HoloLens 2 beveiligingsbasislijnen
Belangrijk
Sommige beleidsregels die in deze beveiligingsbasislijn worden gebruikt, worden geïntroduceerd in onze nieuwste Insider-build. Dit beleid werkt alleen op apparaten die zijn bijgewerkt naar de nieuwste Insider-build.
In dit artikel worden de verschillende beveiligingsbasislijninstellingen beschreven die u kunt configureren op HoloLens 2 met behulp van CSP (Configuration Service Providers). Als onderdeel van het beheer van mobiele apparaten met Behulp van Microsoft Endpoint Manager (formeel bekend als Microsoft Intune), gebruikt u de volgende standaard- of geavanceerde beveiligingsbasislijninstellingen, afhankelijk van het beleid en de behoeften van uw organisatie. Gebruik deze beveiligingsbasislijninstellingen om uw organisatieresources te beveiligen.
- Standaardinstellingen voor beveiligingsbasislijnen zijn van toepassing op alle typen gebruikers, ongeacht het use-casescenario en de branche verticaal.
- Geavanceerde instellingen voor de beveiligingsbasislijn zijn aanbevolen instellingen voor gebruikers die strikte beveiligingscontroles voor hun omgeving hebben en een streng beveiligingsbeleid vereisen voor apparaten die in hun omgeving worden gebruikt.
Deze beveiligingsbasislijninstellingen zijn gebaseerd op de best practices van Microsoft en de ervaring die is opgedaan bij het implementeren en ondersteunen van HoloLens 2 apparaten voor klanten in verschillende branches.
Nadat u de beveiligingsbasislijn hebt bekeken en hebt besloten om de beveiligingsbasislijn, beide of onderdelen te gebruiken, bekijkt u hoe u deze beveiligingsbasislijnen inschakelt
1. Standaardinstellingen voor beveiligingsbasislijnen
In de volgende secties worden de aanbevolen instellingen van elke CSP beschreven als onderdeel van het standaardprofiel voor beveiligingsbasislijnen.
1.1 Beleids-CSP
| Beleidsnaam | Waarde | Beschrijving |
|---|---|---|
| Accounts | ||
| Accounts/AllowMicrosoftAccountConnection | 0 : niet toegestaan | Beperk de gebruiker om een MSA-account te gebruiken voor verbindingsverificatie en services die niet aan e-mail zijn gerelateerd. |
| Toepassingsbeheer | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Expliciet weigeren | Niet-Microsoft Store-apps expliciet weigeren. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1: toegestaan | Automatische updates van apps uit de Microsoft Store toestaan. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Expliciet weigeren | Beperk de gebruiker om de ontwikkelaarsmodus te ontgrendelen, zodat de gebruiker apps op het apparaat kan installeren vanuit een IDE. |
| Browser | ||
| Browser/AllowCookies | 1 – Alleen cookies van websites van derden blokkeren | Met dit beleid kunt u Microsoft Edge zo configureren dat alleen cookies van derden of alle cookies worden geblokkeerd. |
| Browser/AllowPasswordManager | 0 : niet toegestaan | Microsoft Edge niet toestaan om wachtwoordbeheer te gebruiken. |
| Browser/AllowSmartScreen | 1: ingeschakeld | Hiermee schakelt u Windows Defender SmartScreen in en voorkomt u dat gebruikers dit uitschakelen. |
| Connectiviteit | ||
| Connectivity/AllowUSBConnection | 0 : niet toegestaan | Hiermee schakelt u de USB-verbinding tussen het apparaat en een computer uit om bestanden te synchroniseren met het apparaat of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen. |
| Apparaatvergrendeling | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 : niet toegestaan | Retour niet toestaan van inactiviteit zonder pincode of wachtwoord. |
| DeviceLock/AllowSimpleDevicePassword | 0 : geblokkeerd | Blokkeer pincodes of wachtwoorden zoals '1111' of '1234'. |
| DeviceLock/AlphanumericDevicePasswordRequired | 1: wachtwoord of numerieke pincode vereist | Wachtwoord of alfanumerieke pincode vereisen. |
| DeviceLock/DevicePasswordEnabled | 0 : ingeschakeld | Apparaatvergrendeling is ingeschakeld. |
| DeviceLock/MaxInactivityTimeDeviceLock | Een geheel getal X waarbij 0 < X < 999 Aanbevolen waarde: 3 | Hiermee geeft u de maximale hoeveelheid tijd (in minuten) op die is toegestaan nadat het apparaat inactief is, waardoor de pincode of het wachtwoord van het apparaat wordt vergrendeld. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Alleen cijfers | Het aantal complexe elementtypen (hoofdletters en kleine letters, cijfers en leestekens) dat is vereist voor een sterke pincode of een sterk wachtwoord. |
| DeviceLock/MinDevicePasswordLength | Een geheel getal X waarbij 4 < x < 16 voor clientapparatenAanbevelende waarde wordt aanbevolen: 8 | Hiermee geeft u het minimale aantal of de minimale tekens vereist in de pincode of het wachtwoord. |
| MDM-inschrijving | ||
| Experience/AllowManualMDMUnenrollment | 0 : niet toegestaan | De gebruiker niet toestaan het werkplekaccount te verwijderen via het configuratiescherm van de werkplek. |
| Identiteit | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Aantal dagen dat de cache geldig Moet zijnAanbevelde waarde: 7 dagen | Het aantal dagen dat de Microsoft Entra cache voor groepslidmaatschap geldig moet zijn. |
| Macht | ||
| Power/DisplayOffTimeoutPluggedIn | Niet-actieve tijd in aantal secondenAanbevelende waarden: 60 seconden | Hiermee kunt u de periode van inactiviteit opgeven voordat Windows de weergave uitschakelt. |
| Instellingen | ||
| Settings/AllowVPN | 0 : niet toegestaan | De gebruiker niet toestaan om VPN-instellingen te wijzigen. |
| Instellingen/PageVisibilityList | Verkorte naam van de pagina's die zichtbaar zijn voor de gebruiker. Biedt een gebruikersinterface om de paginanamen te selecteren of de selectie op te heffen. Zie opmerkingen voor aanbevolen pagina's die u wilt verbergen. | Alleen vermelde pagina's mogen worden weergegeven voor de gebruiker in de app Instellingen. |
| Systeem | ||
| System/AllowStorageCard | 0 : niet toegestaan | Gebruik van SD-kaarten is niet toegestaan en USB-stations zijn uitgeschakeld. Deze instelling voorkomt programmatische toegang tot de opslagkaart niet. |
| Updates | ||
| Update/AllowUpdateService | 1: toegestaan | Toegang tot Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store toestaan. |
| Update/ManagePreviewBuilds | 0 - Preview-versies uitschakelen | Niet toestaan dat preview-versies op het apparaat worden geïnstalleerd. |
1.2 ClientCertificaat CSP installeren
We raden u aan deze CSP te configureren als best practice, maar hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP.
1.3 PassportForWork CSP
| Naam van knooppunt | Waarde | Beschrijving |
|---|---|---|
| Tenant-id | Tenant-ID | Een GUID (Globally Unique Identifier), zonder accolades ( { , } ), die wordt gebruikt als onderdeel van Windows Hello voor Bedrijven inrichting en beheer. |
| TenantId/Policies/UsePassportForWork | Waar | Hiermee stelt u Windows Hello voor Bedrijven in als een methode om u aan te melden bij Windows. |
| TenantId/Policies/RequireSecurityDevice | Waar | Vereist een Trusted Platform Module (TPM) voor Windows Hello voor Bedrijven. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM-revisie 1.2-modules mogen worden gebruikt met Windows Hello voor Bedrijven. |
| TenantId/Policies/EnablePinRecovery | False | Het pincodeherstelgeheim wordt niet gemaakt of opgeslagen. |
| TenantId/Policies/UseCertificateForOnPremAuth | False | De pincode wordt ingericht wanneer de gebruiker zich aanmeldt, zonder te wachten op een nettolading van het certificaat. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | De lengte van de pincode moet groter zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | De lengte van de pincode moet kleiner zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/Hoofdletterletters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Staat het gebruik van speciale tekens in pincode niet toe. |
| TenantId/Policies/PINComplexity/Digits | 0 | Hiermee staat u het gebruik van cijfers in pincode toe. |
| TenantId/Policies/PINComplexity/History | 10 | Het aantal eerdere pincodes dat kan worden gekoppeld aan een gebruikersaccount dat niet opnieuw kan worden gebruikt. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periode (in dagen) dat een pincode kan worden gebruikt voordat het systeem vereist dat de gebruiker deze wijzigt. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Niet waar | Toepassingen gebruiken Windows Hello voor Bedrijven certificaten niet als smartcardcertificaten en biometrische factoren zijn beschikbaar wanneer een gebruiker wordt gevraagd het gebruik van de persoonlijke sleutel van het certificaat te autoriseren. |
1.4 RootCATrustedCertificates CSP
U wordt aangeraden de knooppunten Root, CA, TrustedPublisher en TrustedPeople in deze CSP te configureren als best practice, maar wordt niet aanbevolen voor specifieke waarden voor elk knooppunt in deze CSP.
1.5 TenantLockdown CSP
| Naam van knooppunt | Waarde | Beschrijving |
|---|---|---|
| RequireNetworkInOOBE | Waar | Wanneer het apparaat OOBE doorloopt bij de eerste aanmelding of na het opnieuw instellen, moet de gebruiker een netwerk kiezen voordat hij doorgaat. Er is geen optie 'voorlopig overslaan'. Deze optie zorgt ervoor dat het apparaat gebonden blijft aan de tenant in geval van onbedoeld of opzettelijk opnieuw instellen of wissen. |
1.6 VPNv2 CSP
We raden u aan deze CSP als best practice te configureren, maar we hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
1.7 WiFi CSP
We raden u aan deze CSP als best practice te configureren, maar we hebben geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
2 Geavanceerde instellingen voor beveiligingsbasislijn
In de volgende secties worden de aanbevolen instellingen van elke CSP beschreven als onderdeel van het geavanceerde beveiligingsbasislijnprofiel.
2.1 Beleids-CSP
| Beleidsnaam | Waarde | Beschrijving |
|---|---|---|
| Accounts | ||
| Accounts/AllowMicrosoftAccountConnection | 0: niet toegestaan | Beperk de gebruiker om een MSA-account te gebruiken voor niet-e-mailgerelateerde verbindingsverificatie en -services. |
| Toepassingsbeheer | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Expliciet weigeren | Niet-Microsoft Store-apps expliciet weigeren. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1: toegestaan | Automatisch bijwerken van apps uit de Microsoft Store toestaan. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Expliciet weigeren | Beperk de gebruiker om de ontwikkelaarsmodus te ontgrendelen, waarmee de gebruiker apps op het apparaat kan installeren vanaf een IDE. |
| Verificatie | ||
| Verificatie/AllowFastReconnect | 0 : niet toegestaan | Niet toestaan dat EAP Fast ReConnect wordt geprobeerd voor EAP Method TLS. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 : niet toegestaan | Andere apparaten kunnen dit apparaat niet detecteren. |
| Browser | ||
| Browser/AllowAutofill | 0 : voorkomen/niet toegestaan | Voorkomen dat gebruikers de functie Automatisch invullen gebruiken om de formuliervelden in Microsoft Edge automatisch in te vullen. |
| Browser/AllowCookies | 1 – Alleen cookies van websites van derden blokkeren | Alleen cookies van websites van derden blokkeren. |
| Browser/AllowDoNotTrack | 0 - Nooit traceringsgegevens verzenden | Verzend nooit traceringsgegevens. |
| Browser/AllowPasswordManager | 0 : niet toegestaan | Microsoft Edge niet toestaan om wachtwoordbeheer te gebruiken. |
| Browser/Pop-ups toestaan | 1: Pop-upblokkering inschakelen | Schakel Pop-upblokkering in om te voorkomen dat pop-upvensters worden geopend. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 : voorkomen/niet toegestaan | Zoeksuggesties verbergen in de adresbalk van Microsoft Edge. |
| Browser/AllowSmartScreen | 1: ingeschakeld | Hiermee schakelt u Windows Defender SmartScreen in en voorkomt u dat gebruikers dit uitschakelen. |
| Connectiviteit | ||
| Connectivity/AllowBluetooth | 0: Bluetooth niet toestaan | Het Bluetooth-configuratiescherm wordt grijs weergegeven en de gebruiker kan Bluetooth niet inschakelen. |
| Connectivity/AllowUSBConnection | 0 : niet toegestaan | Hiermee schakelt u de USB-verbinding tussen het apparaat en een computer uit om bestanden met het apparaat te synchroniseren of om ontwikkelhulpprogramma's te gebruiken om toepassingen te implementeren of fouten op te sporen. |
| Apparaatvergrendeling | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 : niet toegestaan | Retournering van inactiviteit zonder pincode of wachtwoord niet toestaan. |
| DeviceLock/AllowSimpleDevicePassword | 0 : geblokkeerd | Blokkeer pincodes of wachtwoorden zoals '1111' of '1234'. |
| DeviceLock/AlphanumericDevicePasswordRequired | 0: wachtwoord of alfanumerieke pincode vereist | Wachtwoord of alfanumerieke pincode vereisen. |
| DeviceLock/DevicePasswordEnabled | 0 : ingeschakeld | Apparaatvergrendeling is ingeschakeld. |
| DeviceLock/DevicePasswordHistory | Een geheel getal X waarbij 0 < X < 50Aanbevelende waarde: 15 | Hiermee geeft u op hoeveel wachtwoorden in de geschiedenis kunnen worden opgeslagen die niet mogen worden gebruikt. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Een geheel getal X waarbij 4 < X < 16 voor clientapparatenAanbevelde waarde: 10 | Het aantal verificatiefouten dat is toegestaan voordat het apparaat wordt gewist. |
| DeviceLock/MaxInactivityTimeDeviceLock | Een geheel getal X waarbij 0 < X < 999 Aanbevolen waarde: 3 | Hiermee geeft u de maximale tijdsduur (in minuten) op die is toegestaan nadat het apparaat inactief is, waardoor de pincode of het wachtwoord van het apparaat wordt vergrendeld. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Cijfers, kleine letters en hoofdletters zijn vereist | Het aantal complexe elementtypen (hoofdletters en kleine letters, cijfers en leestekens) dat is vereist voor een sterke pincode of een sterk wachtwoord. |
| DeviceLock/MinDevicePasswordLength | Een geheel getal X waarbij 4 < X < 16 voor clientapparatenAanbevelde waarde: 12 | Hiermee geeft u het minimum aantal of tekens op dat is vereist in de pincode of het wachtwoord. |
| MDM-inschrijving | ||
| Experience/AllowManualMDMUnenrollment | 0 : niet toegestaan | De gebruiker niet toestaan om het werkplekaccount te verwijderen via het configuratiescherm van de werkplek. |
| Identiteit | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Aantal dagen dat de cache geldig moet zijnAanbevelde waarde: 7 dagen | Aantal dagen dat de Microsoft Entra cache voor groepslidmaatschap geldig moet zijn. |
| Macht | ||
| Power/DisplayOffTimeoutPluggedIn | Niet-actieve tijd in aantal secondenAanbevelende waarden: 60 seconden | Hiermee kunt u de periode van inactiviteit opgeven voordat Windows de weergave uitschakelt. |
| Privacy | ||
| Privacy/LetAppsAccess Rekeninginfo |
2 - Weigeren forceren | Windows-apps de toegang tot accountgegevens wordt geweigerd. |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps | Windows-apps in de lijst hebben toegang tot accountgegevens. |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps | Vermelde Windows-apps hebben geen toegang tot accountgegevens. |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows-apps | De gebruiker kan de privacyinstelling voor accountgegevens voor de vermelde Windows-apps beheren. |
| Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - Weigeren forceren | Windows-apps de toegang weigeren tot de beweging van het hoofd, de handen, bewegingscontrollers en andere bijgehouden objecten van de gebruiker, terwijl de apps op de achtergrond worden uitgevoerd. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps | Vermelde apps hebben toegang tot de bewegingen van de gebruiker terwijl de apps op de achtergrond worden uitgevoerd. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps | Vermelde apps krijgen geen toegang tot de bewegingen van de gebruiker terwijl de apps op de achtergrond worden uitgevoerd. |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Windows Store-apps | De gebruiker kan de privacyinstelling voor gebruikersverplaatsingen voor de vermelde apps beheren. |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Microsoft Store-apps | Vermelde apps krijgen geen toegang tot de microfoon. |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lijst met door puntkomma's gescheiden pakketfamilienamen van Microsoft Store-apps | De gebruiker kan de privacyinstelling voor de microfoon voor de vermelde apps beheren. |
| Zoeken | ||
| Search/AllowSearchToUseLocation | 0 : niet toegestaan | Zoekacties niet toestaan om locatiegegevens te gebruiken. |
| Beveiliging | ||
| Security/AllowAddProvisioningPackage | 0 : niet toegestaan | De runtimeconfiguratieagent niet toestaan om inrichtingspakketten te installeren. |
| Instellingen | ||
| Settings/AllowVPN | 0 : niet toegestaan | De gebruiker niet toestaan om VPN-instellingen te wijzigen. |
| Instellingen/PageVisibilityList | Verkorte naam van de pagina's die zichtbaar zijn voor de gebruikerDe gebruikersinterface biedt een gebruikersinterface om de paginanamen te selecteren of de selectie ervan op te heffen. Zie opmerkingen voor aanbevolen pagina's die u wilt verbergen. | Alleen vermelde pagina's mogen worden weergegeven voor de gebruiker in de app Instellingen. |
| Systeem | ||
| System/AllowStorageCard | 0 : niet toegestaan | Gebruik van SD-kaarten is niet toegestaan en USB-stations zijn uitgeschakeld. Deze instelling voorkomt programmatische toegang tot de opslagkaart niet. |
| System/AllowTelemetry | 0 - Niet toegestaan | Niet toestaan dat het apparaat diagnostische gegevens en gebruikstelemetriegegevens verzendt, zoals Watson. |
| Updates | ||
| Update/AllowUpdateService | 1: toegestaan | Toegang tot Microsoft Update, Windows Server Update Services (WSUS) of Microsoft Store toestaan. |
| Update/ManagePreviewBuilds | 0 - Preview-builds uitschakelen | Niet toestaan dat preview-versies op het apparaat worden geïnstalleerd. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 : niet toegestaan | Geen verbinding maken met Wi-Fi buiten netwerken die op de MDM-server zijn geïnstalleerd. |
2.2 AccountManagement CSP
| Naam van knooppunt | Waarde | Beschrijving |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Waar | Beheer van de levensduur van profielen inschakelen voor gedeelde of gemeenschappelijke apparaatscenario's. |
| UserProfileManagement/DeletionPolicy | 2 - verwijderen bij zowel een opslagcapaciteitslimiet als limiet voor inactieve profielen | Hiermee configureert u wanneer profielen worden verwijderd. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Begin met het verwijderen van profielen wanneer de beschikbare opslagcapaciteit onder deze drempelwaarde komt, gegeven als percentage van de totale beschikbare opslagruimte voor profielen. Profielen die het langst inactief zijn geweest, worden eerst verwijderd. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Stop met het verwijderen van profielen wanneer de beschikbare opslagcapaciteit tot deze drempelwaarde wordt gebracht, gegeven als percentage van de totale beschikbare opslag voor profielen. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Begin met het verwijderen van profielen wanneer ze niet zijn aangemeld tijdens de opgegeven periode, opgegeven als aantal dagen. |
2.3 ApplicationControl CSP
| Naam van knooppunt | Waarde | Beschrijving |
|---|---|---|
| Beleid/beleids-GUID | Beleids-id in de beleidsblob | Beleids-id in de beleids-blob. |
| Beleid/beleids-GUID/Beleid | Beleids-blob | Binaire blob van beleid gecodeerd in base64. |
2.4 ClientCertificateInstall CSP
We raden u aan deze CSP te configureren als best practice, maar u hebt geen aanbevelingen voor specifieke waarden voor elk knooppunt in deze CSP.
2.5 PassportForWork CSP
| Naam van knooppunt | Waarde | Beschrijving |
|---|---|---|
| Tenant-id | Tenant-ID | Een GUID (Globally Unique Identifier), zonder accolades ( { , } ), die wordt gebruikt als onderdeel van Windows Hello voor Bedrijven inrichting en beheer. |
| TenantId/Policies/UsePassportForWork | Waar | Hiermee stelt u Windows Hello voor Bedrijven in als een methode voor aanmelden bij Windows. |
| TenantId/Policies/RequireSecurityDevice | Waar | Vereist een Trusted Platform Module (TPM) voor Windows Hello voor Bedrijven. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM Revisie 1.2-modules mogen worden gebruikt met Windows Hello voor Bedrijven. |
| TenantId/Policies/EnablePinRecovery | False | Het pincodeherstelgeheim wordt niet gemaakt of opgeslagen. |
| TenantId/Policies/UseCertificateForOnPremAuth | False | De pincode wordt ingericht wanneer de gebruiker zich aanmeldt, zonder te wachten op een nettolading van het certificaat. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | De lengte van de pincode moet groter zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | De lengte van de pincode moet kleiner zijn dan of gelijk zijn aan dit getal. |
| TenantId/Policies/PINComplexity/Hoofdletterletters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cijfers zijn vereist en alle andere tekensets zijn niet toegestaan. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Staat het gebruik van speciale tekens in pincode niet toe. |
| TenantId/Policies/PINComplexity/Digits | 0 | Hiermee staat u het gebruik van cijfers in pincode toe. |
| TenantId/Policies/PINComplexity/History | 10 | Het aantal eerdere pincodes dat kan worden gekoppeld aan een gebruikersaccount dat niet opnieuw kan worden gebruikt. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Periode (in dagen) dat een pincode kan worden gebruikt voordat het systeem vereist dat de gebruiker deze wijzigt. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | Toepassingen gebruiken Windows Hello voor Bedrijven certificaten niet als smartcardcertificaten en biometrische factoren zijn beschikbaar wanneer een gebruiker wordt gevraagd het gebruik van de persoonlijke sleutel van het certificaat te autoriseren. |
2.6 RootCATrustedCertificates CSP
We raden u aan de knooppunten Root, CA, TrustedPublisher en TrustedPeople in deze CSP te configureren als best practice, maar raden niet aan om specifieke waarden voor elk knooppunt in deze CSP aan te bevelen.
2.7 TenantLockdown CSP
| Naam van knooppunt | Waarde | Beschrijving |
|---|---|---|
| RequireNetworkInOOBE | Waar | Wanneer het apparaat OOBE doorloopt bij de eerste aanmelding of na het opnieuw instellen, moet de gebruiker een netwerk kiezen voordat hij doorgaat. Er is geen optie 'voorlopig overslaan'. Dit zorgt ervoor dat het apparaat gebonden blijft aan de tenant in het geval van onbedoeld of opzettelijk opnieuw instellen of wissen. |
2.8 VPNv2 CSP
We raden u aan om VPN-profielen te configureren als best practice, maar raden geen specifieke waarden aan voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
2.9 WiFi CSP
We raden u aan wi-fi-profielen te configureren als best practice, maar raden geen specifieke waarden aan voor elk knooppunt in deze CSP. De meeste instellingen zijn gerelateerd aan de klantomgeving.
Deze beveiligingsbasislijnen inschakelen
- Controleer de beveiligingsbasislijn en bepaal wat u wilt toepassen.
- Bepaal aan welke Azure-groepen u de basislijn toewijst. (Meer informatie over gebruikers en groepen)
- Maak de basislijn.
U maakt als volgt de basislijn.
Veel van de instellingen kunnen worden toegevoegd met behulp van de catalogus Instellingen, maar soms is er een instelling die nog niet is ingevuld in de catalogus Instellingen. In die gevallen gebruikt u een aangepast beleid of OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Zoek eerst in de catalogus Instellingen en als deze niet wordt gevonden, volgt u de onderstaande instructies voor het maken van een aangepast beleid via OMA-URI.
Catalogus met instellingen
Meld u aan bij uw account in het MEM-beheercentrum.
- Navigeer naar Apparaten ->Configuratieprofielen ->+Profiel maken. Bij Platform selecteert u Windows 10 en hoger en voor profieltype selecteert u Instellingencatalogus (preview).
- Maak een naam voor het profiel en selecteer de knop Volgende .
- Selecteer in het scherm Configuratie-instellingen de optie + Instellingen toevoegen.
Met behulp van de naam van het beleid uit de bovenstaande basislijn kunt u zoeken naar het beleid. De naam wordt in de instellingencatalogus onder de naam weergegeven, dus als u 'Accounts/AllowMicrosoftAccountConnection' wilt vinden, moet u zoeken in 'Microsoft-accountverbinding toestaan'. Nadat u hebt gezocht, ziet u de lijst met beleidsregels die zijn teruggebracht tot alleen de CSP die dit beleid heeft. Selecteer Accounts (of de relevante CSP voor wat u momenteel zoekt). Zodra u dit hebt uitgevoerd, ziet u het onderstaande beleidsresultaat. Schakel het selectievakje voor het beleid in.
Als u klaar bent, wordt in het deelvenster aan de linkerkant de categorie CSP en de instelling die u hebt toegevoegd, toegevoegd. Hier kunt u deze configureren van de standaardinstelling naar een veiligere instelling.
U kunt doorgaan met het toevoegen van meerdere configuraties aan hetzelfde profiel, waardoor het eenvoudiger wordt om in één keer toe te wijzen.
Aangepast OMA-URI-beleid toevoegen
Sommige beleidsregels zijn mogelijk nog niet beschikbaar in de catalogus Instellingen. Voor dit beleid moet u een aangepast OMA-URI-profiel maken. Meld u aan bij uw account in het MEM-beheercentrum.
- Navigeer naar Apparaten ->Configuratieprofielen ->+Profiel maken. Bij Platform selecteert u Windows 10 en hoger, en voor profieltype selecteert u Sjablonen en vervolgens Aangepast.
- Maak een naam voor het profiel en selecteer de knop Volgende .
- Selecteer de knop Add.
U moet enkele velden invullen.
- Naam, u kunt de naam alles noemen wat u nodig hebt met betrekking tot het beleid. Dit kan een verkorte naam zijn die u gebruikt om deze te herkennen.
- Beschrijving bevat meer details die u mogelijk nodig hebt.
- De OMA-URI is de volledige OMA-URI-tekenreeks waarin het beleid zich bevindt. Voorbeeld:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Het gegevenstype is het type waarde dat door dit beleid wordt geaccepteerd. In dit voorbeeld is het een getal tussen 0 en 60, dus Integer is geselecteerd.
- Nadat u het gegevenstype hebt geselecteerd, kunt u de benodigde waarde naar het veld schrijven of uploaden.
Als u klaar bent, wordt uw beleid toegevoegd aan het hoofdvenster. U kunt doorgaan met het toevoegen van al uw aangepaste beleidsregels aan dezelfde aangepaste configuratie. Dit vermindert het beheer van meerdere apparaatconfiguraties en maakt toewijzing eenvoudiger.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor