linhas de base de segurança HoloLens 2
Importante
Algumas das políticas utilizadas nesta linha de base de segurança são introduzidas na nossa compilação mais recente do Insider. Estas políticas só funcionarão em dispositivos atualizados para a compilação mais recente do Insider.
Este artigo lista e descreve as várias definições de linha de base de segurança que pode configurar no HoloLens 2 através de Fornecedores de Serviços de Configuração (CSP). Como parte da gestão de dispositivos móveis com o Microsoft Endpoint Manager (formalmente conhecido como Microsoft Intune), utilize as seguintes definições de linha de base de segurança padrão ou avançadas consoante as suas políticas e necessidades organizacionais. Utilize estas definições de linha de base de segurança para ajudar a proteger os recursos organizacionais.
- As definições de linha de base de segurança padrão são aplicáveis a todos os tipos de utilizadores, independentemente do cenário de caso de utilização e da vertical do setor.
- As definições de linha de base de segurança avançadas são definições recomendadas para os utilizadores que têm controlos de segurança rigorosos do seu ambiente e exigem políticas de segurança rigorosas para dispositivos utilizados no respetivo ambiente.
Estas definições de linha de base de segurança baseiam-se nas diretrizes de melhores práticas da Microsoft e na experiência adquirida na implementação e suporte de dispositivos HoloLens 2 para clientes em vários setores.
Depois de rever a linha de base de segurança e decidir utilizar uma, ambas ou partes, veja como ativar estas linhas de base de segurança
1. Definições padrão da linha de base de segurança
As secções seguintes descrevem as definições recomendadas de cada CSP como parte do perfil de linha de base de segurança padrão.
1.1 Política CSP
Nome da Política | Valor | Descrição |
---|---|---|
Contas | ||
Accounts/AllowMicrosoftAccountConnection | 0 – Não Permitido | Restrinja o utilizador a utilizar uma conta MSA para serviços e autenticação de ligação não relacionadas com e-mail. |
Gestão de Aplicações | ||
ApplicationManagement/AllowAllTrustedApps | 0 - Negação explícita | Negar explicitamente aplicações que não sejam da Microsoft Store. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Permitido | Permitir a atualização automática de aplicações a partir da Microsoft Store. |
ApplicationManagement/AllowDeveloperUnlock | 0 - Negação explícita | Restrinja o utilizador a desbloquear o modo de programador, o que permite ao utilizador instalar aplicações no dispositivo a partir de um IDE. |
Browser | ||
Browser/AllowCookies | 1 – Bloquear apenas cookies de sites de terceiros | Com esta política, pode configurar o Microsoft Edge para bloquear apenas cookies de terceiros ou bloquear todos os cookies. |
Browser/AllowPasswordManager | 0 – Não permitido | Não permitir que o Microsoft Edge utilize o gestor de palavras-passe. |
Browser/AllowSmartScreen | 1 – Ativado | Ativa Windows Defender SmartScreen e impede que os utilizadores o desativem. |
Conetividade | ||
Connectivity/AllowUSBConnection | 0 – Não permitido | Desativa a ligação USB entre o dispositivo e um computador para sincronizar ficheiros com o dispositivo ou para utilizar ferramentas de programador para implementar ou depurar aplicações. |
Bloqueio de Dispositivo | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – Não permitido | Não permitir a devolução do inativo sem PIN ou palavra-passe. |
DeviceLock/AllowSimpleDevicePassword | 0 – Bloqueado | Bloquear PINs ou palavras-passe, como "1111" ou "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 1 – É necessário um PIN numérico ou palavra-passe | Exigir pin alfanumérico ou palavra-passe. |
DeviceLock/DevicePasswordEnabled | 0 – Ativado | O bloqueio do dispositivo está ativado. |
DeviceLock/MaxInactivityTimeDeviceLock | Um número inteiro X em que 0 < X < 999 Valor recomendado: 3 | Especifica a quantidade máxima de tempo (em minutos) permitida após o dispositivo estar inativo, o que fará com que o dispositivo fique bloqueado por PIN ou palavra-passe. |
DeviceLock/MinDevicePasswordComplexCharacters | 1 - Apenas dígitos | O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou palavra-passe forte. |
DeviceLock/MinDevicePasswordLength | Um número inteiro X em que 4 < X < 16 para dispositivos clienteRecomendou o valor: 8 | Especifica o número mínimo ou carateres necessários no PIN ou palavra-passe. |
Inscrição MDM | ||
Experience/AllowManualMDMUnenrollment | 0 – Não permitido | Não permitir que o utilizador elimine a conta do local de trabalho com o painel de controlo do local de trabalho. |
Identidade | ||
MixedReality/AADGroupMembershipCacheValidityInDays | Número de dias em que a cache tem um valor válidoRecomendado: 7 dias | Número de dias em que a cache de associação do grupo Microsoft Entra deve ser válida. |
Energia | ||
Power/DisplayOffTimeoutPluggedIn | Tempo de inatividade em número de segundosRecomendados valores: 60 segundos | Permite-lhe especificar o período de inatividade antes de o Windows desligar o ecrã. |
Definições | ||
Settings/AllowVPN | 0 – Não permitido | Não permitir que o utilizador altere as definições de VPN. |
Definições/PageVisibilityList | Nome abreviado das páginas visíveis para o utilizador. Irá fornecer uma IU para selecionar ou desmarcar os nomes das páginas. Veja os comentários das páginas recomendadas a ocultar. | Permitir que apenas as páginas listadas sejam apresentadas ao utilizador na aplicação Definições. |
Sistema | ||
System/AllowStorageCard | 0 – Não permitido | A utilização de cartões SD não é permitida e as unidades USB estão desativadas. Esta definição não impede o acesso programático ao cartão de armazenamento. |
Updates | ||
Update/AllowUpdateService | 1 – Permitido | Permitir o acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou à Microsoft Store. |
Update/ManagePreviewBuilds | 0 - Desativar as compilações de Pré-visualização | Não permitir que as compilações de pré-visualização sejam instaladas no dispositivo. |
1.2 ClientCertificateInstall CSP
Recomendamos que configure este CSP como melhor prática, mas não tenha recomendações para valores específicos para cada nó neste CSP.
1.3 PassportForWork CSP
Nome do Nó | Valor | Descrição |
---|---|---|
ID do inquilino | TenantId | Um identificador exclusivo global (GUID), sem chavetas ( { , } ), que é utilizado como parte do aprovisionamento e gestão Windows Hello para Empresas. |
TenantId/Policies/UsePassportForWork | Verdadeiro | Define Windows Hello para Empresas como um método para iniciar sessão no Windows. |
TenantId/Policies/RequireSecurityDevice | Verdadeiro | Requer um Trusted Platform Module (TPM) para Windows Hello para Empresas. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Os módulos de revisão TPM 1.2 podem ser utilizados com Windows Hello para Empresas. |
TenantId/Policies/EnablePinRecovery | Falso | O segredo de recuperação do PIN não é criado ou armazenado. |
TenantId/Policies/UseCertificateForOnPremAuth | Falso | O PIN é aprovisionado quando o utilizador inicia sessão, sem esperar por um payload de certificado. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | O comprimento do PIN tem de ser maior ou igual a este número. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | O comprimento do PIN tem de ser menor ou igual a este número. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Os dígitos são necessários e não são permitidos todos os outros conjuntos de carateres. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Os dígitos são necessários e não são permitidos todos os outros conjuntos de carateres. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Não permite a utilização de carateres especiais no PIN. |
TenantId/Policies/PINComplexity/Digits | 0 | Permite a utilização de dígitos no PIN. |
TenantId/Policies/PINComplexity/History | 10 | Número de PINs anteriores que podem ser associados a uma conta de utilizador que não pode ser reutilizada. |
TenantId/Policies/PINComplexity/Expiration | 90 | Período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | As aplicações não utilizam certificados de Windows Hello para Empresas como certificados de smart card e os fatores biométricos estão disponíveis quando é pedido a um utilizador que autorize a utilização da chave privada do certificado. |
1.4 RootCATrustedCertificates CSP
Recomendamos que configure os nós Root, CA, TrustedPublisher e TrustedPeople neste CSP como melhor prática, mas não recomendará valores específicos para cada nó neste CSP.
1.5 TenantLockdown CSP
Nome do Nó | Valor | Descrição |
---|---|---|
RequireNetworkInOOBE | Verdadeiro | Quando o dispositivo passa pelo OOBE no início de sessão inicial ou após uma reposição, é necessário que o utilizador escolha uma rede antes de continuar. Não existe nenhuma opção "ignorar por agora". Esta opção garante que o dispositivo permanece vinculado ao inquilino em caso de reposições ou eliminações acidentais ou intencionais. |
1.6 VPNv2 CSP
Recomendamos que configure este CSP como melhor prática, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das definições está relacionada com o ambiente do cliente.
1.7 Wi-Fi CSP
Recomendamos que configure este CSP como melhor prática, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das definições está relacionada com o ambiente do cliente.
2 Definições avançadas da linha de base de segurança
As secções seguintes descrevem as definições recomendadas de cada CSP como parte do perfil de linha de base de segurança avançado.
2.1 Política CSP
Nome da Política | Valor | Descrição |
---|---|---|
Contas | ||
Accounts/AllowMicrosoftAccountConnection | 0 – Não Permitido | Restringir o utilizador a utilizar uma conta MSA para serviços e autenticação de ligação não relacionados com e-mail. |
Gestão de Aplicações | ||
ApplicationManagement/AllowAllTrustedApps | 0 - Negação explícita | Negar explicitamente aplicações que não sejam da Microsoft Store. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – permitido | Permitir a atualização automática de aplicações a partir da Microsoft Store. |
ApplicationManagement/AllowDeveloperUnlock | 0 - Negação explícita | Restrinja o utilizador a desbloquear o modo de programador, o que permite ao utilizador instalar aplicações no dispositivo a partir de um IDE. |
Autenticação | ||
Autenticação/AllowFastReconnect | 0 – não permitido | Não permitir que o EAP Fast Reconnect seja tentado para o TLS do Método EAP. |
Bluetooth | ||
Bluetooth/AllowDiscoverableMode | 0 – não permitido | Outros dispositivos não conseguirão detetar este dispositivo. |
Browser | ||
Browser/AllowAutofill | 0 – Impedido/não permitido | Impedir que os utilizadores utilizem a funcionalidade Preenchimento Automático para preencher automaticamente os campos de formulário no Microsoft Edge. |
Browser/AllowCookies | 1 – Bloquear apenas cookies de sites de terceiros | Bloquear apenas cookies de sites de terceiros. |
Browser/AllowDoNotTrack | 0 - Nunca enviar informações de controlo | Nunca envie informações de controlo. |
Browser/AllowPasswordManager | 0 – não permitido | Não permitir que o Microsoft Edge utilize o gestor de palavras-passe. |
Browser/AllowPopups | 1 – Ativar o Bloqueador de Janelas de Pop-up | Ative o Bloqueador de Janelas de Pop-up parando a abertura de janelas de pop-up. |
Browser/AllowSearchSuggestionsinAddressBar | 0 – Impedido/não permitido | Ocultar sugestões de pesquisa na Barra de endereço do Microsoft Edge. |
Browser/AllowSmartScreen | 1 – Ativado | Ativa Windows Defender SmartScreen e impede que os utilizadores o desativem. |
Conetividade | ||
Connectivity/AllowBluetooth | 0 – Não permitir Bluetooth | O painel de controlo bluetooth está desativado e o utilizador não poderá ativar o Bluetooth. |
Connectivity/AllowUSBConnection | 0 – não permitido | Desativa a ligação USB entre o dispositivo e um computador para sincronizar ficheiros com o dispositivo ou para utilizar ferramentas de programador para implementar ou depurar aplicações. |
Bloqueio do Dispositivo | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – não permitido | Não permitir a devolução de inatividade sem PIN ou palavra-passe. |
DeviceLock/AllowSimpleDevicePassword | 0 – Bloqueado | Bloquear PINs ou palavras-passe, como "1111" ou "1234". |
DeviceLock/AlphanumericDevicePasswordRequired | 0 – É necessário um PIN alfanumérico ou palavra-passe | Exigir palavra-passe ou PIN alfanumérico. |
DeviceLock/DevicePasswordEnabled | 0 – ativado | O bloqueio do dispositivo está ativado. |
DeviceLock/DevicePasswordHistory | Um X inteiro em que 0 < X < 50 Valor recomendado: 15 | Especifica quantas palavras-passe podem ser armazenadas no histórico que não podem ser utilizadas. |
DeviceLock/MaxDevicePasswordFailedAttempts | Um X inteiro em que 4 < X < 16 para dispositivos cliente Valor recomendado: 10 | O número de falhas de autenticação permitidas antes de o dispositivo ser apagado. |
DeviceLock/MaxInactivityTimeDeviceLock | Um X inteiro em que 0 < X < 999 Valor recomendado: 3 | Especifica o período máximo de tempo (em minutos) permitido após o dispositivo estar inativo, o que fará com que o dispositivo fique bloqueado por PIN ou palavra-passe. |
DeviceLock/MinDevicePasswordComplexCharacters | 3 - São necessários dígitos, letras minúsculas e letras maiúsculas | O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou palavra-passe forte. |
DeviceLock/MinDevicePasswordLength | Um X inteiro em que 4 < X < 16 para dispositivos cliente Valor recomendado: 12 | Especifica o número mínimo ou carateres necessários no PIN ou palavra-passe. |
Inscrição MDM | ||
Experience/AllowManualMDMUnenrollment | 0 – não permitido | Não permitir que o utilizador elimine a conta da área de trabalho com o painel de controlo da área de trabalho. |
Identidade | ||
MixedReality/AADGroupMembershipCacheValidityInDays | Número de dias em que a cache será válida Valor recomendado: 7 dias | Número de dias em que a cache de associação do grupo Microsoft Entra deve ser válida. |
Energia | ||
Power/DisplayOffTimeoutPluggedIn | Tempo de inatividade em número de segundos Valores recomendados: 60 segundos | Permite-lhe especificar o período de inatividade antes de o Windows desligar o ecrã. |
Privacidade | ||
Privacidade/LetAppsAccess AccountInfo |
2 - Forçar negação | Nega o acesso das aplicações do Windows às informações da conta. |
Privacidade/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula de aplicações do Windows | As aplicações do Windows listadas têm permissão para aceder às informações da conta. |
Privacidade/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula de aplicações do Windows | As aplicações do Windows listadas têm acesso negado às informações da conta. |
Privacidade/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula de aplicações do Windows | O utilizador consegue controlar a definição de privacidade das informações da conta para as aplicações do Windows listadas. |
Privacidade/LetAppsAccess BackgroundSpatialPerception |
2 - Forçar negação | Negar às aplicações do Windows o acesso ao movimento da cabeça, mãos, controladores de movimento e outros objetos controlados do utilizador, enquanto as aplicações estão em execução em segundo plano. |
Privacidade/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula das Aplicações da Loja Windows | As aplicações listadas têm permissão para aceder aos movimentos do utilizador enquanto as aplicações estão em execução em segundo plano. |
Privacidade/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula das Aplicações da Loja Windows | As aplicações listadas têm acesso negado aos movimentos do utilizador enquanto as aplicações estão em execução em segundo plano. |
Privacidade/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula das Aplicações da Loja Windows | O utilizador consegue controlar a definição de privacidade movimentos do utilizador para as aplicações listadas. |
Privacidade/LetAppsAccess Microphone_ForceDenyTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula das Aplicações da Microsoft Store | As aplicações listadas têm acesso negado ao microfone. |
Privacidade/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lista de Nomes da Família de Pacotes delimitados por ponto e vírgula das Aplicações da Microsoft Store | O utilizador consegue controlar a definição de privacidade do microfone para as aplicações listadas. |
Pesquisa | ||
Procurar/PermitirSearchToUseLocation | 0 – Não permitido | Não permitir que a pesquisa utilize as informações de localização. |
Segurança | ||
Segurança/AllowAddProvisioningPackage | 0 – Não permitido | Não permitir que o agente de configuração do runtime instale pacotes de aprovisionamento. |
Definições | ||
Settings/AllowVPN | 0 – Não permitido | Não permitir que o utilizador altere as definições de VPN. |
Definições/PageVisibilityList | O nome abreviado das páginas visíveis para o utilizador Irá fornecer uma IU para selecionar ou desmarcar os nomes das páginas. Veja os comentários das páginas recomendadas a ocultar. | Permitir que apenas as páginas listadas sejam apresentadas ao utilizador na aplicação Definições. |
Sistema | ||
System/AllowStorageCard | 0 – Não permitido | A utilização de cartões SD não é permitida e as unidades USB estão desativadas. Esta definição não impede o acesso programático ao cartão de armazenamento. |
System/AllowTelemetry | 0 - Não permitido | Não permitir que o dispositivo envie dados telemétricos de diagnóstico e utilização, como o Watson. |
Updates | ||
Update/AllowUpdateService | 1 – Permitido | Permitir o acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou à Microsoft Store. |
Update/ManagePreviewBuilds | 0 - Desativar compilações de Pré-visualização | Não permitir que as compilações de pré-visualização sejam instaladas no dispositivo. |
Wi-Fi | ||
Wifi/AllowManualWiFiConfiguration | 0 – Não permitido | Não permitir a ligação a Wi-Fi fora das redes instaladas no servidor MDM. |
2.2 AccountManagement CSP
Nome do Nó | Valor | Descrição |
---|---|---|
UserProfileManagement/EnableProfileManager | Verdadeiro | Ative a gestão de duração de perfis para cenários de dispositivos partilhados ou comuns. |
UserProfileManagement/DeletionPolicy | 2 – eliminar quando for atingido o limiar de capacidade de armazenamento e o limiar de inatividade do perfil | Configura quando os perfis serão eliminados. |
UserProfileManagement/StorageCapacityStartDeletion | 25% | Comece a eliminar perfis quando a capacidade de armazenamento disponível ficar abaixo deste limiar, dado como percentagem do armazenamento total disponível para perfis. Os perfis inativos durante mais tempo serão eliminados primeiro. |
UserProfileManagement/StorageCapacityStopDeletion | 50% | Pare de eliminar perfis quando a capacidade de armazenamento disponível for elevada a este limiar, dado como percentagem do armazenamento total disponível para perfis. |
UserProfileManagement/ProfileInactivityThreshold | 30 | Comece a eliminar perfis quando não tiverem sido registados durante o período especificado, dado como número de dias. |
2.3 ApplicationControl CSP
Nome do Nó | Valor | Descrição |
---|---|---|
Políticas/GUID de Política | ID da política no blob de políticas | ID da política no blob da política. |
Políticas/GUID de Política/Política | Blob de políticas | Blob binário de política codificado em base64. |
2.4 ClientCertificateInstall CSP
Recomendamos que configure este CSP como melhor prática, mas não tem recomendações para valores específicos para cada nó neste CSP.
2.5 PassportForWork CSP
Nome do Nó | Valor | Descrição |
---|---|---|
ID do inquilino | TenantId | Um identificador exclusivo global (GUID), sem chavetas ( { , } ), que é utilizado como parte do aprovisionamento e gestão Windows Hello para Empresas. |
TenantId/Policies/UsePassportForWork | Verdadeiro | Define Windows Hello para Empresas como um método para iniciar sessão no Windows. |
TenantId/Policies/RequireSecurityDevice | Verdadeiro | Requer um Módulo de Plataforma Fidedigna (TPM) para Windows Hello para Empresas. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Os módulos TPM revision 1.2 podem ser utilizados com Windows Hello para Empresas. |
TenantId/Policies/EnablePinRecovery | Falso | O segredo de recuperação do PIN não será criado nem armazenado. |
TenantId/Policies/UseCertificateForOnPremAuth | Falso | O PIN é aprovisionado quando o utilizador inicia sessão, sem aguardar um payload de certificado. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | O comprimento do PIN tem de ser maior ou igual a este número. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | O comprimento do PIN tem de ser menor ou igual a este número. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | São necessários dígitos e não são permitidos todos os outros conjuntos de carateres. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | São necessários dígitos e não são permitidos todos os outros conjuntos de carateres. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Não permite a utilização de carateres especiais no PIN. |
TenantId/Policies/PINComplexity/Digits | 0 | Permite a utilização de dígitos no PIN. |
TenantId/Policies/PINComplexity/History | 10 | Número de PINs anteriores que podem ser associados a uma conta de utilizador que não pode ser reutilizada. |
TenantId/Policies/PINComplexity/Expiration | 90 | Período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere. |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | As aplicações não utilizam certificados Windows Hello para Empresas como certificados de smart card e os fatores biométricos estão disponíveis quando é pedido a um utilizador que autorize a utilização da chave privada do certificado. |
2.6 RootCATrustedCertificates CSP
Recomendamos que configure os nós Root, CA, TrustedPublisher e TrustedPeople neste CSP como melhor prática, mas não recomendamos valores específicos para cada nó neste CSP.
2.7 TenantLockdown CSP
Nome do Nó | Valor | Descrição |
---|---|---|
RequireNetworkInOOBE | Verdadeiro | Quando o dispositivo passa pelo OOBE ao iniciar sessão ou após uma reposição, é necessário que o utilizador escolha uma rede antes de continuar. Não existe nenhuma opção "ignorar por agora". Isto garante que o dispositivo permanece vinculado ao inquilino em caso de reposições ou toalhetes acidentais ou intencionais. |
2.8 VPNv2 CSP
Recomendamos a configuração de perfis VPN como melhor prática, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das definições está relacionada com o ambiente do cliente.
2.9 Wi-Fi CSP
Recomendamos a configuração de perfis Wi-Fi como melhor prática, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das definições está relacionada com o ambiente do cliente.
Como ativar estas linhas de base de segurança
- Reveja a linha de base de segurança e decida o que aplicar.
- Determine os Grupos do Azure aos quais vai atribuir a linha de base. (Mais informações sobre utilizadores e grupos)
- Crie a linha de base.
Eis como criar a linha de base.
Muitas das definições podem ser adicionadas através do catálogo Definições. No entanto, por vezes, pode existir uma definição que ainda não foi preenchida no catálogo de Definições. Nesses casos, irá utilizar uma Política personalizada ou OMA-URI (Open Mobile Alliance – Uniform Resource Identifier). Comece por procurar no catálogo Definições e, se não for encontrado, siga as instruções abaixo para criar uma política personalizada através do OMA-URI.
Catálogo de definições
Inicie sessão na sua conta no centro de administração do MEM.
- Navegue para Dispositivos ->Perfis de configuração ->+Criar perfil. Para Plataforma, selecione Windows 10 e posterior e, para tipo de perfil, selecione Catálogo de definições (pré-visualização).
- Crie um nome para o perfil e selecione o botão Seguinte .
- No ecrã Definições de configuração, selecione + Adicionar definições.
Ao utilizar o nome da política a partir da linha de base acima, pode procurar a política. O catálogo de definições irá espaçar o nome, pelo que, para localizar "Contas/AllowMicrosoftAccountConnection", terá de procurar "Permitir Ligação à Conta Microsoft". Depois de procurar, verá a lista de políticas reduzida apenas para o CSP que tem esta política. Selecione Contas (ou o CSP relevante para o que está a procurar atualmente), assim que o fizer, verá o resultado da política abaixo. Selecione a caixa da política.
Depois de concluído, o painel à esquerda irá adicionar a categoria CSP e a definição que adicionou. A partir daqui, pode configurá-lo a partir da predefinição para mais um seguro.
Pode continuar a adicionar várias configurações ao mesmo perfil, o que facilitará a atribuição ao mesmo tempo.
Adicionar políticas OMA-URI personalizadas
Algumas políticas poderão ainda não estar disponíveis no catálogo Definições. Para estas políticas, terá de criar um perfil OMA-URI personalizado. Inicie sessão na sua conta no centro de administração do MEM.
- Navegue para Dispositivos ->Perfis de configuração ->+Criar perfil. Em Plataforma, selecione Windows 10 e posterior e, para o tipo de perfil, selecione Modelos e selecione Personalizado.
- Crie um nome para o perfil e selecione o botão Seguinte .
- Selecione o botão Adicionar .
Terá de preencher alguns campos.
- Nome, pode dar-lhe o nome de tudo o que precisa relacionado com a política. Este pode ser um nome abreviado que utiliza para reconhecê-lo.
- A descrição terá mais detalhes de que poderá precisar.
- O OMA-URI será a cadeia OMA-URI completa onde se encontra a política. Exemplo:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- O tipo de dados é o tipo de valor que esta política aceita. Neste exemplo, é um número entre 0 e 60, pelo que Foi selecionado Número Inteiro.
- Assim que selecionar o tipo de dados, poderá escrever ou carregar o valor necessário para o campo.
Uma vez concluída, a política é adicionada à janela principal. Pode continuar a adicionar todas as suas políticas personalizadas à mesma configuração personalizada. Isto ajuda a reduzir a gestão de várias configurações de dispositivos e facilita a atribuição.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários