punkty odniesienia zabezpieczeń HoloLens 2
Ważne
Niektóre zasady używane w tym punkcie odniesienia zabezpieczeń są wprowadzane w naszej najnowszej kompilacji niejawnego testera. Te zasady będą działać tylko na urządzeniach zaktualizowanych do najnowszej kompilacji niejawnego testera.
W tym artykule wymieniono i opisano różne ustawienia punktu odniesienia zabezpieczeń, które można skonfigurować na HoloLens 2 przy użyciu dostawców usług konfiguracji (CSP). W ramach zarządzania urządzeniami przenośnymi przy użyciu programu Microsoft Endpoint Manager (formalnie znanego jako Microsoft Intune) użyj następujących standardowych lub zaawansowanych ustawień punktu odniesienia zabezpieczeń w zależności od zasad i potrzeb organizacji. Użyj tych ustawień punktu odniesienia zabezpieczeń, aby chronić zasoby organizacyjne.
- Standardowe ustawienia punktu odniesienia zabezpieczeń mają zastosowanie do wszystkich typów użytkowników niezależnie od scenariusza przypadku użycia i branży.
- Ustawienia zaawansowanego punktu odniesienia zabezpieczeń są zalecane dla użytkowników, którzy mają ścisłe mechanizmy kontroli zabezpieczeń środowiska i wymagają rygorystycznych zasad zabezpieczeń dla urządzeń używanych w ich środowisku.
Te ustawienia punktu odniesienia zabezpieczeń są oparte na najlepszych rozwiązaniach i doświadczeniach firmy Microsoft uzyskanych w zakresie wdrażania i obsługi urządzeń HoloLens 2 klientom w różnych branżach.
Po zapoznaniu się z punktem odniesienia zabezpieczeń i podjęciu decyzji o użyciu tej, obu lub części, sprawdź, jak włączyć te linie bazowe zabezpieczeń
1. Standardowe ustawienia punktu odniesienia zabezpieczeń
W poniższych sekcjach opisano zalecane ustawienia każdego dostawcy usług kryptograficznych w ramach standardowego profilu punktu odniesienia zabezpieczeń.
Dostawca CSP zasad 1.1
| Nazwa zasad | Wartość | Opis |
|---|---|---|
| Konta | ||
| Accounts/AllowMicrosoftAccountConnection | 0 — niedozwolone | Ogranicz użytkownika do korzystania z konta MSA dla uwierzytelniania i usług niezwiązanych z pocztą e-mail. |
| Zarządzanie aplikacjami | ||
| ApplicationManagement/AllowAllTrustedApps | 0 — Jawna odmowa | Jawnie odmawiaj aplikacji ze sklepu Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 — Dozwolone | Zezwalaj na automatyczną aktualizację aplikacji ze sklepu Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 — Jawna odmowa | Ogranicz użytkownika do odblokowania trybu dewelopera, co umożliwia użytkownikowi instalowanie aplikacji na urządzeniu z poziomu środowiska IDE. |
| Przeglądarka | ||
| Przeglądarka/AllowCookies | 1 — Blokuj tylko pliki cookie z witryn internetowych innych firm | Dzięki tym zasadom można skonfigurować przeglądarkę Microsoft Edge tak, aby blokowała tylko pliki cookie innych firm lub blokowała wszystkie pliki cookie. |
| Browser/AllowPasswordManager | 0 — niedozwolone | Nie zezwalaj przeglądarce Microsoft Edge na korzystanie z menedżera haseł. |
| Browser/AllowSmartScreen | 1 — włączone | Włącza Windows Defender Filtr SmartScreen i uniemożliwia użytkownikom wyłączenie go. |
| Połączenia | ||
| Connectivity/AllowUSBConnection | 0 — niedozwolone | Wyłącza połączenie USB między urządzeniem a komputerem w celu synchronizowania plików z urządzeniem lub używania narzędzi deweloperskich do wdrażania lub debugowania aplikacji. |
| Blokada urządzenia | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 — niedozwolone | Nie zezwalaj na powrót z bezczynności bez numeru PIN lub hasła. |
| DeviceLock/AllowSimpleDevicePassword | 0 — zablokowane | Blokuj numery PIN lub hasła, takie jak "1111" lub "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 — wymagane jest hasło lub numer PIN liczbowy | Wymagaj hasła lub alfanumerycznego numeru PIN. |
| DeviceLock/DevicePasswordEnabled | 0 — włączone | Blokada urządzenia jest włączona. |
| DeviceLock/MaxInactivityTimeDeviceLock | Liczba całkowita X, w której zalecana jest wartość 0 < X < 999: 3 | Określa maksymalny czas (w minutach) dozwolony po bezczynności urządzenia, który spowoduje zablokowanie numeru PIN lub hasła urządzenia. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 — Tylko cyfry | Liczba typów elementów (dużych i małych liter, liczb oraz znaków interpunkcyjnych) wymaganych do uznania hasła lub numeru PIN za silne. |
| DeviceLock/MinDevicePasswordLength | Liczba całkowita X, gdzie 4 < X < 16 dla urządzeń klienckichRecommended wartość: 8 | Określa minimalną liczbę lub znaki wymagane w numerze PIN lub haśle. |
| Rejestracja w rozwiązaniu MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 — niedozwolone | Nie zezwalaj użytkownikowi na usunięcie konta w miejscu pracy przy użyciu panelu sterowania miejsca pracy. |
| Tożsamość | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Liczba dni, w których pamięć podręczna ma być prawidłowaPoznana wartość: 7 dni | Liczba dni, w których pamięć podręczna członkostwa w grupie Microsoft Entra powinna być prawidłowa. |
| Zasilania | ||
| Power/DisplayOffTimeoutPluggedIn | Czas bezczynności w liczbie sekundOdzyskiwane wartości: 60 s | Umożliwia określenie okresu braku aktywności przed wyłączeniem ekranu przez system Windows. |
| Ustawienia | ||
| Settings/AllowVPN | 0 — niedozwolone | Nie zezwalaj użytkownikowi na zmianę ustawień sieci VPN. |
| Ustawienia/Lista widoczności strony | Skrócona nazwa stron widocznych dla użytkownika. Zapewni interfejs użytkownika do wybrania lub usunięcia zaznaczenia nazw stron. Zobacz komentarze, aby ukryć zalecane strony. | Zezwalaj na wyświetlanie tylko wymienionych stron użytkownikowi w aplikacji Ustawienia. |
| System | ||
| System/AllowStorageCard | 0 — niedozwolone | Użycie karty SD nie jest dozwolone, a dyski USB są wyłączone. To ustawienie nie uniemożliwia programowego dostępu do karty pamięci. |
| Aktualizacje | ||
| Update/AllowUpdateService | 1 — Dozwolone | Zezwalaj na dostęp do usługi Microsoft Update, Windows Server Update Services (WSUS) lub Microsoft Store. |
| Update/ManagePreviewBuilds | 0 — Wyłączanie kompilacji w wersji zapoznawczej | Nie zezwalaj na instalowanie kompilacji w wersji zapoznawczej na urządzeniu. |
1.2 ClientCertificateInstall CSP
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie ma zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP.
1.3 PassportForWork CSP
| Nazwa węzła | Wartość | Opis |
|---|---|---|
| Identyfikator dzierżawy | Identyfikator dzierżawy | Globalnie unikatowy identyfikator (GUID), bez nawiasów klamrowych ( { , } ), który jest używany w ramach Windows Hello dla firm aprowizacji i zarządzania. |
| TenantId/Policies/UsePassportForWork | Prawda | Ustawia Windows Hello dla firm jako metodę logowania do systemu Windows. |
| TenantId/Policies/RequireSecurityDevice | Prawda | Wymaga modułu TPM (Trusted Platform Module) dla Windows Hello dla firm. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Fałsz | Moduły TPM w wersji 1.2 mogą być używane z Windows Hello dla firm. |
| TenantId/Policies/EnablePinRecovery | Fałsz | Wpis tajny odzyskiwania numeru PIN nie jest tworzony ani przechowywany. |
| TenantId/Policies/UseCertificateForOnPremAuth | Fałsz | Numer PIN jest aprowizowany, gdy użytkownik zaloguje się bez oczekiwania na ładunek certyfikatu. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Długość numeru PIN musi być większa lub równa tej liczbie. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Długość numeru PIN musi być mniejsza lub równa tej liczbie. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nie zezwala na używanie znaków specjalnych w numerze PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Umożliwia używanie cyfr w numerze PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Liczba poprzednich numerów PIN, które można skojarzyć z kontem użytkownika, którego nie można użyć ponownie. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Okres (w dniach), przez który można użyć numeru PIN, zanim system będzie musiał go zmienić. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Fałsz | Aplikacje nie używają certyfikatów Windows Hello dla firm jako certyfikatów kart inteligentnych, a czynniki biometryczne są dostępne, gdy użytkownik zostanie poproszony o autoryzowanie użycia klucza prywatnego certyfikatu. |
1.4 RootCATrustedCertificates CSP
Zalecamy skonfigurowanie węzłów Root, CA, TrustedPublisher i TrustedPeople w tym programie CSP jako najlepsze rozwiązanie, ale nie zaleca się korzystania z określonych wartości dla każdego węzła w tym programie CSP.
1.5 TenantLockdown CSP
| Nazwa węzła | Wartość | Opis |
|---|---|---|
| RequireNetworkInOOBE | Prawda | Gdy urządzenie przechodzi przez środowisko OOBE przy pierwszym logowaniu lub po zresetowaniu, użytkownik musi wybrać sieć przed kontynuowaniem. Nie ma opcji "pomiń na razie". Ta opcja zapewnia, że urządzenie pozostaje powiązane z dzierżawą w przypadku przypadkowego lub zamierzonego zresetowania lub czyszczenia. |
1.6 VPNv2 CSP
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie mamy zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związanych ze środowiskiem klienta.
1.7 Dostawca CSP sieci Wi-Fi
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie mamy zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związanych ze środowiskiem klienta.
2 Zaawansowane ustawienia punktu odniesienia zabezpieczeń
W poniższych sekcjach opisano zalecane ustawienia każdego dostawcy CSP w ramach zaawansowanego profilu punktu odniesienia zabezpieczeń.
2.1 Dostawca usługi konfiguracji zasad
| Nazwa zasad | Wartość | Opis |
|---|---|---|
| Konta | ||
| Accounts/AllowMicrosoftAccountConnection | 0 — niedozwolone | Ogranicz użytkownika do korzystania z konta MSA na potrzeby uwierzytelniania i usług związanych z połączeniem niezwiązanym z pocztą e-mail. |
| Zarządzanie aplikacjami | ||
| ApplicationManagement/AllowAllTrustedApps | 0 — Jawna odmowa | Jawne odrzucanie aplikacji ze sklepu Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 — Dozwolone | Zezwalaj na automatyczną aktualizację aplikacji ze sklepu Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 — Jawna odmowa | Ogranicz użytkownikowi możliwość odblokowania trybu dewelopera, który umożliwia użytkownikowi instalowanie aplikacji na urządzeniu z poziomu środowiska IDE. |
| Authentication | ||
| Authentication/AllowFastReconnect | 0 — niedozwolone | Nie zezwalaj na szybkie ponowne nawiązywanie połączenia EAP z próby użycia protokołu TLS metody protokołu EAP. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 — niedozwolone | Inne urządzenia nie będą mogły wykryć tego urządzenia. |
| Przeglądarka | ||
| Browser/AllowAutofill | 0 — niedozwolone/niedozwolone | Uniemożliwiaj użytkownikom automatyczne wypełnianie pól formularza w przeglądarce Microsoft Edge za pomocą funkcji automatycznego wypełniania. |
| Przeglądarka/AllowCookies | 1 — Blokuj tylko pliki cookie z witryn internetowych innych firm | Blokuj tylko pliki cookie z witryn internetowych innych firm. |
| Browser/AllowDoNotTrack | 0 — Nigdy nie wysyłaj informacji śledzenia | Nigdy nie wysyłaj informacji śledzenia. |
| Browser/AllowPasswordManager | 0 — niedozwolone | Nie zezwalaj przeglądarce Microsoft Edge na korzystanie z menedżera haseł. |
| Browser/AllowPopups | 1 — włączanie blokowanie wyskakujących okienek | Włącz blokowanie wyskakujących okienek, aby zatrzymać wyskakujące okienka przed otwarciem. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 — niedozwolone/niedozwolone | Ukryj sugestie dotyczące wyszukiwania na pasku adresowym przeglądarki Microsoft Edge. |
| Browser/AllowSmartScreen | 1 — włączone | Włącza Windows Defender Filtr SmartScreen i uniemożliwia użytkownikom wyłączenie go. |
| Połączenia | ||
| Connectivity/AllowBluetooth | 0 — nie zezwalaj na połączenie Bluetooth | Panel sterowania bluetooth jest wyszaryzowany, a użytkownik nie będzie mógł włączyć funkcji Bluetooth. |
| Connectivity/AllowUSBConnection | 0 — niedozwolone | Wyłącza połączenie USB między urządzeniem a komputerem w celu synchronizowania plików z urządzeniem lub używania narzędzi deweloperskich do wdrażania lub debugowania aplikacji. |
| Blokada urządzenia | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 — niedozwolone | Nie zezwalaj na powrót z bezczynności bez numeru PIN lub hasła. |
| DeviceLock/AllowSimpleDevicePassword | 0 — zablokowane | Blokuj numery PIN lub hasła, takie jak "1111" lub "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 — wymagane jest hasło lub alfanumeryczny numer PIN | Wymagaj hasła lub alfanumerycznego numeru PIN. |
| DeviceLock/DevicePasswordEnabled | 0 — włączone | Blokada urządzenia jest włączona. |
| DeviceLock/DevicePasswordHistory | Liczba całkowita X, w której 0 < X < 50Odzyskiwane wartości: 15 | Określa, ile haseł, których nie można użyć, ma być przechowywanych w historii. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Liczba całkowita X, w której 4 < X < 16 dla urządzeń klienckichOdzyskiwane wartości: 10 | Liczba dozwolonych błędów uwierzytelniania przed wyczyszczeniem urządzenia. |
| DeviceLock/MaxInactivityTimeDeviceLock | Liczba całkowita X, gdzie zalecana wartość 0 < X < 999: 3 | Określa maksymalny czas (w minutach) dozwolony po bezczynności urządzenia, który spowoduje zablokowanie numeru PIN lub hasła urządzenia. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 — Wymagane są cyfry, małe litery i wielkie litery | Liczba typów elementów (dużych i małych liter, liczb oraz znaków interpunkcyjnych) wymaganych do uznania hasła lub numeru PIN za silne. |
| DeviceLock/MinDevicePasswordLength | Liczba całkowita X, w której 4 < X < 16 dla urządzeń klienckichOdzyskiwane wartości: 12 | Określa minimalną liczbę lub znaki wymagane w numerze PIN lub haśle. |
| Rejestracja w rozwiązaniu MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 — niedozwolone | Nie zezwalaj użytkownikowi na usuwanie konta w miejscu pracy przy użyciu panelu sterowania miejsca pracy. |
| Tożsamość | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Liczba dni, przez które pamięć podręczna ma być prawidłowaWartość zmieniona: 7 dni | Liczba dni, przez które pamięć podręczna członkostwa w grupie Microsoft Entra powinna być prawidłowa. |
| Zasilania | ||
| Power/DisplayOffTimeoutPluggedIn | Czas bezczynności w liczbie sekundZmiany wartości: 60 s | Umożliwia określenie okresu braku aktywności przed wyłączeniem wyświetlania przez system Windows. |
| Ochrona prywatności | ||
| Prywatność/LetAppsAccess Informacje o koncie |
2 — Wymuś odmowę | Uniemożliwia aplikacjom systemu Windows dostęp do informacji o koncie. |
| Prywatność/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows | Wymienione aplikacje systemu Windows mogą uzyskiwać dostęp do informacji o koncie. |
| Prywatność/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows | Wymienione aplikacje systemu Windows nie mają dostępu do informacji o koncie. |
| Prywatność/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows | Użytkownik może kontrolować ustawienie prywatności informacji o koncie dla wymienionych aplikacji systemu Windows. |
| Prywatność/LetAppsAccess BackgroundSpatialPerception |
2 — Wymuś odmowę | Odmów aplikacjom systemu Windows dostęp do przenoszenia głowy użytkownika, rąk, kontrolerów ruchu i innych śledzonych obiektów, podczas gdy aplikacje działają w tle. |
| Prywatność/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows | Aplikacje wymienione na liście mogą uzyskiwać dostęp do ruchów użytkownika, gdy aplikacje działają w tle. |
| Prywatność/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows | Wymienione aplikacje są odrzucane dostęp do ruchów użytkownika, gdy aplikacje są uruchomione w tle. |
| Prywatność/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows | Użytkownik może kontrolować ustawienie prywatności przenoszenia przez użytkownika dla wymienionych aplikacji. |
| Prywatność/LetAppsAccess Microphone_ForceDenyTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze sklepu Microsoft Store | Wymienione aplikacje nie mają dostępu do mikrofonu. |
| Prywatność/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze sklepu Microsoft Store | Użytkownik może kontrolować ustawienie prywatności mikrofonu dla wymienionych aplikacji. |
| Wyszukiwanie | ||
| Search/AllowSearchToUseLocation | 0 — niedozwolone | Nie zezwalaj na wyszukiwanie w celu korzystania z informacji o lokalizacji. |
| Bezpieczeństwo | ||
| Security/AllowAddProvisioningPackage | 0 — niedozwolone | Nie zezwalaj agentowi konfiguracji środowiska uruchomieniowego na instalowanie pakietów aprowizacji. |
| Ustawienia | ||
| Settings/AllowVPN | 0 — niedozwolone | Nie zezwala użytkownikowi na zmianę ustawień sieci VPN. |
| Ustawienia/PageVisibilityList | Skrócona nazwa stron widocznych dla użytkownikaWystarcz interfejs użytkownika do wybrania lub usunięcia zaznaczenia nazw stron. Zobacz komentarze dla zalecanych stron do ukrycia. | Zezwalaj na wyświetlanie tylko stron wymienionych użytkownikowi w aplikacji Ustawienia. |
| System | ||
| System/AllowStorageCard | 0 — niedozwolone | Użycie karty SD nie jest dozwolone, a dyski USB są wyłączone. To ustawienie nie uniemożliwia programowego dostępu do karty pamięci. |
| System/AllowTelemetry | 0 — Niedozwolone | Nie zezwalaj urządzeniu na wysyłanie danych telemetrycznych diagnostycznych i użycia, takich jak Watson. |
| Aktualizacje | ||
| Update/AllowUpdateService | 1 — Dozwolone | Zezwalaj na dostęp do usługi Microsoft Update, Windows Server Update Services (WSUS) lub Microsoft Store. |
| Update/ManagePreviewBuilds | 0 — Wyłączanie kompilacji w wersji zapoznawczej | Nie zezwalaj na instalowanie kompilacji w wersji zapoznawczej na urządzeniu. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 — niedozwolone | Nie zezwalaj na nawiązywanie połączenia z Wi-Fi poza sieciami zainstalowanymi przez serwer MDM. |
2.2 AccountManagement CSP
| Nazwa węzła | Wartość | Opis |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Prawda | Włącz zarządzanie okresem istnienia profilu dla scenariuszy współużytkowanych lub wspólnych urządzeń. |
| UserProfileManagement/DeletionPolicy | 2 — usuwanie zarówno po osiągnięciu progu pojemności magazynu, jak i po osiągnięciu progu nieaktywności profilu | Konfiguruje, kiedy profile zostaną usunięte. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Rozpocznij usuwanie profilów, gdy dostępna pojemność magazynu spadnie poniżej tego progu, biorąc pod uwagę procent całkowitej ilości miejsca do magazynowania dostępnego dla profilów. Profile, które były nieaktywne, najdłużej zostaną usunięte jako pierwsze. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Zatrzymaj usuwanie profilów, gdy dostępna pojemność magazynu zostanie podniesiona do tego progu, biorąc pod uwagę procent całkowitej ilości miejsca do magazynowania dostępnego dla profilów. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Rozpocznij usuwanie profilów, gdy nie zostały one zarejestrowane w określonym przedziale czasu, podane jako liczba dni. |
2.3 Dostawca usługi konfiguracji ApplicationControl
| Nazwa węzła | Wartość | Opis |
|---|---|---|
| Identyfikator GUID zasad/zasad | Identyfikator zasad w obiekcie blob zasad | Identyfikator zasad w obiekcie blob zasad. |
| Policy/Policy GUID/Policy | Obiekt blob zasad | Binarny obiekt blob zasad zakodowany w formacie base64. |
2.4 ClientCertificateInstall CSP
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie ma zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP.
2.5 PassportForWork CSP
| Nazwa węzła | Wartość | Opis |
|---|---|---|
| Identyfikator dzierżawy | Identyfikator dzierżawy | Globalnie unikatowy identyfikator (GUID), bez nawiasów klamrowych ( { , } ), który jest używany w ramach Windows Hello dla firm aprowizacji i zarządzania. |
| TenantId/Policies/UsePassportForWork | Prawda | Ustawia Windows Hello dla firm jako metodę logowania do systemu Windows. |
| TenantId/Policies/RequireSecurityDevice | Prawda | Wymaga modułu TPM (Trusted Platform Module) dla Windows Hello dla firm. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Fałsz | Moduły TPM w wersji 1.2 mogą być używane z Windows Hello dla firm. |
| TenantId/Policies/EnablePinRecovery | Fałsz | Wpis tajny odzyskiwania numeru PIN nie zostanie utworzony ani zapisany. |
| TenantId/Policies/UseCertificateForOnPremAuth | Fałsz | Numer PIN jest aprowizowany, gdy użytkownik loguje się bez oczekiwania na ładunek certyfikatu. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Długość numeru PIN musi być większa lub równa tej liczbie. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Długość numeru PIN musi być mniejsza lub równa tej liczbie. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nie zezwala na używanie znaków specjalnych w numerze PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Umożliwia używanie cyfr w numerze PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Liczba wcześniejszych numerów PIN, które mogą być skojarzone z kontem użytkownika, którego nie można użyć ponownie. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Okres czasu (w dniach), który można użyć numeru PIN, zanim system wymaga od użytkownika jego zmiany. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Fałsz | Aplikacje nie używają certyfikatów Windows Hello dla firm jako certyfikatów kart inteligentnych, a czynniki biometryczne są dostępne, gdy użytkownik zostanie poproszony o autoryzowanie korzystania z klucza prywatnego certyfikatu. |
2.6 RootCATrustedCertificates CSP
Zalecamy skonfigurowanie węzłów Root, CA, TrustedPublisher i TrustedPeople w tym dostawcy CSP jako najlepsze rozwiązanie, ale nie zaleca się określonych wartości dla każdego węzła w tym dostawcy CSP.
2.7 TenantLockdown CSP
| Nazwa węzła | Wartość | Opis |
|---|---|---|
| RequireNetworkInOOBE | Prawda | Gdy urządzenie przechodzi przez usługę OOBE podczas pierwszego logowania lub po zresetowaniu, użytkownik musi wybrać sieć przed kontynuowaniem. Nie ma opcji "pomiń na razie". Dzięki temu urządzenie pozostaje powiązane z dzierżawą w przypadku przypadkowego lub zamierzonego zresetowania lub czyszczenia. |
2.8 VPNv2 CSP
Zalecamy skonfigurowanie profilów sieci VPN jako najlepszych rozwiązań, ale nie zaleca się określonych wartości dla każdego węzła w tym dostawcy CSP. Większość ustawień jest powiązanych ze środowiskiem klienta.
2.9 Dostawca usługi konfiguracji sieci Wi-Fi
Zalecamy skonfigurowanie profilów sieci Wi-Fi jako najlepsze rozwiązanie, ale nie zaleca się określonych wartości dla każdego węzła w tym dostawcy CSP. Większość ustawień jest powiązanych ze środowiskiem klienta.
Jak włączyć te linie podstawowe zabezpieczeń
- Przejrzyj punkt odniesienia zabezpieczeń i zdecyduj, co należy zastosować.
- Określ grupy platformy Azure, do których przypiszesz punkt odniesienia. (Więcej informacji na temat użytkowników i grup)
- Utwórz punkt odniesienia.
Poniżej przedstawiono sposób tworzenia punktu odniesienia.
Wiele ustawień można dodać przy użyciu wykazu Ustawień, jednak czasami może istnieć ustawienie, które nie zostało jeszcze wypełnione do katalogu Ustawień. W takich przypadkach użyjesz zasad niestandardowych lub identyfikatora OMA-URI (Open Mobile Alliance — jednolity identyfikator zasobu). Zacznij od wyszukania w katalogu Ustawień, a jeśli nie znaleziono go, postępuj zgodnie z poniższymi instrukcjami dotyczącymi tworzenia zasad niestandardowych za pomocą identyfikatora OMA-URI.
Wykaz ustawień
Zaloguj się do swojego konta w centrum administracyjnym MEM.
- Przejdź do pozycji Urządzenia ->Profile konfiguracji ->+Utwórz profil. W obszarze Platforma wybierz pozycję Windows 10 i nowsze, a w polu Typ profilu wybierz pozycję Katalog ustawień (wersja zapoznawcza).
- Utwórz nazwę profilu i wybierz przycisk Dalej .
- Na ekranie Ustawienia konfiguracji wybierz pozycję + Dodaj ustawienia.
Używając nazwy zasad z powyższego punktu odniesienia, możesz wyszukać zasady. W katalogu ustawień zostanie wyświetlona nazwa, aby znaleźć ciąg "Accounts/AllowMicrosoftAccountConnection", należy wyszukać frazę "Zezwalaj na połączenie konta Microsoft". Po wyszukaniu zostanie wyświetlona lista zasad zredukowanych do dostawcy usług kryptograficznych, który ma te zasady. Wybierz pozycję Konta (lub odpowiedni dostawca CSP do bieżącego wyszukiwania), po wyświetleniu poniższego wyniku zasad. Zaznacz pole wyboru zasad.
Po zakończeniu panel po lewej stronie doda kategorię CSP i dodane ustawienie. W tym miejscu można skonfigurować ją z ustawienia domyślnego na jeszcze jedną bezpieczną.
Możesz nadal dodawać wiele konfiguracji do tego samego profilu, co ułatwi przypisanie jednocześnie.
Dodawanie niestandardowych zasad OMA-URI
Niektóre zasady mogą nie być jeszcze dostępne w katalogu Ustawień. W przypadku tych zasad należy utworzyć niestandardowy profil OMA-URI. Zaloguj się do swojego konta w centrum administracyjnym MEM.
- Przejdź do pozycji Urządzenia ->Profile konfiguracji ->+Utwórz profil. W obszarze Platforma wybierz pozycję Windows 10 i nowsze, a w polu Typ profilu wybierz pozycję Szablony i wybierz pozycję Niestandardowe.
- Utwórz nazwę profilu i wybierz przycisk Dalej .
- Wybierz przycisk Dodaj .
Musisz wypełnić kilka pól.
- Nazwa, możesz nadać jej nazwę wszystkim, czego potrzebujesz w związku z zasadami. Może to być skrócona nazwa używana do jej rozpoznawania.
- Opis będzie bardziej szczegółowy.
- Identyfikator OMA-URI będzie pełnym ciągiem OMA-URI, w którym są zasady. Przykład:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Typ danych jest typem wartości akceptowanej przez te zasady. W tym przykładzie jest to liczba z zakresu od 0 do 60, dlatego wybrano liczbę całkowitą.
- Po wybraniu typu danych będzie można zapisać lub przekazać wartość wymaganą do pola.
Po zakończeniu zasady zostaną dodane do okna głównego. Możesz kontynuować dodawanie wszystkich zasad niestandardowych do tej samej konfiguracji niestandardowej. Ułatwia to zarządzanie wieloma konfiguracjami urządzeń i ułatwia przypisywanie.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla