Punkty odniesienia zabezpieczeń urządzenia HoloLens 2
Ważne
Niektóre zasady używane w tym punkcie odniesienia zabezpieczeń są wprowadzane w najnowszej kompilacji insider. Te zasady będą działać tylko na urządzeniach zaktualizowanych do najnowszej kompilacji niejawnego testera.
W tym artykule wymieniono i opisano różne ustawienia punktu odniesienia zabezpieczeń, które można skonfigurować na urządzeniu HoloLens 2 przy użyciu dostawców usług konfiguracji (CSP). W ramach zarządzania urządzeniami przenośnymi przy użyciu programu Microsoft Endpoint Manager (formalnie znanego jako Microsoft Intune) użyj następujących standardowych lub zaawansowanych ustawień punktu odniesienia zabezpieczeń w zależności od zasad i potrzeb organizacji. Użyj tych ustawień punktu odniesienia zabezpieczeń, aby chronić zasoby organizacji.
- Standardowe ustawienia punktu odniesienia zabezpieczeń mają zastosowanie do wszystkich typów użytkowników niezależnie od scenariusza przypadku użycia i branży.
- Zaawansowane ustawienia punktu odniesienia zabezpieczeń to zalecane ustawienia dla użytkowników, którzy mają ścisłe mechanizmy kontroli zabezpieczeń środowiska i wymagają rygorystycznych zasad zabezpieczeń dla urządzeń używanych w ich środowisku.
Te ustawienia punktu odniesienia zabezpieczeń są oparte na wytycznych i doświadczeniach firmy Microsoft w zakresie wdrażania i obsługi urządzeń HoloLens 2 dla klientów w różnych branżach.
Po przejrzeniu punktu odniesienia zabezpieczeń i podjęciu decyzji o użyciu jednego, obu lub części, zapoznaj się z , jak włączyć te linie bazowe zabezpieczeń
W poniższych sekcjach opisano zalecane ustawienia każdego dostawcy CSP w ramach standardowego profilu punktu odniesienia zabezpieczeń.
nazwa zasad | wartości |
opis |
---|---|---|
kont |
||
Accounts/AllowMicrosoftAccountConnection | 0 — niedozwolone | Ogranicz użytkownika do korzystania z konta MSA na potrzeby uwierzytelniania i usług niezwiązanych z pocztą e-mail. |
zarządzania aplikacjami |
||
ApplicationManagement/AllowAllTrustedApps | 0 — Jawne odmów | Jawne odrzucanie aplikacji ze sklepu Microsoft Store. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 — Dozwolone | Zezwalaj na automatyczną aktualizację aplikacji ze sklepu Microsoft Store. |
ApplicationManagement/AllowDeveloperUnlock | 0 — Jawne odmów | Ogranicz użytkownikowi możliwość odblokowania trybu dewelopera, który umożliwia użytkownikowi instalowanie aplikacji na urządzeniu z poziomu środowiska IDE. |
przeglądarki |
||
Browser/AllowCookies | 1 — Blokuj tylko pliki cookie z witryn internetowych innych firm | Za pomocą tych zasad można skonfigurować przeglądarkę Microsoft Edge tak, aby blokowała tylko pliki cookie innych firm lub blokowała wszystkie pliki cookie. |
Browser/AllowPasswordManager | 0 — niedozwolone | Nie zezwalaj przeglądarce Microsoft Edge na korzystanie z menedżera haseł. |
Browser/AllowSmartScreen | 1 — włączone | Włącza filtr Windows Defender SmartScreen i uniemożliwia użytkownikom wyłączenie go. |
Connectivity | ||
Connectivity/AllowUSBConnection | 0 — niedozwolone | Wyłącza połączenie USB między urządzeniem a komputerem w celu synchronizowania plików z urządzeniem lub używania narzędzi deweloperskich do wdrażania lub debugowania aplikacji. |
blokady urządzenia |
||
DeviceLock/AllowIdleReturnWithoutPassword | 0 — niedozwolone | Nie zezwalaj na powrót z bezczynności bez numeru PIN lub hasła. |
DeviceLock/AllowSimpleDevicePassword | 0 — zablokowane | Blokuj numery PIN lub hasła, takie jak "1111" lub "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 1 — wymagane jest hasło lub numer PIN liczbowy | Wymagaj hasła lub alfanumerycznego numeru PIN. |
DeviceLock/DevicePasswordEnabled | 0 — włączone | Blokada urządzenia jest włączona. |
DeviceLock/MaxInactivityTimeDeviceLock | Liczba całkowita X, gdzie 0 < X < 999 Zalecana wartość: 3 | Określa maksymalny czas (w minutach) dozwolony po bezczynności urządzenia, który spowoduje, że urządzenie stanie się numerem PIN lub zablokowanym hasłem. |
DeviceLock/MinDevicePasswordComplexCharacters | 1 — Tylko cyfry | Liczba typów elementów złożonych (wielkie i małe litery, cyfry i znaki interpunkcyjne) wymagane dla silnego numeru PIN lub hasła. |
DeviceLock/MinDevicePasswordLength | Liczba całkowita X, w której 4 < X < 16 dla urządzeń klienckichRecommended wartość: 8 | Określa minimalną liczbę lub znaki wymagane w numerze PIN lub haśle. |
rejestracji w usłudze MDM | ||
Experience/AllowManualMDMUnenrollment | 0 — niedozwolone | Nie zezwalaj użytkownikowi na usuwanie konta w miejscu pracy przy użyciu panelu sterowania miejsca pracy. |
Identity | ||
MixedReality/AADGroupMembershipCacheValidityInDays | Liczba dni, przez które pamięć podręczna ma być prawidłowaWartość zmieniona: 7 dni | Liczba dni, przez które pamięć podręczna członkostwa w grupie Entra firmy Microsoft powinna być prawidłowa. |
Power | ||
Power/DisplayOffTimeoutPluggedIn | Czas bezczynności w liczbie sekundWartości zmienione: 60 sek. | Umożliwia określenie okresu braku aktywności przed wyłączeniem wyświetlania przez system Windows. |
Ustawienia | ||
Settings/AllowVPN | 0 — niedozwolone | Nie zezwalaj użytkownikowi na zmianę ustawień sieci VPN. |
Settings/PageVisibilityList | Skrócona nazwa stron, które są widoczne dla użytkownika. Zapewni interfejs użytkownika do wybrania lub usunięcia zaznaczenia nazw stron. Zobacz komentarze, aby ukryć zalecane strony. | Zezwalaj na wyświetlanie tylko wyświetlanych stron dla użytkownika w aplikacji Ustawienia. |
System | ||
System/AllowStorageCard | 0 — niedozwolone | Użycie karty SD nie jest dozwolone, a dyski USB są wyłączone. To ustawienie nie uniemożliwia programowego dostępu do karty pamięci. |
aktualizacji |
||
Update/AllowUpdateService | 1 — Dozwolone | Zezwalaj na dostęp do usług Microsoft Update, Windows Server Update Services (WSUS) lub Microsoft Store. |
Update/ManagePreviewBuilds | 0 — Wyłączanie kompilacji w wersji zapoznawczej | Nie zezwalaj na instalowanie kompilacji w wersji zapoznawczej na urządzeniu. |
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie ma zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP.
nazwa węzła |
wartości |
opis |
---|---|---|
Identyfikator dzierżawy | TenantId | Unikatowy identyfikator globalny (GUID) bez nawiasów klamrowych ( { , } ), który jest używany w ramach aprowizacji i zarządzania usługą Windows Hello dla firm. |
TenantId/Policies/UsePassportForWork | Prawdziwy | Ustawia usługę Windows Hello dla firm jako metodę logowania się do systemu Windows. |
TenantId/Policies/RequireSecurityDevice | Prawdziwy | Wymaga modułu TPM (Trusted Platform Module) dla usługi Windows Hello dla firm. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Fałszywy | Moduły TPM w wersji 1.2 mogą być używane z usługą Windows Hello dla firm. |
TenantId/Policies/EnablePinRecovery | Fałszywy | Wpis tajny odzyskiwania numeru PIN nie jest tworzony ani przechowywany. |
TenantId/Policies/UseCertificateForOnPremAuth | Fałszywy | Numer PIN jest aprowizowany po zalogowaniu się użytkownika bez oczekiwania na ładunek certyfikatu. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Długość numeru PIN musi być większa lub równa tej liczbie. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Długość numeru PIN musi być mniejsza lub równa tej liczbie. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nie zezwala na używanie znaków specjalnych w numerze PIN. |
TenantId/Policies/PINComplexity/Digits | 0 | Umożliwia korzystanie z cyfr w numerze PIN. |
TenantId/Policies/PINComplexity/History | 10 | Liczba poprzednich numerów PIN, które mogą być skojarzone z kontem użytkownika, którego nie można użyć ponownie. |
TenantId/Policies/PINComplexity/Expiration | 90 | Okres (w dniach), który może być używany przez numer PIN, zanim system będzie wymagał od użytkownika zmiany. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Fałszywy | Aplikacje nie używają certyfikatów usługi Windows Hello dla firm jako certyfikatów kart inteligentnych, a czynniki biometryczne są dostępne, gdy użytkownik zostanie poproszony o autoryzowanie korzystania z klucza prywatnego certyfikatu. |
Zalecamy skonfigurowanie węzłów Root, CA, TrustedPublisher i TrustedPeople w tym programie CSP jako najlepsze rozwiązanie, ale nie będzie zalecane dla określonych wartości dla każdego węzła w tym programie CSP.
nazwa węzła |
wartości |
opis |
---|---|---|
RequireNetworkInOOBE | Prawdziwy | Gdy urządzenie przechodzi przez usługę OOBE podczas pierwszego logowania lub po zresetowaniu, użytkownik musi wybrać sieć przed kontynuowaniem. Nie ma opcji "pomiń na razie". Ta opcja zapewnia, że urządzenie pozostaje powiązane z dzierżawą w przypadku przypadkowego lub zamierzonego zresetowania lub czyszczenia. |
1.6 VPNv2 CSP
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie mamy zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.
1.7 WiFi CSP
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie mamy zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.
W poniższych sekcjach opisano zalecane ustawienia każdego dostawcy CSP w ramach zaawansowanego profilu punktu odniesienia zabezpieczeń.
nazwa zasad | wartości |
opis |
---|---|---|
kont |
||
Accounts/AllowMicrosoftAccountConnection | 0 — niedozwolone | Ogranicz użytkownika do korzystania z konta MSA na potrzeby uwierzytelniania i usług niezwiązanych z pocztą e-mail. |
zarządzania aplikacjami |
||
ApplicationManagement/AllowAllTrustedApps | 0 — Jawne odmów | Jawne odrzucanie aplikacji ze sklepu Microsoft Store. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 — Dozwolone | Zezwalaj na automatyczną aktualizację aplikacji ze sklepu Microsoft Store. |
ApplicationManagement/AllowDeveloperUnlock | 0 — Jawne odmów | Ogranicz użytkownikowi możliwość odblokowania trybu dewelopera, który umożliwia użytkownikowi instalowanie aplikacji na urządzeniu z poziomu środowiska IDE. |
uwierzytelniania |
||
Authentication/AllowFastReconnect | 0 — niedozwolone | Nie zezwalaj na szybkie ponowne nawiązywanie połączenia protokołu EAP z próby użycia protokołu TLS metody protokołu EAP. |
Bluetooth | ||
Bluetooth/AllowDiscoverableMode | 0 — niedozwolone | Inne urządzenia nie będą mogły wykryć tego urządzenia. |
przeglądarki |
||
Browser/AllowAutofill | 0 — niedozwolone/niedozwolone | Uniemożliwiaj użytkownikom automatyczne wypełnianie pól formularza w przeglądarce Microsoft Edge za pomocą funkcji autowypełniania. |
Browser/AllowCookies | 1 — Blokuj tylko pliki cookie z witryn internetowych innych firm | Blokuj tylko pliki cookie z witryn internetowych innych firm. |
Browser/AllowDoNotTrack | 0 — Nigdy nie wysyłaj informacji śledzenia | Nigdy nie wysyłaj informacji śledzenia. |
Browser/AllowPasswordManager | 0 — niedozwolone | Nie zezwalaj przeglądarce Microsoft Edge na korzystanie z menedżera haseł. |
Browser/AllowPopups | 1 — włączanie blokady wyskakujących okienek | Włącz opcję Blokowanie wyskakujących okienek, aby zatrzymać wyskakujące okna przed otwarciem. |
Browser/AllowSearchSuggestionsinAddressBar | 0 — niedozwolone/niedozwolone | Ukryj sugestie wyszukiwania na pasku adresu przeglądarki Microsoft Edge. |
Browser/AllowSmartScreen | 1 — włączone | Włącza filtr Windows Defender SmartScreen i uniemożliwia użytkownikom wyłączenie go. |
Connectivity | ||
Connectivity/AllowBluetooth | 0 — nie zezwalaj na łączność Bluetooth | Panel sterowania Bluetooth jest wyszaryzowany i użytkownik nie będzie mógł włączyć funkcji Bluetooth. |
Connectivity/AllowUSBConnection | 0 — niedozwolone | Wyłącza połączenie USB między urządzeniem a komputerem w celu synchronizowania plików z urządzeniem lub używania narzędzi deweloperskich do wdrażania lub debugowania aplikacji. |
blokady urządzenia |
||
DeviceLock/AllowIdleReturnWithoutPassword | 0 — niedozwolone | Nie zezwalaj na powrót z bezczynności bez numeru PIN lub hasła. |
DeviceLock/AllowSimpleDevicePassword | 0 — zablokowane | Blokuj numery PIN lub hasła, takie jak "1111" lub "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 0 — wymagany jest kod PIN alfanumeryczny lub hasło | Wymagaj hasła lub alfanumerycznego numeru PIN. |
DeviceLock/DevicePasswordEnabled | 0 — włączone | Blokada urządzenia jest włączona. |
DeviceLock/DevicePasswordHistory | Liczba całkowita X, gdzie 0 < X < 50Warta liczba całkowita: 15 | Określa, ile haseł można przechowywać w historii, których nie można użyć. |
DeviceLock/MaxDevicePasswordFailedAttempts | Liczba całkowita X, w której 4 < X < 16 dla urządzeń klienckichRecommended wartość: 10 | Liczba dozwolonych niepowodzeń uwierzytelniania przed wyczyszczeniem urządzenia. |
DeviceLock/MaxInactivityTimeDeviceLock | Liczba całkowita X, gdzie 0 < X < 999 Zalecana wartość: 3 | Określa maksymalny czas (w minutach) dozwolony po bezczynności urządzenia, który spowoduje, że urządzenie stanie się numerem PIN lub zablokowanym hasłem. |
DeviceLock/MinDevicePasswordComplexCharacters | 3 — Wymagane są cyfry, małe litery i wielkie litery | Liczba typów elementów złożonych (wielkie i małe litery, cyfry i znaki interpunkcyjne) wymagane dla silnego numeru PIN lub hasła. |
DeviceLock/MinDevicePasswordLength | Liczba całkowita X, gdzie 4 < X < 16 dla urządzeń klienckichRecommended wartość: 12 | Określa minimalną liczbę lub znaki wymagane w numerze PIN lub haśle. |
rejestracji w usłudze MDM | ||
Experience/AllowManualMDMUnenrollment | 0 — niedozwolone | Nie zezwalaj użytkownikowi na usuwanie konta w miejscu pracy przy użyciu panelu sterowania miejsca pracy. |
Identity | ||
MixedReality/AADGroupMembershipCacheValidityInDays | Liczba dni, przez które pamięć podręczna ma być prawidłowaWartość zmieniona: 7 dni | Liczba dni, przez które pamięć podręczna członkostwa w grupie Entra firmy Microsoft powinna być prawidłowa. |
Power | ||
Power/DisplayOffTimeoutPluggedIn | Czas bezczynności w liczbie sekundWartości zmienione: 60 sek. | Umożliwia określenie okresu braku aktywności przed wyłączeniem wyświetlania przez system Windows. |
prywatności |
||
Privacy/LetAppsAccess |
2 — Wymuś odmowę | Uniemożliwia aplikacjom systemu Windows dostęp do informacji o koncie. |
Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows | Wymienione aplikacje systemu Windows mogą uzyskiwać dostęp do informacji o koncie. |
Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows | Wymienione aplikacje systemu Windows nie mają dostępu do informacji o koncie. |
Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji systemu Windows | Użytkownik może kontrolować ustawienie prywatności informacji o koncie dla wymienionych aplikacji systemu Windows. |
Privacy/LetAppsAccess backgroundSpatialPerception |
2 — Wymuś odmowę | Odmowa dostępu aplikacji systemu Windows do przenoszenia głowy użytkownika, rąk, kontrolerów ruchu i innych śledzonych obiektów, podczas gdy aplikacje działają w tle. |
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows | Aplikacje wymienione na liście mogą uzyskiwać dostęp do ruchów użytkownika, gdy aplikacje są uruchomione w tle. |
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows | Wyświetlane aplikacje nie mają dostępu do ruchów użytkownika, gdy aplikacje są uruchomione w tle. |
Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze Sklepu Windows | Użytkownik może kontrolować ustawienie prywatności przenoszenia użytkowników dla wymienionych aplikacji. |
Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze sklepu Microsoft Store | Wymienione aplikacje nie mają dostępu do mikrofonu. |
Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lista rozdzielonych średnikami nazw rodzin pakietów aplikacji ze sklepu Microsoft Store | Użytkownik może kontrolować ustawienie prywatności mikrofonu dla wymienionych aplikacji. |
wyszukiwania |
||
Search/AllowSearchToUseLocation | 0 — niedozwolone | Nie zezwalaj na wyszukiwanie w celu korzystania z informacji o lokalizacji. |
Security | ||
Security/AllowAddProvisioningPackage | 0 — niedozwolone | Nie zezwalaj agentowi konfiguracji środowiska uruchomieniowego na instalowanie pakietów aprowizacji. |
Ustawienia | ||
Settings/AllowVPN | 0 — niedozwolone | Nie zezwalaj użytkownikowi na zmianę ustawień sieci VPN. |
Settings/PageVisibilityList | Skrócona nazwa stron widocznych dla użytkownikaWystarcz interfejs użytkownika, aby wybrać lub usunąć zaznaczenie nazw stron. Zobacz komentarze, aby ukryć zalecane strony. | Zezwalaj na wyświetlanie tylko wyświetlanych stron dla użytkownika w aplikacji Ustawienia. |
System | ||
System/AllowStorageCard | 0 — niedozwolone | Użycie karty SD nie jest dozwolone, a dyski USB są wyłączone. To ustawienie nie uniemożliwia programowego dostępu do karty pamięci. |
System/AllowTelemetry | 0 — Niedozwolone | Nie zezwalaj urządzeniu na wysyłanie danych telemetrycznych diagnostycznych i użycia, takich jak Watson. |
aktualizacji |
||
Update/AllowUpdateService | 1 — Dozwolone | Zezwalaj na dostęp do usług Microsoft Update, Windows Server Update Services (WSUS) lub Microsoft Store. |
Update/ManagePreviewBuilds | 0 — Wyłączanie kompilacji w wersji zapoznawczej | Nie zezwalaj na instalowanie kompilacji w wersji zapoznawczej na urządzeniu. |
sieci Wi-Fi | ||
Wifi/AllowManualWiFiConfiguration | 0 — niedozwolone | Nie zezwalaj na nawiązywanie połączenia z Wi-Fi poza sieciami zainstalowanymi na serwerze MDM. |
nazwa węzła |
wartości |
opis |
---|---|---|
UserProfileManagement/EnableProfileManager | Prawdziwy | Włącz zarządzanie okresem istnienia profilu dla scenariuszy urządzeń udostępnionych lub wspólnych. |
UserProfileManagement/DeletionPolicy | 2 — usuwanie zarówno przy progu pojemności magazynu, jak i progu braku aktywności profilu | Konfiguruje, kiedy profile zostaną usunięte. |
UserProfileManagement/StorageCapacityStartDeletion | 25% | Rozpocznij usuwanie profilów, gdy dostępna pojemność magazynu spadnie poniżej tego progu, biorąc pod uwagę procent całkowitego miejsca do magazynowania dostępnego dla profilów. Profile, które były nieaktywne najdłużej, zostaną najpierw usunięte. |
UserProfileManagement/StorageCapacityStopDeletion | 50% | Zatrzymaj usuwanie profilów, gdy dostępna pojemność magazynu zostanie podniesiona do tego progu, biorąc pod uwagę procent całkowitego magazynu dostępnego dla profilów. |
UserProfileManagement/ProfileInactivityThreshold | 30 | Rozpocznij usuwanie profilów, gdy nie zostały one zarejestrowane w określonym przedziale czasu, podane jako liczba dni. |
nazwa węzła |
wartości |
opis |
---|---|---|
Identyfikator GUID zasad/zasad | identyfikator zasad w obiekcie blob zasad | Identyfikator zasad w obiekcie blob zasad. |
Zasady/identyfikator GUID zasad/Policy | obiektu blob zasad | Binarny obiekt blob zasad zakodowany w base64. |
Zalecamy skonfigurowanie tego dostawcy CSP jako najlepszego rozwiązania, ale nie ma zaleceń dotyczących określonych wartości dla każdego węzła w tym programie CSP.
nazwa węzła |
wartości |
opis |
---|---|---|
Identyfikator dzierżawy | TenantId | Unikatowy identyfikator globalny (GUID) bez nawiasów klamrowych ( { , } ), który jest używany w ramach aprowizacji i zarządzania usługą Windows Hello dla firm. |
TenantId/Policies/UsePassportForWork | Prawdziwy | Ustawia usługę Windows Hello dla firm jako metodę logowania się do systemu Windows. |
TenantId/Policies/RequireSecurityDevice | Prawdziwy | Wymaga modułu TPM (Trusted Platform Module) dla usługi Windows Hello dla firm. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Fałszywy | Moduły TPM w wersji 1.2 mogą być używane z usługą Windows Hello dla firm. |
TenantId/Policies/EnablePinRecovery | Fałszywy | Wpis tajny odzyskiwania numeru PIN nie zostanie utworzony ani zapisany. |
TenantId/Policies/UseCertificateForOnPremAuth | Fałszywy | Numer PIN jest aprowizowany, gdy użytkownik loguje się bez oczekiwania na ładunek certyfikatu. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Długość numeru PIN musi być większa lub równa tej liczbie. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Długość numeru PIN musi być mniejsza lub równa tej liczbie. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Cyfry są wymagane, a wszystkie inne zestawy znaków nie są dozwolone. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Nie zezwala na używanie znaków specjalnych w numerze PIN. |
TenantId/Policies/PINComplexity/Digits | 0 | Umożliwia korzystanie z cyfr w numerze PIN. |
TenantId/Policies/PINComplexity/History | 10 | Liczba poprzednich numerów PIN, które mogą być skojarzone z kontem użytkownika, którego nie można użyć ponownie. |
TenantId/Policies/PINComplexity/Expiration | 90 | Okres (w dniach), który może być używany przez numer PIN, zanim system będzie wymagał od użytkownika zmiany. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Fałszywy | Aplikacje nie używają certyfikatów usługi Windows Hello dla firm jako certyfikatów kart inteligentnych, a czynniki biometryczne są dostępne, gdy użytkownik zostanie poproszony o autoryzowanie korzystania z klucza prywatnego certyfikatu. |
Zalecamy skonfigurowanie węzłów root, CA, TrustedPublisher i TrustedPeople w tym programie CSP jako najlepsze rozwiązanie, ale nie zaleca się użycia określonych wartości dla każdego węzła w tym programie CSP.
nazwa węzła |
wartości |
opis |
---|---|---|
RequireNetworkInOOBE | Prawdziwy | Gdy urządzenie przechodzi przez usługę OOBE przy pierwszym logowaniu lub po zresetowaniu, użytkownik musi wybrać sieć przed kontynuowaniem. Nie ma opcji "pomiń na razie". Dzięki temu urządzenie pozostaje powiązane z dzierżawą w przypadku przypadkowego lub zamierzonego zresetowania lub czyszczenia. |
2.8 VPNv2 CSP
Zalecamy skonfigurowanie profilów sieci VPN jako najlepsze rozwiązanie, ale nie zaleca się określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.
2.9 WiFi CSP
Zalecamy skonfigurowanie profilów sieci Wi-Fi jako najlepsze rozwiązanie, ale nie zaleca się określonych wartości dla każdego węzła w tym programie CSP. Większość ustawień jest związana ze środowiskiem klienta.
- Przejrzyj punkt odniesienia zabezpieczeń i zdecyduj, co należy zastosować.
- Określ grupy platformy Azure, do których przypiszesz punkt odniesienia. (Więcej informacji na temat użytkowników i grup)
- Utwórz punkt odniesienia.
Oto jak utworzyć punkt odniesienia.
Wiele ustawień można dodać przy użyciu wykazu ustawień, jednak czasami może istnieć ustawienie, które nie zostało jeszcze wypełnione w wykazie ustawień. W takich przypadkach użyjesz zasad niestandardowych lub OMA-URI (Open Mobile Alliance — jednolity identyfikator zasobów). Zacznij od wyszukania w katalogu ustawień, a jeśli nie można go znaleźć, postępuj zgodnie z poniższymi instrukcjami dotyczącymi tworzenia zasad niestandardowych za pomocą identyfikatora OMA-URI.
Zaloguj się do swojego konta w centrum administracyjnym MEM.
- Przejdź do pozycji Urządzenia — profile konfiguracji> —>+Tworzenie profilu. W polu Platforma wybierz pozycję Windows 10 i nowszych, a w polu Typ profilu wybierz pozycję katalog ustawień (wersja zapoznawcza).
- Utwórz nazwę profilu i wybierz przycisk Dalej.
- Na ekranie Ustawienia konfiguracji wybierz pozycję + Dodaj ustawienia.
Korzystając z nazwy zasad z powyższego punktu odniesienia, możesz wyszukać zasady. W katalogu ustawień zostanie wyświetlona nazwa, aby znaleźć ciąg "Accounts/AllowMicrosoftAccountConnection", należy wyszukać frazę "Zezwalaj na połączenie konta Microsoft". Po wyszukaniu zobaczysz listę zasad zredukowanych do tylko dostawcy CSP, który zawiera te zasady. Wybierz pozycję Accounts (lub odpowiedniego dostawcy CSP do bieżącego wyszukiwania) po wyświetleniu poniższego wyniku zasad. Zaznacz pole wyboru zasad.
Po zakończeniu panel po lewej stronie doda kategorię CSP i dodane ustawienie. W tym miejscu możesz skonfigurować ją z ustawienia domyślnego na jeszcze jedną bezpieczną.
Możesz nadal dodawać wiele konfiguracji do tego samego profilu, co ułatwi przypisywanie jednocześnie.
Niektóre zasady mogą nie być jeszcze dostępne w wykazie ustawień. W przypadku tych zasad należy utworzyć niestandardowy profil OMA-URI. Zaloguj się do swojego konta w centrum administracyjnym usługi MEM.
- Przejdź do pozycji Urządzenia — profile konfiguracji> —>+Tworzenie profilu. W polu Platforma wybierz pozycję Windows 10 lub nowszym, a w polu Typ profilu wybierz pozycję szablony i wybierz pozycję Niestandardowy.
- Utwórz nazwę profilu i wybierz przycisk Dalej.
- Wybierz przycisk Dodaj.
Musisz wypełnić kilka pól.
- Nazwa, możesz nadać jej nazwę wszystkim, co jest potrzebne w związku z zasadami. Może to być skrócona nazwa używana do jej rozpoznawania.
- Opis będzie zawierać więcej szczegółów.
- OMA-URI będzie pełnym ciągiem OMA-URI, w którym są zasady. Przykład:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- Typ danych to typ wartości, która akceptuje ta zasada. W tym przykładzie jest to liczba z zakresu od 0 do 60, więc wybrano liczbę całkowitą.
- Po wybraniu typu danych będzie można zapisać lub przekazać wartość potrzebną do pola.
Po zakończeniu zasady są dodawane do okna głównego. Możesz kontynuować dodawanie wszystkich zasad niestandardowych do tej samej konfiguracji niestandardowej. Ułatwia to zarządzanie wieloma konfiguracjami urządzeń i ułatwia przypisywanie.