Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Punkty odniesienia zabezpieczeń urządzenia HoloLens 2

Ważne

Niektóre zasady używane w tym punkcie odniesienia zabezpieczeń są wprowadzane w najnowszej kompilacji insider. Te zasady będą działać tylko na urządzeniach zaktualizowanych do najnowszej kompilacji niejawnego testera.

W tym artykule wymieniono i opisano różne ustawienia punktu odniesienia zabezpieczeń, które można skonfigurować na urządzeniu HoloLens 2 przy użyciu dostawców usług konfiguracji (CSP). W ramach zarządzania urządzeniami przenośnymi przy użyciu programu Microsoft Endpoint Manager (formalnie znanego jako Microsoft Intune) użyj następujących standardowych lub zaawansowanych ustawień punktu odniesienia zabezpieczeń w zależności od zasad i potrzeb organizacji. Użyj tych ustawień punktu odniesienia zabezpieczeń, aby chronić zasoby organizacji.

  • Standardowe ustawienia punktu odniesienia zabezpieczeń mają zastosowanie do wszystkich typów użytkowników niezależnie od scenariusza przypadku użycia i branży.
  • Zaawansowane ustawienia punktu odniesienia zabezpieczeń to zalecane ustawienia dla użytkowników, którzy mają ścisłe mechanizmy kontroli zabezpieczeń środowiska i wymagają rygorystycznych zasad zabezpieczeń dla urządzeń używanych w ich środowisku.

Te ustawienia punktu odniesienia zabezpieczeń są oparte na wytycznych i doświadczeniach firmy Microsoft w zakresie wdrażania i obsługi urządzeń HoloLens 2 dla klientów w różnych branżach.

Po przejrzeniu punktu odniesienia zabezpieczeń i podjęciu decyzji o użyciu jednego, obu lub części, zapoznaj się z , jak włączyć te linie bazowe zabezpieczeń

1. Standardowe ustawienia punktu odniesienia zabezpieczeń

W poniższych sekcjach opisano zalecane ustawienia każdego dostawcy CSP w ramach standardowego profilu punktu odniesienia zabezpieczeń.

1.1 dostawca usługi konfiguracji zasad

nazwa zasad wartości opis
kont
Accounts/AllowMicrosoftAccountConnection 0 — niedozwolone Ogranicz użytkownika do korzystania z konta MSA na potrzeby uwierzytelniania i usług niezwiązanych z pocztą e-mail.
zarządzania aplikacjami
ApplicationManagement/AllowAllTrustedApps 0 — Jawne odmów Jawne odrzucanie aplikacji ze sklepu Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 — Dozwolone Zezwalaj na automatyczną aktualizację aplikacji ze sklepu Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 — Jawne odmów Ogranicz użytkownikowi możliwość odblokowania trybu dewelopera, który umożliwia użytkownikowi instalowanie aplikacji na urządzeniu z poziomu środowiska IDE.
przeglądarki
Browser/AllowCookies 1 — Blokuj tylko pliki cookie z witryn internetowych innych firm Za pomocą tych zasad można skonfigurować przeglądarkę Microsoft Edge tak, aby blokowała tylko pliki cookie innych firm lub blokowała wszystkie pliki cookie.
Browser/AllowPasswordManager 0 — niedozwolone Nie zezwalaj przeglądarce Microsoft Edge na korzystanie z menedżera haseł.
Browser/AllowSmartScreen 1 — włączone Włącza filtr Windows Defender SmartScreen i uniemożliwia użytkownikom wyłączenie go.
Connectivity
Connectivity/AllowUSBConnection 0 — niedozwolone Wyłącza połączenie USB między urządzeniem a komputerem w celu synchronizowania plików z urządzeniem lub używania narzędzi deweloperskich do wdrażania lub debugowania aplikacji.
blokady urządzenia
DeviceLock/AllowIdleReturnWithoutPassword 0 — niedozwolone Nie zezwalaj na powrót z bezczynności bez numeru PIN lub hasła.
DeviceLock/AllowSimpleDevicePassword 0 — zablokowane Blokuj numery PIN lub hasła, takie jak "1111" lub "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 — wymagane jest hasło lub numer PIN liczbowy Wymagaj hasła lub alfanumerycznego numeru PIN.
DeviceLock/DevicePasswordEnabled 0 — włączone Blokada urządzenia jest włączona.
DeviceLock/MaxInactivityTimeDeviceLock Liczba całkowita X, gdzie 0 < X < 999 Zalecana wartość: 3 Określa maksymalny czas (w minutach) dozwolony po bezczynności urządzenia, który spowoduje, że urządzenie stanie się numerem PIN lub zablokowanym hasłem.
DeviceLock/MinDevicePasswordComplexCharacters 1 — Tylko cyfry Liczba typów elementów złożonych (wielkie i małe litery, cyfry i znaki interpunkcyjne) wymagane dla silnego numeru PIN lub hasła.
DeviceLock/MinDevicePasswordLength Liczba całkowita X, w której 4 < X < 16 dla urządzeń klienckichRecommended wartość: 8 Określa minimalną liczbę lub znaki wymagane w numerze PIN lub haśle.
rejestracji w usłudze MDM
Experience/AllowManualMDMUnenrollment 0 — niedozwolone Nie zezwalaj użytkownikowi na usuwanie konta w miejscu pracy przy użyciu panelu sterowania miejsca pracy.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Liczba dni, przez które pamięć podręczna ma być prawidłowaWartość zmieniona: 7 dni Liczba dni, przez które pamięć podręczna członkostwa w grupie Entra firmy Microsoft powinna być prawidłowa.
Power
Power/DisplayOffTimeoutPluggedIn Czas bezczynności w liczbie sekundWartości zmienione: 60 sek. Umożliwia określenie okresu braku aktywności przed wyłączeniem wyświetlania przez system Windows.
Ustawienia
Settings/AllowVPN 0 — niedozwolone Nie zezwalaj użytkownikowi na zmianę ustawień sieci VPN.
Settings/PageVisibilityList Skrócona nazwa stron, które są widoczne dla użytkownika. Zapewni interfejs użytkownika do wybrania lub usunięcia zaznaczenia nazw stron. Zobacz komentarze, aby ukryć zalecane strony. Zezwalaj na wyświetlanie tylko wyświetlanych stron dla użytkownika w aplikacji Ustawienia.
System
System/AllowStorageCard 0 — niedozwolone Użycie karty SD nie jest dozwolone, a dyski USB są wyłączone. To ustawienie nie uniemożliwia programowego dostępu do karty pamięci.
aktualizacji
Update/AllowUpdateService 1 — Dozwolone Zezwalaj na dostęp do usług Microsoft Update, Windows Server Update Services (WSUS) lub Microsoft Store.
Update/ManagePreviewBuilds 0 — Wyłączanie kompilacji w wersji zapoznawczej Nie zezwalaj na instalowanie kompilacji w wersji zapoznawczej na urządzeniu.

Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie ma zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP.

nazwa węzła wartości opis
Identyfikator dzierżawy TenantId Unikatowy identyfikator globalny (GUID) bez nawiasów klamrowych ( { , } ), który jest używany w ramach aprowizacji i zarządzania usługą Windows Hello dla firm.
TenantId/Policies/UsePassportForWork Prawdziwy Ustawia usługę Windows Hello dla firm jako metodę logowania się do systemu Windows.
TenantId/Policies/RequireSecurityDevice Prawdziwy Wymaga modułu TPM (Trusted Platform Module) dla usługi Windows Hello dla firm.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Fałszywy Moduły TPM w wersji 1.2 mogą być używane z usługą Windows Hello dla firm.
TenantId/Policies/EnablePinRecovery Fałszywy Wpis tajny odzyskiwania numeru PIN nie jest tworzony ani przechowywany.
TenantId/Policies/UseCertificateForOnPremAuth Fałszywy Numer PIN jest aprowizowany po zalogowaniu się użytkownika bez oczekiwania na ładunek certyfikatu.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Długość numeru PIN musi być większa lub równa tej liczbie.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Długość numeru PIN musi być mniejsza lub równa tej liczbie.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Nie zezwala na używanie znaków specjalnych w numerze PIN.
TenantId/Policies/PINComplexity/Digits 0 Umożliwia korzystanie z cyfr w numerze PIN.
TenantId/Policies/PINComplexity/History 10 Liczba poprzednich numerów PIN, które mogą być skojarzone z kontem użytkownika, którego nie można użyć ponownie.
TenantId/Policies/PINComplexity/Expiration 90 Okres (w dniach), który może być używany przez numer PIN, zanim system będzie wymagał od użytkownika zmiany.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Fałszywy Aplikacje nie używają certyfikatów usługi Windows Hello dla firm jako certyfikatów kart inteligentnych, a czynniki biometryczne są dostępne, gdy użytkownik zostanie poproszony o autoryzowanie korzystania z klucza prywatnego certyfikatu.

Zalecamy skonfigurowanie węzłów Root, CA, TrustedPublisher i TrustedPeople w tym programie CSP jako najlepsze rozwiązanie, ale nie będzie zalecane dla określonych wartości dla każdego węzła w tym programie CSP.

nazwa węzła wartości opis
RequireNetworkInOOBE Prawdziwy Gdy urządzenie przechodzi przez usługę OOBE podczas pierwszego logowania lub po zresetowaniu, użytkownik musi wybrać sieć przed kontynuowaniem. Nie ma opcji "pomiń na razie". Ta opcja zapewnia, że urządzenie pozostaje powiązane z dzierżawą w przypadku przypadkowego lub zamierzonego zresetowania lub czyszczenia.

Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie mamy zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.

Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie mamy zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.

2 Zaawansowane ustawienia punktu odniesienia zabezpieczeń

W poniższych sekcjach opisano zalecane ustawienia każdego dostawcy CSP w ramach zaawansowanego profilu punktu odniesienia zabezpieczeń.

2.1 dostawca usługi konfiguracji zasad

nazwa zasad wartości opis
kont
Accounts/AllowMicrosoftAccountConnection 0 — niedozwolone Ogranicz użytkownika do korzystania z konta MSA na potrzeby uwierzytelniania i usług niezwiązanych z pocztą e-mail.
zarządzania aplikacjami
ApplicationManagement/AllowAllTrustedApps 0 — Jawne odmów Jawne odrzucanie aplikacji ze sklepu Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 — Dozwolone Zezwalaj na automatyczną aktualizację aplikacji ze sklepu Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 — Jawne odmów Ogranicz użytkownikowi możliwość odblokowania trybu dewelopera, który umożliwia użytkownikowi instalowanie aplikacji na urządzeniu z poziomu środowiska IDE.
uwierzytelniania
Authentication/AllowFastReconnect 0 — niedozwolone Nie zezwalaj na szybkie ponowne nawiązywanie połączenia protokołu EAP z próby użycia protokołu TLS metody protokołu EAP.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 — niedozwolone Inne urządzenia nie będą mogły wykryć tego urządzenia.
przeglądarki
Browser/AllowAutofill 0 — niedozwolone/niedozwolone Uniemożliwiaj użytkownikom automatyczne wypełnianie pól formularza w przeglądarce Microsoft Edge za pomocą funkcji autowypełniania.
Browser/AllowCookies 1 — Blokuj tylko pliki cookie z witryn internetowych innych firm Blokuj tylko pliki cookie z witryn internetowych innych firm.
Browser/AllowDoNotTrack 0 — Nigdy nie wysyłaj informacji śledzenia Nigdy nie wysyłaj informacji śledzenia.
Browser/AllowPasswordManager 0 — niedozwolone Nie zezwalaj przeglądarce Microsoft Edge na korzystanie z menedżera haseł.
Browser/AllowPopups 1 — włączanie blokady wyskakujących okienek Włącz opcję Blokowanie wyskakujących okienek, aby zatrzymać wyskakujące okna przed otwarciem.
Browser/AllowSearchSuggestionsinAddressBar 0 — niedozwolone/niedozwolone Ukryj sugestie wyszukiwania na pasku adresu przeglądarki Microsoft Edge.
Browser/AllowSmartScreen 1 — włączone Włącza filtr Windows Defender SmartScreen i uniemożliwia użytkownikom wyłączenie go.
Connectivity
Connectivity/AllowBluetooth 0 — nie zezwalaj na łączność Bluetooth Panel sterowania Bluetooth jest wyszaryzowany i użytkownik nie będzie mógł włączyć funkcji Bluetooth.
Connectivity/AllowUSBConnection 0 — niedozwolone Wyłącza połączenie USB między urządzeniem a komputerem w celu synchronizowania plików z urządzeniem lub używania narzędzi deweloperskich do wdrażania lub debugowania aplikacji.
blokady urządzenia
DeviceLock/AllowIdleReturnWithoutPassword 0 — niedozwolone Nie zezwalaj na powrót z bezczynności bez numeru PIN lub hasła.
DeviceLock/AllowSimpleDevicePassword 0 — zablokowane Blokuj numery PIN lub hasła, takie jak "1111" lub "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0 — wymagany jest kod PIN alfanumeryczny lub hasło Wymagaj hasła lub alfanumerycznego numeru PIN.
DeviceLock/DevicePasswordEnabled 0 — włączone Blokada urządzenia jest włączona.
DeviceLock/DevicePasswordHistory Liczba całkowita X, gdzie 0 < X < 50Warta liczba całkowita: 15 Określa, ile haseł można przechowywać w historii, których nie można użyć.
DeviceLock/MaxDevicePasswordFailedAttempts Liczba całkowita X, w której 4 < X < 16 dla urządzeń klienckichRecommended wartość: 10 Liczba dozwolonych niepowodzeń uwierzytelniania przed wyczyszczeniem urządzenia.
DeviceLock/MaxInactivityTimeDeviceLock Liczba całkowita X, gdzie 0 < X < 999 Zalecana wartość: 3 Określa maksymalny czas (w minutach) dozwolony po bezczynności urządzenia, który spowoduje, że urządzenie stanie się numerem PIN lub zablokowanym hasłem.
DeviceLock/MinDevicePasswordComplexCharacters 3 — Wymagane są cyfry, małe litery i wielkie litery Liczba typów elementów złożonych (wielkie i małe litery, cyfry i znaki interpunkcyjne) wymagane dla silnego numeru PIN lub hasła.
DeviceLock/MinDevicePasswordLength Liczba całkowita X, gdzie 4 < X < 16 dla urządzeń klienckichRecommended wartość: 12 Określa minimalną liczbę lub znaki wymagane w numerze PIN lub haśle.
rejestracji w usłudze MDM
Experience/AllowManualMDMUnenrollment 0 — niedozwolone Nie zezwalaj użytkownikowi na usuwanie konta w miejscu pracy przy użyciu panelu sterowania miejsca pracy.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Liczba dni, przez które pamięć podręczna ma być prawidłowaWartość zmieniona: 7 dni Liczba dni, przez które pamięć podręczna członkostwa w grupie Entra firmy Microsoft powinna być prawidłowa.
Power
Power/DisplayOffTimeoutPluggedIn Czas bezczynności w liczbie sekundWartości zmienione: 60 sek. Umożliwia określenie okresu braku aktywności przed wyłączeniem wyświetlania przez system Windows.
prywatności
Privacy/LetAppsAccess
AccountInfo
2 — Wymuś odmowę Uniemożliwia aplikacjom systemu Windows dostęp do informacji o koncie.
Privacy/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows Wymienione aplikacje systemu Windows mogą uzyskiwać dostęp do informacji o koncie.
Privacy/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows Wymienione aplikacje systemu Windows nie mają dostępu do informacji o koncie.
Privacy/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows Użytkownik może kontrolować ustawienie prywatności informacji o koncie dla wymienionych aplikacji systemu Windows.
Privacy/LetAppsAccess
backgroundSpatialPerception
2 — Wymuś odmowę Odmowa dostępu aplikacji systemu Windows do przenoszenia głowy użytkownika, rąk, kontrolerów ruchu i innych śledzonych obiektów, podczas gdy aplikacje działają w tle.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows Aplikacje wymienione na liście mogą uzyskiwać dostęp do ruchów użytkownika, gdy aplikacje są uruchomione w tle.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows Wyświetlane aplikacje nie mają dostępu do ruchów użytkownika, gdy aplikacje są uruchomione w tle.
Privacy/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows Użytkownik może kontrolować ustawienie prywatności przenoszenia użytkowników dla wymienionych aplikacji.
Privacy/LetAppsAccess
Microphone_ForceDenyTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze sklepu Microsoft Store Wymienione aplikacje nie mają dostępu do mikrofonu.
Privacy/LetAppsAccess
Microphone_UserInControlOfTheseApps
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze sklepu Microsoft Store Użytkownik może kontrolować ustawienie prywatności mikrofonu dla wymienionych aplikacji.
wyszukiwania
Search/AllowSearchToUseLocation 0 — niedozwolone Nie zezwalaj na wyszukiwanie w celu korzystania z informacji o lokalizacji.
Security
Security/AllowAddProvisioningPackage 0 — niedozwolone Nie zezwalaj agentowi konfiguracji środowiska uruchomieniowego na instalowanie pakietów aprowizacji.
Ustawienia
Settings/AllowVPN 0 — niedozwolone Nie zezwalaj użytkownikowi na zmianę ustawień sieci VPN.
Settings/PageVisibilityList Skrócona nazwa stron widocznych dla użytkownikaWystarcz interfejs użytkownika, aby wybrać lub usunąć zaznaczenie nazw stron. Zobacz komentarze, aby ukryć zalecane strony. Zezwalaj na wyświetlanie tylko wyświetlanych stron dla użytkownika w aplikacji Ustawienia.
System
System/AllowStorageCard 0 — niedozwolone Użycie karty SD nie jest dozwolone, a dyski USB są wyłączone. To ustawienie nie uniemożliwia programowego dostępu do karty pamięci.
System/AllowTelemetry 0 — Niedozwolone Nie zezwalaj urządzeniu na wysyłanie danych telemetrycznych diagnostycznych i użycia, takich jak Watson.
aktualizacji
Update/AllowUpdateService 1 — Dozwolone Zezwalaj na dostęp do usług Microsoft Update, Windows Server Update Services (WSUS) lub Microsoft Store.
Update/ManagePreviewBuilds 0 — Wyłączanie kompilacji w wersji zapoznawczej Nie zezwalaj na instalowanie kompilacji w wersji zapoznawczej na urządzeniu.
sieci Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 — niedozwolone Nie zezwalaj na nawiązywanie połączenia z Wi-Fi poza sieciami zainstalowanymi na serwerze MDM.
nazwa węzła wartości opis
UserProfileManagement/EnableProfileManager Prawdziwy Włącz zarządzanie okresem istnienia profilu dla scenariuszy urządzeń udostępnionych lub wspólnych.
UserProfileManagement/DeletionPolicy 2 — usuwanie zarówno przy progu pojemności magazynu, jak i progu braku aktywności profilu Konfiguruje, kiedy profile zostaną usunięte.
UserProfileManagement/StorageCapacityStartDeletion 25% Rozpocznij usuwanie profilów, gdy dostępna pojemność magazynu spadnie poniżej tego progu, biorąc pod uwagę procent całkowitego miejsca do magazynowania dostępnego dla profilów. Profile, które były nieaktywne najdłużej, zostaną najpierw usunięte.
UserProfileManagement/StorageCapacityStopDeletion 50% Zatrzymaj usuwanie profilów, gdy dostępna pojemność magazynu zostanie podniesiona do tego progu, biorąc pod uwagę procent całkowitego magazynu dostępnego dla profilów.
UserProfileManagement/ProfileInactivityThreshold 30 Rozpocznij usuwanie profilów, gdy nie zostały one zarejestrowane w określonym przedziale czasu, podane jako liczba dni.
nazwa węzła wartości opis
Identyfikator GUID zasad/zasad identyfikator zasad w obiekcie blob zasad Identyfikator zasad w obiekcie blob zasad.
Zasady/identyfikator GUID zasad/Policy obiektu blob zasad Binarny obiekt blob zasad zakodowany w base64.

Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie ma zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP.

nazwa węzła wartości opis
Identyfikator dzierżawy TenantId Unikatowy identyfikator globalny (GUID) bez nawiasów klamrowych ( { , } ), który jest używany w ramach aprowizacji i zarządzania usługą Windows Hello dla firm.
TenantId/Policies/UsePassportForWork Prawdziwy Ustawia usługę Windows Hello dla firm jako metodę logowania się do systemu Windows.
TenantId/Policies/RequireSecurityDevice Prawdziwy Wymaga modułu TPM (Trusted Platform Module) dla usługi Windows Hello dla firm.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Fałszywy Moduły TPM w wersji 1.2 mogą być używane z usługą Windows Hello dla firm.
TenantId/Policies/EnablePinRecovery Fałszywy Wpis tajny odzyskiwania numeru PIN nie zostanie utworzony ani zapisany.
TenantId/Policies/UseCertificateForOnPremAuth Fałszywy Numer PIN jest aprowizowany, gdy użytkownik loguje się bez oczekiwania na ładunek certyfikatu.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Długość numeru PIN musi być większa lub równa tej liczbie.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Długość numeru PIN musi być mniejsza lub równa tej liczbie.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Nie zezwala na używanie znaków specjalnych w numerze PIN.
TenantId/Policies/PINComplexity/Digits 0 Umożliwia korzystanie z cyfr w numerze PIN.
TenantId/Policies/PINComplexity/History 10 Liczba poprzednich numerów PIN, które mogą być skojarzone z kontem użytkownika, którego nie można użyć ponownie.
TenantId/Policies/PINComplexity/Expiration 90 Okres (w dniach), który może być używany przez numer PIN, zanim system będzie wymagał od użytkownika zmiany.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Fałszywy Aplikacje nie używają certyfikatów usługi Windows Hello dla firm jako certyfikatów kart inteligentnych, a czynniki biometryczne są dostępne, gdy użytkownik zostanie poproszony o autoryzowanie korzystania z klucza prywatnego certyfikatu.

Zalecamy skonfigurowanie węzłów root, CA, TrustedPublisher i TrustedPeople w tym programie CSP jako najlepsze rozwiązanie, ale nie zaleca się użycia określonych wartości dla każdego węzła w tym programie CSP.

nazwa węzła wartości opis
RequireNetworkInOOBE Prawdziwy Gdy urządzenie przechodzi przez usługę OOBE przy pierwszym logowaniu lub po zresetowaniu, użytkownik musi wybrać sieć przed kontynuowaniem. Nie ma opcji "pomiń na razie". Dzięki temu urządzenie pozostaje powiązane z dzierżawą w przypadku przypadkowego lub zamierzonego zresetowania lub czyszczenia.

Zalecamy skonfigurowanie profilów sieci VPN jako najlepsze rozwiązanie, ale nie zaleca się określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.

Zalecamy skonfigurowanie profilów sieci Wi-Fi jako najlepsze rozwiązanie, ale nie zaleca się określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.

Jak włączyć te linie podstawowe zabezpieczeń

  1. Przejrzyj punkt odniesienia zabezpieczeń i zdecyduj, co należy zastosować.
  2. Określ grupy platformy Azure, do których przypiszesz punkt odniesienia. (Więcej informacji na temat użytkowników i grup)
  3. Utwórz punkt odniesienia.

Oto jak utworzyć punkt odniesienia.

Wiele ustawień można dodać przy użyciu wykazu ustawień, jednak czasami może istnieć ustawienie, które nie zostało jeszcze wypełnione w wykazie ustawień. W takich przypadkach użyjesz zasad niestandardowych lub OMA-URI (Open Mobile Alliance — jednolity identyfikator zasobów). Zacznij od wyszukania w katalogu ustawień, a jeśli nie można go znaleźć, postępuj zgodnie z poniższymi instrukcjami dotyczącymi tworzenia zasad niestandardowych za pomocą identyfikatora OMA-URI.

Wykaz ustawień

Zaloguj się do swojego konta w centrum administracyjnym MEM.

  1. Przejdź do pozycji Urządzenia — profile konfiguracji> —>+Tworzenie profilu. W polu Platforma wybierz pozycję Windows 10 i nowszych, a w polu Typ profilu wybierz pozycję katalog ustawień (wersja zapoznawcza).
  2. Utwórz nazwę profilu i wybierz przycisk Dalej.
  3. Na ekranie Ustawienia konfiguracji wybierz pozycję + Dodaj ustawienia.

Korzystając z nazwy zasad z powyższego punktu odniesienia, możesz wyszukać zasady. W katalogu ustawień zostanie wyświetlona nazwa, aby znaleźć ciąg "Accounts/AllowMicrosoftAccountConnection", należy wyszukać frazę "Zezwalaj na połączenie konta Microsoft". Po wyszukaniu zobaczysz listę zasad zredukowanych do tylko dostawcy CSP, który zawiera te zasady. Wybierz pozycję Accounts (lub odpowiedniego dostawcy CSP do bieżącego wyszukiwania) po wyświetleniu poniższego wyniku zasad. Zaznacz pole wyboru zasad.

Zrzut ekranu przedstawiający opcję selektora ustawień.

Po zakończeniu panel po lewej stronie doda kategorię CSP i dodane ustawienie. W tym miejscu możesz skonfigurować ją z ustawienia domyślnego na jeszcze jedną bezpieczną.

Zrzut ekranu przedstawiający wykaz ustawień.

Możesz nadal dodawać wiele konfiguracji do tego samego profilu, co ułatwi przypisywanie jednocześnie.

Dodawanie niestandardowych zasad OMA-URI

Niektóre zasady mogą nie być jeszcze dostępne w wykazie ustawień. W przypadku tych zasad należy utworzyć niestandardowy profil OMA-URI. Zaloguj się do swojego konta w centrum administracyjnym usługi MEM.

  1. Przejdź do pozycji Urządzenia — profile konfiguracji> —>+Tworzenie profilu. W polu Platforma wybierz pozycję Windows 10 lub nowszym, a w polu Typ profilu wybierz pozycję szablony i wybierz pozycję Niestandardowy.
  2. Utwórz nazwę profilu i wybierz przycisk Dalej.
  3. Wybierz przycisk Dodaj.

Musisz wypełnić kilka pól.

  • Nazwa, możesz nadać jej nazwę wszystkim, co jest potrzebne w związku z zasadami. Może to być skrócona nazwa używana do jej rozpoznawania.
  • Opis będzie zawierać więcej szczegółów.
  • OMA-URI będzie pełnym ciągiem OMA-URI, w którym są zasady. Przykład: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Typ danych to typ wartości, która akceptuje ta zasada. W tym przykładzie jest to liczba z zakresu od 0 do 60, więc wybrano liczbę całkowitą.
  • Po wybraniu typu danych będzie można zapisać lub przekazać wartość potrzebną do pola.

Zrzut ekranu przedstawiający konfigurowanie OMA-URI.

Po zakończeniu zasady są dodawane do okna głównego. Możesz kontynuować dodawanie wszystkich zasad niestandardowych do tej samej konfiguracji niestandardowej. Ułatwia to zarządzanie wieloma konfiguracjami urządzeń i ułatwia przypisywanie.

Zrzut ekranu przedstawiający konfigurację OMA-URI.