Linhas de base de segurança do HoloLens 2
Importante
Algumas das políticas utilizadas nesta linha de base de segurança são introduzidas no nosso mais recentede compilação do
Este artigo lista e descreve as várias configurações de linha de base de segurança que você pode configurar no HoloLens 2 usando Provedores de Serviços de Configuração (CSP). Como parte do gerenciamento de dispositivos móveis usando o Microsoft Endpoint Manager (formalmente conhecido como Microsoft Intune), use as seguintes configurações de linha de base de segurança padrão ou avançadas, dependendo de suas políticas e necessidades organizacionais. Utilize estas definições de linha de base de segurança para ajudar a proteger os recursos da sua organização.
- As configurações de linha de base de segurança padrão são aplicáveis a todos os tipos de usuários, independentemente do cenário de caso de uso e da vertical do setor.
- As configurações avançadas de linha de base de segurança são recomendadas para usuários que têm controles de segurança rigorosos de seu ambiente e exigem políticas de segurança rigorosas para dispositivos usados em seu ambiente.
Essas configurações de linha de base de segurança são baseadas nas diretrizes de práticas recomendadas da Microsoft e na experiência adquirida na implantação e suporte de dispositivos HoloLens 2 para clientes em vários setores.
Depois de revisar a linha de base de segurança e decidir usar uma, ambas ou partes, confira como habilitar essas linhas de base de segurança
1. Configurações padrão de linha de base de segurança
As seções a seguir descrevem as configurações recomendadas de cada CSP como parte do perfil de linha de base de segurança padrão.
1.1 Política CSP
| Nome da política | valor | Descrição |
|---|---|---|
| Contas | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Não Permitido | Restrinja o usuário a usar uma conta MSA para autenticação e serviços de conexão não relacionados a e-mail. |
| de gerenciamento de aplicativos | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Negação explícita | Negar explicitamente aplicativos que não sejam da Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Permitido | Permitir a atualização automática de aplicativos da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Negação explícita | Restrinja o usuário para desbloquear o modo de desenvolvedor, que permite que o usuário instale aplicativos no dispositivo a partir de um IDE. |
| Browser | ||
| Browser/AllowCookies | 1 – Bloquear apenas cookies de sites de terceiros | Com esta política, você pode configurar o Microsoft Edge para bloquear apenas cookies de terceiros ou bloquear todos os cookies. |
| Browser/AllowPasswordManager | 0 – Não permitido | Não permita que o Microsoft Edge use o gerenciador de senhas. |
| Browser/AllowSmartScreen | 1 – Ligado | Ativa o Windows Defender SmartScreen e impede que os utilizadores o desliguem. |
| de conectividade | ||
| Conectividade/AllowUSBConnection | 0 – Não permitido | Desativa a conexão USB entre o dispositivo e um computador para sincronizar arquivos com o dispositivo ou para usar ferramentas de desenvolvedor para implantar ou depurar aplicativos. |
| de bloqueio de dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Não permitido | Não permitir retorno de ociosidade sem PIN ou senha. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloqueado | Bloqueie PINs ou palavras-passe como "1111" ou "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Senha ou PIN numérico necessário | Exigir palavra-passe ou PIN alfanumérico. |
| DeviceLock/DevicePasswordEnabled | 0 – Ativado | O bloqueio de dispositivo está ativado. |
| DeviceLock/MaxInactivityTimeDeviceLock | Um inteiro X onde 0 < X < 999 Valor recomendado: 3 | Especifica a quantidade máxima de tempo (em minutos) permitida depois que o dispositivo está ocioso que fará com que o dispositivo fique bloqueado por PIN ou senha. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Apenas dígitos | O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou senha forte. |
| DeviceLock/MinDevicePasswordLength | Um inteiro X onde 4 < X < 16 para dispositivos clienteValor recomendado: 8 | Especifica o número mínimo ou caracteres necessários no PIN ou senha. |
| de inscrição no MDM | ||
| Experiência/AllowManualMDMUnenrollment | 0 – Não permitido | Não permitir que o usuário exclua a conta do local de trabalho usando o painel de controle do local de trabalho. |
| Identidade | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Número de dias em que o cache será válidoValor recomendado: 7 dias | Número de dias em que o cache de associação de grupo do Microsoft Entra deve ser válido. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo ocioso em número de segundosValores recomendados: 60 segundos | Permite especificar o período de inatividade antes de o Windows desligar o ecrã. |
| Configurações | ||
| Configurações/AllowVPN | 0 – Não permitido | Não permitir que o usuário altere as configurações de VPN. |
| Configurações/PageVisibilityList | Nome abreviado das páginas que são visíveis para o usuário. Fornecerá uma interface do usuário para selecionar ou desmarcar os nomes das páginas. Consulte os comentários para páginas recomendadas para ocultar. | Permita que apenas as páginas listadas sejam exibidas para o usuário no aplicativo Configurações. |
| Sistema | ||
| System/AllowStorageCard | 0 – Não permitido | O uso de cartão SD não é permitido e as unidades USB estão desativadas. Essa configuração não impede o acesso programático ao cartão de armazenamento. |
| Atualizações | ||
| Update/AllowUpdateService | 1 – Permitido | Permita acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Desativar compilações de visualização | Não permitir que compilações de visualização sejam instaladas no dispositivo. |
1.2 ClientCertificateInstall CSP
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP.
1.3 CSP PassportForWork
| Nome do nó | valor | Descrição |
|---|---|---|
| ID do inquilino | TenantId | Um identificador global exclusivo (GUID), sem chaves ( { , } ), que é usado como parte do provisionamento e gerenciamento do Windows Hello for Business. |
| TenantId/Policies/UsePassportForWork | Verdadeiro | Define o Windows Hello for Business como um método para entrar no Windows. |
| TenantId/Policies/RequireSecurityDevice | Verdadeiro | Requer um TPM (Trusted Platform Module) para Windows Hello for Business. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Os módulos TPM revisão 1.2 podem ser usados com o Windows Hello for Business. |
| TenantId/Policies/EnablePinRecovery | Falso | O segredo de recuperação do PIN não é criado nem armazenado. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | O PIN é provisionado quando o usuário faz login, sem esperar por uma carga útil do certificado. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | O comprimento do PIN deve ser maior ou igual a este número. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | O comprimento do PIN deve ser menor ou igual a este número. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Não permite o uso de caracteres especiais no PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Permite o uso de dígitos em PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizada. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Os aplicativos não usam certificados do Windows Hello for Business como certificados de cartão inteligente e os fatores biométricos estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado. |
1.4 CSP RootCATrustedCertificates
Recomendamos configurar nós de Root, CA, TrustedPublisher e TrustedPeople neste CSP como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP.
1.5 CSP do TenantLockdown
| Nome do nó | valor | Descrição |
|---|---|---|
| RequireNetworkInOOBE | Verdadeiro | Quando o dispositivo passa pela OOBE no primeiro login ou após uma redefinição, o usuário é obrigado a escolher uma rede antes de prosseguir. Não há opção "pular por enquanto". Esta opção garante que o dispositivo permanece vinculado ao inquilino em caso de redefinições ou limpezas acidentais ou intencionais. |
1.6 CSP VPNv2
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
1,7 WiFi CSP
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
2 Configurações avançadas de linha de base de segurança
As seções a seguir descrevem as configurações recomendadas de cada CSP como parte do perfil de linha de base de segurança avançada.
2.1 Política CSP
| Nome da política | valor | Descrição |
|---|---|---|
| Contas | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Não Permitido | Restrinja o usuário a usar uma conta MSA para autenticação e serviços de conexão não relacionados a e-mail. |
| de gerenciamento de aplicativos | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Negação explícita | Negar explicitamente aplicativos que não sejam da Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Permitido | Permitir a atualização automática de aplicativos da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Negação explícita | Restrinja o usuário para desbloquear o modo de desenvolvedor, que permite que o usuário instale aplicativos no dispositivo a partir de um IDE. |
| de autenticação |
||
| Autenticação/AllowFastReconnect | 0 – Não permitido | Não permita que a Reconexão Rápida EAP seja tentada para o Método EAP TLS. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – Não permitido | Outros dispositivos não serão capazes de detetar este dispositivo. |
| Browser | ||
| Browser/AllowAutofill | 0 – Impedido/não permitido | Impeça que os usuários usem o recurso Preenchimento automático para preencher os campos de formulário no Microsoft Edge automaticamente. |
| Browser/AllowCookies | 1 – Bloquear apenas cookies de sites de terceiros | Bloquear apenas cookies de sites de terceiros. |
| Browser/AllowDoNotTrack | 0 - Nunca envie informações de rastreamento | Nunca envie informações de rastreamento. |
| Browser/AllowPasswordManager | 0 – Não permitido | Não permita que o Microsoft Edge use o gerenciador de senhas. |
| Browser/AllowPopups | 1 – Ative o Bloqueador de Pop-ups | Ative o Bloqueador de Pop-ups impedindo a abertura de janelas pop-up. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Impedido/não permitido | Oculte sugestões de pesquisa na barra de endereços do Microsoft Edge. |
| Browser/AllowSmartScreen | 1 – Ligado | Ativa o Windows Defender SmartScreen e impede que os utilizadores o desliguem. |
| de conectividade | ||
| Conectividade/AllowBluetooth | 0 – Não permitir Bluetooth | O painel de controle bluetooth está acinzentado e o usuário não será capaz de ligar o Bluetooth. |
| Conectividade/AllowUSBConnection | 0 – Não permitido | Desativa a conexão USB entre o dispositivo e um computador para sincronizar arquivos com o dispositivo ou para usar ferramentas de desenvolvedor para implantar ou depurar aplicativos. |
| de bloqueio de dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – Não permitido | Não permitir retorno de ociosidade sem PIN ou senha. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloqueado | Bloqueie PINs ou palavras-passe como "1111" ou "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – Senha ou PIN alfanumérico necessário | Exigir palavra-passe ou PIN alfanumérico. |
| DeviceLock/DevicePasswordEnabled | 0 – Ativado | O bloqueio de dispositivo está ativado. |
| DeviceLock/DevicePasswordHistory | Um inteiro X onde 0 < X < 50Valor recomendado: 15 | Especifica quantas senhas podem ser armazenadas no histórico que não podem ser usadas. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Um inteiro X onde 4 < X < 16 para dispositivos clienteValor recomendado: 10 | O número de falhas de autenticação permitidas antes que o dispositivo seja apagado. |
| DeviceLock/MaxInactivityTimeDeviceLock | Um inteiro X onde 0 < X < 999 Valor recomendado: 3 | Especifica a quantidade máxima de tempo (em minutos) permitida depois que o dispositivo está ocioso que fará com que o dispositivo fique bloqueado por PIN ou senha. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Dígitos, letras minúsculas e letras maiúsculas são necessários | O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou senha forte. |
| DeviceLock/MinDevicePasswordLength | Um inteiro X onde 4 < X < 16 para dispositivos clienteValor recomendado: 12 | Especifica o número mínimo ou caracteres necessários no PIN ou senha. |
| de inscrição no MDM | ||
| Experiência/AllowManualMDMUnenrollment | 0 – Não permitido | Não permitir que o usuário exclua a conta do local de trabalho usando o painel de controle do local de trabalho. |
| Identidade | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Número de dias em que o cache será válidoValor recomendado: 7 dias | Número de dias em que o cache de associação de grupo do Microsoft Entra deve ser válido. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo ocioso em número de segundosValores recomendados: 60 segundos | Permite especificar o período de inatividade antes de o Windows desligar o ecrã. |
| de Privacidade | ||
|
Privacy/LetAppsAccess AccountInfo |
2 - Força negar | Nega aos aplicativos do Windows acesso às informações da conta. |
|
Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos do Windows | Os aplicativos do Windows listados têm acesso às informações da conta. |
|
Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos do Windows | As aplicações do Windows listadas têm acesso negado às informações da conta. |
|
Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos do Windows | O usuário pode controlar a configuração de privacidade das informações da conta para os aplicativos do Windows listados. |
|
Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - Força negar | Negar aos aplicativos do Windows acesso ao movimento da cabeça, mãos, controladores de movimento e outros objetos rastreados do usuário, enquanto os aplicativos estão sendo executados em segundo plano. |
|
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Windows Store | Os aplicativos listados têm acesso aos movimentos do usuário enquanto os aplicativos estão sendo executados em segundo plano. |
|
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Windows Store | Os aplicativos listados têm acesso negado aos movimentos do usuário enquanto os aplicativos são executados em segundo plano. |
|
Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Windows Store | O usuário é capaz de controlar a configuração de privacidade de movimentos do usuário para os aplicativos listados. |
|
Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Microsoft Store | As aplicações listadas têm acesso negado ao microfone. |
|
Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Microsoft Store | O usuário pode controlar a configuração de privacidade do microfone para os aplicativos listados. |
| Pesquisa | ||
| Search/AllowSearchToUseLocation | 0 – Não permitido | Não permitir que a pesquisa use informações de localização. |
| Segurança | ||
| Security/AllowAddProvisioningPackage | 0 – Não permitido | Não permita que o agente de configuração de tempo de execução instale pacotes de provisionamento. |
| Configurações | ||
| Configurações/AllowVPN | 0 – Não permitido | Não permitir que o usuário altere as configurações de VPN. |
| Configurações/PageVisibilityList | Nome abreviado das páginas que são visíveis para o usuárioFornecerá uma interface do usuário para selecionar ou desmarcar os nomes das páginas. Consulte os comentários para páginas recomendadas para ocultar. | Permita que apenas as páginas listadas sejam exibidas para o usuário no aplicativo Configurações. |
| Sistema | ||
| System/AllowStorageCard | 0 – Não permitido | O uso de cartão SD não é permitido e as unidades USB estão desativadas. Essa configuração não impede o acesso programático ao cartão de armazenamento. |
| System/AllowTelemetry | 0 - Não permitido | Não permitir que o dispositivo envie dados de telemetria de diagnóstico e uso, como o Watson. |
| Atualizações | ||
| Update/AllowUpdateService | 1 – Permitido | Permita acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou Microsoft Store. |
| Update/ManagePreviewBuilds | 0 - Desativar compilações de visualização | Não permitir que compilações de visualização sejam instaladas no dispositivo. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – Não permitido | Não permitir a conexão com Wi-Fi fora das redes instaladas no servidor MDM. |
2.2 CSP AccountManagement
| Nome do nó | valor | Descrição |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Verdadeiro | Habilite o gerenciamento do tempo de vida do perfil para cenários de dispositivos compartilhados ou comuns. |
| UserProfileManagement/DeletionPolicy | 2 - excluir no limite de capacidade de armazenamento e no limite de inatividade do perfil | Configura quando os perfis serão excluídos. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Comece a excluir perfis quando a capacidade de armazenamento disponível ficar abaixo desse limite, dada como porcentagem do armazenamento total disponível para perfis. Os perfis que estiverem inativos por mais tempo serão excluídos primeiro. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Pare de excluir perfis quando a capacidade de armazenamento disponível for aumentada para esse limite, dado como porcentagem do armazenamento total disponível para perfis. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Comece a excluir perfis quando eles não tiverem feito logon durante o período especificado, dado como número de dias. |
2.3 CSP ApplicationControl
| Nome do nó | valor | Descrição |
|---|---|---|
| GUID de políticas/políticas | ID da política no blob de política | ID da política no blob da política. |
| Políticas/ GUID da Política/Política | Política blob | Blob binário de política codificado em base64. |
2.4 ClientCertificateInstall CSP
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP.
2.5 CSP PassportForWork
| Nome do nó | valor | Descrição |
|---|---|---|
| ID do inquilino | TenantId | Um identificador global exclusivo (GUID), sem chaves ( { , } ), que é usado como parte do provisionamento e gerenciamento do Windows Hello for Business. |
| TenantId/Policies/UsePassportForWork | Verdadeiro | Define o Windows Hello for Business como um método para entrar no Windows. |
| TenantId/Policies/RequireSecurityDevice | Verdadeiro | Requer um TPM (Trusted Platform Module) para Windows Hello for Business. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Os módulos TPM revisão 1.2 podem ser usados com o Windows Hello for Business. |
| TenantId/Policies/EnablePinRecovery | Falso | O segredo de recuperação do PIN não será criado nem armazenado. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | O PIN é provisionado quando o usuário faz login, sem esperar por uma carga útil do certificado. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | O comprimento do PIN deve ser maior ou igual a este número. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | O comprimento do PIN deve ser menor ou igual a este número. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Não permite o uso de caracteres especiais no PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Permite o uso de dígitos em PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizada. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Os aplicativos não usam certificados do Windows Hello for Business como certificados de cartão inteligente e os fatores biométricos estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado. |
2.6 CSP RootCATrustedCertificates
Recomendamos configurar nós de Root, CA, TrustedPublisher e TrustedPeople neste CSP como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP.
2.7 CSP do TenantLockdown
| Nome do nó | valor | Descrição |
|---|---|---|
| RequireNetworkInOOBE | Verdadeiro | Quando o dispositivo passa pela OOBE no primeiro login ou após uma redefinição, o usuário é obrigado a escolher uma rede antes de prosseguir. Não há opção "pular por enquanto". Isso garante que o dispositivo permaneça vinculado ao locatário em caso de reinicializações ou limpezas acidentais ou intencionais. |
2.8 CSP VPNv2
Recomendamos configurar perfis VPN como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
2,9 WiFi CSP
Recomendamos configurar perfis WiFi como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
Como habilitar essas linhas de base de segurança
- Revise a linha de base de segurança e decida o que aplicar.
- Determine os Grupos do Azure aos quais você atribuirá a linha de base. (Mais informações sobre utilizadores e grupos)
- Crie a linha de base.
Veja como criar a linha de base.
Muitas das configurações podem ser adicionadas usando o catálogo de configurações, no entanto, às vezes pode haver uma configuração que ainda não foi preenchida no catálogo de configurações. Nesses casos, você usará uma política personalizada ou OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Comece procurando no catálogo Configurações e, se não for encontrado, siga as instruções abaixo para criar uma política personalizada via OMA-URI.
Catálogo de configurações
Inicie sessão na sua conta no centro de administração do MEM.
- Navegue até Devices ->Configuration profiles ->+Create profile. Em Plataforma, selecione Windows 10 e posteriore, para o tipo de perfil, selecione catálogo de configurações (visualização).
- Crie um nome para o perfil e selecione o botão Avançar.
- No ecrã Definições de configuração, selecione + Adicionar definições.
Usando o nome da política da linha de base acima, você pode pesquisar a política. O catálogo de configurações espaçará o nome, portanto, para encontrar "Accounts/AllowMicrosoftAccountConnection", você precisará pesquisar "Allow Microsoft Account Connection". Depois de pesquisar, você verá a lista de políticas reduzidas apenas ao CSP que tem essa política. Selecione Contas (ou o CSP relevante para o que você está pesquisando atualmente), assim que fizer isso, você verá o resultado da política abaixo. Marque a caixa para a política.
Uma vez feito, o painel à esquerda adicionará a categoria CSP e a configuração que você adicionou. A partir daqui, você pode configurá-lo a partir da configuração padrão, para um mais seguro.
Você pode continuar a adicionar várias configurações ao mesmo perfil, o que facilitará a atribuição de uma só vez.
Adicionando políticas de OMA-URI personalizadas
Algumas políticas podem ainda não estar disponíveis no catálogo de configurações. Para essas políticas, você precisará criar um perfil de OMA-URI personalizado. Inicie sessão na sua conta no centro de administração do MEM.
- Navegue até Devices ->Configuration profiles ->+Create profile. Em Plataforma, selecione Windows 10 e posteriore, para o tipo de perfil, selecione Modelos e selecione Personalizado.
- Crie um nome para o perfil e selecione o botão Avançar.
- Selecione o botão Adicionar.
Terá de preencher alguns campos.
- Nome, você pode nomeá-lo qualquer coisa que você precisa relacionado à política. Este pode ser um nome abreviado que você usa para reconhecê-lo.
- Descrição será mais detalhes que você pode precisar.
- O OMA-URI será a cadeia de OMA-URI completa onde a política está. Exemplo:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Tipo de dados é o tipo de valor que esta política aceita. Para este exemplo, é um número entre 0 e 60, portanto, Integer foi selecionado.
- Depois de selecionar o tipo de dados, você poderá escrever ou carregar o valor necessário no campo.
Uma vez feito, sua política é adicionada à janela principal. Você pode continuar adicionando todas as suas políticas personalizadas à mesma configuração personalizada. Isso ajuda a reduzir o gerenciamento de várias configurações de dispositivos e facilita a atribuição.
