevallen gebruikt u een aangepast beleid of OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Kijk eerst in de catalogus Instellingen en als deze niet wordt gevonden, volgt u de onderstaande instructies voor het maken van een aangepast beleid via OMA-URI.

Catalogus met instellingen

Meld u aan bij uw account in het MEM-beheercentrum.

  1. Navigeer naar Apparaten ->Configuratieprofielen ->+Profiel maken. Selecteer voor Platform Windows 10 en hogeren selecteer voor profieltype instellingencatalogus (preview).
  2. Maak een naam voor het profiel en selecteer de knop Volgende.
  3. Selecteer in het scherm Configuratie-instellingen + Instellingen toevoegen.

Met behulp van de naam van het beleid uit de bovenstaande basislijn kunt u zoeken naar het beleid. In de instellingencatalogus wordt de naam weergegeven, dus als u Accounts/AllowMicrosoftAccountConnection wilt vinden, moet u zoeken in 'Verbinding met Microsoft-account toestaan'. Nadat u hebt gezocht, ziet u de lijst met beleidsregels die zijn gereduceerd tot alleen de CSP die dit beleid heeft. Selecteer Accounts (of de relevante CSP voor wat u momenteel zoekt), zodra u het beleidsresultaat hieronder ziet. Schakel het selectievakje voor het beleid in.

Schermopname van de optie instellingenkiezer.

Als u klaar bent, voegt het deelvenster aan de linkerkant de CSP-categorie en de instelling toe die u hebt toegevoegd. Hier kunt u deze configureren vanuit de standaardinstelling, naar een veiligere instelling.

schermopname van de instellingencatalogus.

U kunt meerdere configuraties blijven toevoegen aan hetzelfde profiel, waardoor het eenvoudiger wordt om in één keer toe te wijzen.

Aangepast OMA-URI-beleid toevoegen

Sommige beleidsregels zijn mogelijk nog niet beschikbaar in de catalogus Instellingen. Voor deze beleidsregels moet u een aangepast OMA-URI profiel maken. Meld u aan bij uw account in het MEM-beheercentrum.

  1. Navigeer naar Apparaten ->Configuratieprofielen ->+Profiel maken. Selecteer voor Platform Windows 10 en hogeren selecteer voor profieltype Sjablonen en selecteer Aangepaste.
  2. Maak een naam voor het profiel en selecteer de knop Volgende.
  3. Selecteer de knop Toevoegen.

U moet enkele velden invullen.

  • U kunt deze naam geven aan alles wat u nodig hebt met betrekking tot het beleid. Dit kan een verkorte naam zijn die u gebruikt om deze te herkennen.
  • Beschrijving bevat meer details die u mogelijk nodig hebt.
  • De OMA-URI is de volledige OMA-URI tekenreeks waarin het beleid zich bevindt. Voorbeeld: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Het gegevenstype is het type waarde dat door dit beleid wordt geaccepteerd. In dit voorbeeld is het een getal tussen 0 en 60, dus integer is geselecteerd.
  • Zodra u het gegevenstype selecteert, kunt u de benodigde waarde naar het veld schrijven of uploaden.

schermopname van OMA-URI configureren.

Als u klaar bent, wordt uw beleid toegevoegd aan het hoofdvenster. U kunt al uw aangepaste beleidsregels blijven toevoegen aan dezelfde aangepaste configuratie. Dit vermindert het beheer van meerdere apparaatconfiguraties en maakt het toewijzen eenvoudiger.

Schermopname van OMA-URI configuratie.