Ler em inglês

Partilhar via


Linhas de base de segurança do HoloLens 2

Importante

Algumas das políticas utilizadas nesta linha de base de segurança são introduzidas no nosso mais recentede compilação do Insider. Essas políticas só funcionarão em dispositivos atualizados para a versão mais recente do Insider.

Este artigo lista e descreve as várias configurações de linha de base de segurança que você pode configurar no HoloLens 2 usando Provedores de Serviços de Configuração (CSP). Como parte do gerenciamento de dispositivos móveis usando o Microsoft Endpoint Manager (formalmente conhecido como Microsoft Intune), use as seguintes configurações de linha de base de segurança padrão ou avançadas, dependendo de suas políticas e necessidades organizacionais. Utilize estas definições de linha de base de segurança para ajudar a proteger os recursos da sua organização.

  • As configurações de linha de base de segurança padrão são aplicáveis a todos os tipos de usuários, independentemente do cenário de caso de uso e da vertical do setor.
  • As configurações avançadas de linha de base de segurança são recomendadas para usuários que têm controles de segurança rigorosos de seu ambiente e exigem políticas de segurança rigorosas para dispositivos usados em seu ambiente.

Essas configurações de linha de base de segurança são baseadas nas diretrizes de práticas recomendadas da Microsoft e na experiência adquirida na implantação e suporte de dispositivos HoloLens 2 para clientes em vários setores.

Depois de revisar a linha de base de segurança e decidir usar uma, ambas ou partes, confira como habilitar essas linhas de base de segurança

1. Configurações padrão de linha de base de segurança

As seções a seguir descrevem as configurações recomendadas de cada CSP como parte do perfil de linha de base de segurança padrão.

1.1 Política CSP

Nome da política valor Descrição
Contas
Accounts/AllowMicrosoftAccountConnection 0 – Não Permitido Restrinja o usuário a usar uma conta MSA para autenticação e serviços de conexão não relacionados a e-mail.
de gerenciamento de aplicativos
ApplicationManagement/AllowAllTrustedApps 0 - Negação explícita Negar explicitamente aplicativos que não sejam da Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Permitido Permitir a atualização automática de aplicativos da Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Negação explícita Restrinja o usuário para desbloquear o modo de desenvolvedor, que permite que o usuário instale aplicativos no dispositivo a partir de um IDE.
Browser
Browser/AllowCookies 1 – Bloquear apenas cookies de sites de terceiros Com esta política, você pode configurar o Microsoft Edge para bloquear apenas cookies de terceiros ou bloquear todos os cookies.
Browser/AllowPasswordManager 0 – Não permitido Não permita que o Microsoft Edge use o gerenciador de senhas.
Browser/AllowSmartScreen 1 – Ligado Ativa o Windows Defender SmartScreen e impede que os utilizadores o desliguem.
de conectividade
Conectividade/AllowUSBConnection 0 – Não permitido Desativa a conexão USB entre o dispositivo e um computador para sincronizar arquivos com o dispositivo ou para usar ferramentas de desenvolvedor para implantar ou depurar aplicativos.
de bloqueio de dispositivo
DeviceLock/AllowIdleReturnWithoutPassword 0 – Não permitido Não permitir retorno de ociosidade sem PIN ou senha.
DeviceLock/AllowSimpleDevicePassword 0 – Bloqueado Bloqueie PINs ou palavras-passe como "1111" ou "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 – Senha ou PIN numérico necessário Exigir palavra-passe ou PIN alfanumérico.
DeviceLock/DevicePasswordEnabled 0 – Ativado O bloqueio de dispositivo está ativado.
DeviceLock/MaxInactivityTimeDeviceLock Um inteiro X onde 0 < X < 999 Valor recomendado: 3 Especifica a quantidade máxima de tempo (em minutos) permitida depois que o dispositivo está ocioso que fará com que o dispositivo fique bloqueado por PIN ou senha.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Apenas dígitos O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou senha forte.
DeviceLock/MinDevicePasswordLength Um inteiro X onde 4 < X < 16 para dispositivos clienteValor recomendado: 8 Especifica o número mínimo ou caracteres necessários no PIN ou senha.
de inscrição no MDM
Experiência/AllowManualMDMUnenrollment 0 – Não permitido Não permitir que o usuário exclua a conta do local de trabalho usando o painel de controle do local de trabalho.
Identidade
MixedReality/AADGroupMembershipCacheValidityInDays Número de dias em que o cache será válidoValor recomendado: 7 dias Número de dias em que o cache de associação de grupo do Microsoft Entra deve ser válido.
Power
Power/DisplayOffTimeoutPluggedIn Tempo ocioso em número de segundosValores recomendados: 60 segundos Permite especificar o período de inatividade antes de o Windows desligar o ecrã.
Configurações
Configurações/AllowVPN 0 – Não permitido Não permitir que o usuário altere as configurações de VPN.
Configurações/PageVisibilityList Nome abreviado das páginas que são visíveis para o usuário. Fornecerá uma interface do usuário para selecionar ou desmarcar os nomes das páginas. Consulte os comentários para páginas recomendadas para ocultar. Permita que apenas as páginas listadas sejam exibidas para o usuário no aplicativo Configurações.
Sistema
System/AllowStorageCard 0 – Não permitido O uso de cartão SD não é permitido e as unidades USB estão desativadas. Essa configuração não impede o acesso programático ao cartão de armazenamento.
Atualizações
Update/AllowUpdateService 1 – Permitido Permita acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou Microsoft Store.
Update/ManagePreviewBuilds 0 - Desativar compilações de visualização Não permitir que compilações de visualização sejam instaladas no dispositivo.

Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP.

1.3 CSP PassportForWork

Nome do nó valor Descrição
ID do inquilino TenantId Um identificador global exclusivo (GUID), sem chaves ( { , } ), que é usado como parte do provisionamento e gerenciamento do Windows Hello for Business.
TenantId/Policies/UsePassportForWork Verdadeiro Define o Windows Hello for Business como um método para entrar no Windows.
TenantId/Policies/RequireSecurityDevice Verdadeiro Requer um TPM (Trusted Platform Module) para Windows Hello for Business.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Falso Os módulos TPM revisão 1.2 podem ser usados com o Windows Hello for Business.
TenantId/Policies/EnablePinRecovery Falso O segredo de recuperação do PIN não é criado nem armazenado.
TenantId/Policies/UseCertificateForOnPremAuth Falso O PIN é provisionado quando o usuário faz login, sem esperar por uma carga útil do certificado.
TenantId/Policies/PINComplexity/MinimumPINLength 6 O comprimento do PIN deve ser maior ou igual a este número.
TenantId/Policies/PINComplexity/MaximumPINLength 6 O comprimento do PIN deve ser menor ou igual a este número.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Não permite o uso de caracteres especiais no PIN.
TenantId/Policies/PINComplexity/Digits 0 Permite o uso de dígitos em PIN.
TenantId/Policies/PINComplexity/History 10 Número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizada.
TenantId/Policies/PINComplexity/Expiration 90 Período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Falso Os aplicativos não usam certificados do Windows Hello for Business como certificados de cartão inteligente e os fatores biométricos estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado.

1.4 CSP RootCATrustedCertificates

Recomendamos configurar nós de Root, CA, TrustedPublisher e TrustedPeople neste CSP como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP.

1.5 CSP do TenantLockdown

Nome do nó valor Descrição
RequireNetworkInOOBE Verdadeiro Quando o dispositivo passa pela OOBE no primeiro login ou após uma redefinição, o usuário é obrigado a escolher uma rede antes de prosseguir. Não há opção "pular por enquanto". Esta opção garante que o dispositivo permanece vinculado ao inquilino em caso de redefinições ou limpezas acidentais ou intencionais.

1.6 CSP VPNv2

Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.

Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.

2 Configurações avançadas de linha de base de segurança

As seções a seguir descrevem as configurações recomendadas de cada CSP como parte do perfil de linha de base de segurança avançada.

2.1 Política CSP

Nome da política valor Descrição
Contas
Accounts/AllowMicrosoftAccountConnection 0 – Não Permitido Restrinja o usuário a usar uma conta MSA para autenticação e serviços de conexão não relacionados a e-mail.
de gerenciamento de aplicativos
ApplicationManagement/AllowAllTrustedApps 0 - Negação explícita Negar explicitamente aplicativos que não sejam da Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Permitido Permitir a atualização automática de aplicativos da Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Negação explícita Restrinja o usuário para desbloquear o modo de desenvolvedor, que permite que o usuário instale aplicativos no dispositivo a partir de um IDE.
de autenticação
Autenticação/AllowFastReconnect 0 – Não permitido Não permita que a Reconexão Rápida EAP seja tentada para o Método EAP TLS.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – Não permitido Outros dispositivos não serão capazes de detetar este dispositivo.
Browser
Browser/AllowAutofill 0 – Impedido/não permitido Impeça que os usuários usem o recurso Preenchimento automático para preencher os campos de formulário no Microsoft Edge automaticamente.
Browser/AllowCookies 1 – Bloquear apenas cookies de sites de terceiros Bloquear apenas cookies de sites de terceiros.
Browser/AllowDoNotTrack 0 - Nunca envie informações de rastreamento Nunca envie informações de rastreamento.
Browser/AllowPasswordManager 0 – Não permitido Não permita que o Microsoft Edge use o gerenciador de senhas.
Browser/AllowPopups 1 – Ative o Bloqueador de Pop-ups Ative o Bloqueador de Pop-ups impedindo a abertura de janelas pop-up.
Browser/AllowSearchSuggestionsinAddressBar 0 – Impedido/não permitido Oculte sugestões de pesquisa na barra de endereços do Microsoft Edge.
Browser/AllowSmartScreen 1 – Ligado Ativa o Windows Defender SmartScreen e impede que os utilizadores o desliguem.
de conectividade
Conectividade/AllowBluetooth 0 – Não permitir Bluetooth O painel de controle bluetooth está acinzentado e o usuário não será capaz de ligar o Bluetooth.
Conectividade/AllowUSBConnection 0 – Não permitido Desativa a conexão USB entre o dispositivo e um computador para sincronizar arquivos com o dispositivo ou para usar ferramentas de desenvolvedor para implantar ou depurar aplicativos.
de bloqueio de dispositivo
DeviceLock/AllowIdleReturnWithoutPassword 0 – Não permitido Não permitir retorno de ociosidade sem PIN ou senha.
DeviceLock/AllowSimpleDevicePassword 0 – Bloqueado Bloqueie PINs ou palavras-passe como "1111" ou "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0 – Senha ou PIN alfanumérico necessário Exigir palavra-passe ou PIN alfanumérico.
DeviceLock/DevicePasswordEnabled 0 – Ativado O bloqueio de dispositivo está ativado.
DeviceLock/DevicePasswordHistory Um inteiro X onde 0 < X < 50Valor recomendado: 15 Especifica quantas senhas podem ser armazenadas no histórico que não podem ser usadas.
DeviceLock/MaxDevicePasswordFailedAttempts Um inteiro X onde 4 < X < 16 para dispositivos clienteValor recomendado: 10 O número de falhas de autenticação permitidas antes que o dispositivo seja apagado.
DeviceLock/MaxInactivityTimeDeviceLock Um inteiro X onde 0 < X < 999 Valor recomendado: 3 Especifica a quantidade máxima de tempo (em minutos) permitida depois que o dispositivo está ocioso que fará com que o dispositivo fique bloqueado por PIN ou senha.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Dígitos, letras minúsculas e letras maiúsculas são necessários O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou senha forte.
DeviceLock/MinDevicePasswordLength Um inteiro X onde 4 < X < 16 para dispositivos clienteValor recomendado: 12 Especifica o número mínimo ou caracteres necessários no PIN ou senha.
de inscrição no MDM
Experiência/AllowManualMDMUnenrollment 0 – Não permitido Não permitir que o usuário exclua a conta do local de trabalho usando o painel de controle do local de trabalho.
Identidade
MixedReality/AADGroupMembershipCacheValidityInDays Número de dias em que o cache será válidoValor recomendado: 7 dias Número de dias em que o cache de associação de grupo do Microsoft Entra deve ser válido.
Power
Power/DisplayOffTimeoutPluggedIn Tempo ocioso em número de segundosValores recomendados: 60 segundos Permite especificar o período de inatividade antes de o Windows desligar o ecrã.
de Privacidade
Privacy/LetAppsAccess
AccountInfo
2 - Força negar Nega aos aplicativos do Windows acesso às informações da conta.
Privacy/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos do Windows Os aplicativos do Windows listados têm acesso às informações da conta.
Privacy/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos do Windows As aplicações do Windows listadas têm acesso negado às informações da conta.
Privacy/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos do Windows O usuário pode controlar a configuração de privacidade das informações da conta para os aplicativos do Windows listados.
Privacy/LetAppsAccess
BackgroundSpatialPerception
2 - Força negar Negar aos aplicativos do Windows acesso ao movimento da cabeça, mãos, controladores de movimento e outros objetos rastreados do usuário, enquanto os aplicativos estão sendo executados em segundo plano.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Windows Store Os aplicativos listados têm acesso aos movimentos do usuário enquanto os aplicativos estão sendo executados em segundo plano.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Windows Store Os aplicativos listados têm acesso negado aos movimentos do usuário enquanto os aplicativos são executados em segundo plano.
Privacy/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Windows Store O usuário é capaz de controlar a configuração de privacidade de movimentos do usuário para os aplicativos listados.
Privacy/LetAppsAccess
Microphone_ForceDenyTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Microsoft Store As aplicações listadas têm acesso negado ao microfone.
Privacy/LetAppsAccess
Microphone_UserInControlOfTheseApps
Lista de nomes de família de pacotes delimitados por ponto-e-vírgula de aplicativos da Microsoft Store O usuário pode controlar a configuração de privacidade do microfone para os aplicativos listados.
Pesquisa
Search/AllowSearchToUseLocation 0 – Não permitido Não permitir que a pesquisa use informações de localização.
Segurança
Security/AllowAddProvisioningPackage 0 – Não permitido Não permita que o agente de configuração de tempo de execução instale pacotes de provisionamento.
Configurações
Configurações/AllowVPN 0 – Não permitido Não permitir que o usuário altere as configurações de VPN.
Configurações/PageVisibilityList Nome abreviado das páginas que são visíveis para o usuárioFornecerá uma interface do usuário para selecionar ou desmarcar os nomes das páginas. Consulte os comentários para páginas recomendadas para ocultar. Permita que apenas as páginas listadas sejam exibidas para o usuário no aplicativo Configurações.
Sistema
System/AllowStorageCard 0 – Não permitido O uso de cartão SD não é permitido e as unidades USB estão desativadas. Essa configuração não impede o acesso programático ao cartão de armazenamento.
System/AllowTelemetry 0 - Não permitido Não permitir que o dispositivo envie dados de telemetria de diagnóstico e uso, como o Watson.
Atualizações
Update/AllowUpdateService 1 – Permitido Permita acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou Microsoft Store.
Update/ManagePreviewBuilds 0 - Desativar compilações de visualização Não permitir que compilações de visualização sejam instaladas no dispositivo.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – Não permitido Não permitir a conexão com Wi-Fi fora das redes instaladas no servidor MDM.
Nome do nó valor Descrição
UserProfileManagement/EnableProfileManager Verdadeiro Habilite o gerenciamento do tempo de vida do perfil para cenários de dispositivos compartilhados ou comuns.
UserProfileManagement/DeletionPolicy 2 - excluir no limite de capacidade de armazenamento e no limite de inatividade do perfil Configura quando os perfis serão excluídos.
UserProfileManagement/StorageCapacityStartDeletion 25% Comece a excluir perfis quando a capacidade de armazenamento disponível ficar abaixo desse limite, dada como porcentagem do armazenamento total disponível para perfis. Os perfis que estiverem inativos por mais tempo serão excluídos primeiro.
UserProfileManagement/StorageCapacityStopDeletion 50% Pare de excluir perfis quando a capacidade de armazenamento disponível for aumentada para esse limite, dado como porcentagem do armazenamento total disponível para perfis.
UserProfileManagement/ProfileInactivityThreshold 30 Comece a excluir perfis quando eles não tiverem feito logon durante o período especificado, dado como número de dias.

2.3 CSP ApplicationControl

Nome do nó valor Descrição
GUID de políticas/políticas ID da política no blob de política ID da política no blob da política.
Políticas/ GUID da Política/Política Política blob Blob binário de política codificado em base64.

Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP.

2.5 CSP PassportForWork

Nome do nó valor Descrição
ID do inquilino TenantId Um identificador global exclusivo (GUID), sem chaves ( { , } ), que é usado como parte do provisionamento e gerenciamento do Windows Hello for Business.
TenantId/Policies/UsePassportForWork Verdadeiro Define o Windows Hello for Business como um método para entrar no Windows.
TenantId/Policies/RequireSecurityDevice Verdadeiro Requer um TPM (Trusted Platform Module) para Windows Hello for Business.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Falso Os módulos TPM revisão 1.2 podem ser usados com o Windows Hello for Business.
TenantId/Policies/EnablePinRecovery Falso O segredo de recuperação do PIN não será criado nem armazenado.
TenantId/Policies/UseCertificateForOnPremAuth Falso O PIN é provisionado quando o usuário faz login, sem esperar por uma carga útil do certificado.
TenantId/Policies/PINComplexity/MinimumPINLength 6 O comprimento do PIN deve ser maior ou igual a este número.
TenantId/Policies/PINComplexity/MaximumPINLength 6 O comprimento do PIN deve ser menor ou igual a este número.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Os dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Não permite o uso de caracteres especiais no PIN.
TenantId/Policies/PINComplexity/Digits 0 Permite o uso de dígitos em PIN.
TenantId/Policies/PINComplexity/History 10 Número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizada.
TenantId/Policies/PINComplexity/Expiration 90 Período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Falso Os aplicativos não usam certificados do Windows Hello for Business como certificados de cartão inteligente e os fatores biométricos estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado.

2.6 CSP RootCATrustedCertificates

Recomendamos configurar nós de Root, CA, TrustedPublisher e TrustedPeople neste CSP como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP.

2.7 CSP do TenantLockdown

Nome do nó valor Descrição
RequireNetworkInOOBE Verdadeiro Quando o dispositivo passa pela OOBE no primeiro login ou após uma redefinição, o usuário é obrigado a escolher uma rede antes de prosseguir. Não há opção "pular por enquanto". Isso garante que o dispositivo permaneça vinculado ao locatário em caso de reinicializações ou limpezas acidentais ou intencionais.

2.8 CSP VPNv2

Recomendamos configurar perfis VPN como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.

Recomendamos configurar perfis WiFi como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.

Como habilitar essas linhas de base de segurança

  1. Revise a linha de base de segurança e decida o que aplicar.
  2. Determine os Grupos do Azure aos quais você atribuirá a linha de base. (Mais informações sobre utilizadores e grupos)
  3. Crie a linha de base.

Veja como criar a linha de base.

Muitas das configurações podem ser adicionadas usando o catálogo de configurações, no entanto, às vezes pode haver uma configuração que ainda não foi preenchida no catálogo de configurações. Nesses casos, você usará uma política personalizada ou OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Comece procurando no catálogo Configurações e, se não for encontrado, siga as instruções abaixo para criar uma política personalizada via OMA-URI.

Catálogo de configurações

Inicie sessão na sua conta no centro de administração do MEM.

  1. Navegue até Devices ->Configuration profiles ->+Create profile. Em Plataforma, selecione Windows 10 e posteriore, para o tipo de perfil, selecione catálogo de configurações (visualização).
  2. Crie um nome para o perfil e selecione o botão Avançar.
  3. No ecrã Definições de configuração, selecione + Adicionar definições.

Usando o nome da política da linha de base acima, você pode pesquisar a política. O catálogo de configurações espaçará o nome, portanto, para encontrar "Accounts/AllowMicrosoftAccountConnection", você precisará pesquisar "Allow Microsoft Account Connection". Depois de pesquisar, você verá a lista de políticas reduzidas apenas ao CSP que tem essa política. Selecione Contas (ou o CSP relevante para o que você está pesquisando atualmente), assim que fizer isso, você verá o resultado da política abaixo. Marque a caixa para a política.

Captura de tela da opção do seletor de configurações.

Uma vez feito, o painel à esquerda adicionará a categoria CSP e a configuração que você adicionou. A partir daqui, você pode configurá-lo a partir da configuração padrão, para um mais seguro.

Captura de tela do catálogo de configurações.

Você pode continuar a adicionar várias configurações ao mesmo perfil, o que facilitará a atribuição de uma só vez.

Adicionando políticas de OMA-URI personalizadas

Algumas políticas podem ainda não estar disponíveis no catálogo de configurações. Para essas políticas, você precisará criar um perfil de OMA-URI personalizado. Inicie sessão na sua conta no centro de administração do MEM.

  1. Navegue até Devices ->Configuration profiles ->+Create profile. Em Plataforma, selecione Windows 10 e posteriore, para o tipo de perfil, selecione Modelos e selecione Personalizado.
  2. Crie um nome para o perfil e selecione o botão Avançar.
  3. Selecione o botão Adicionar.

Terá de preencher alguns campos.

  • Nome, você pode nomeá-lo qualquer coisa que você precisa relacionado à política. Este pode ser um nome abreviado que você usa para reconhecê-lo.
  • Descrição será mais detalhes que você pode precisar.
  • O OMA-URI será a cadeia de OMA-URI completa onde a política está. Exemplo: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Tipo de dados é o tipo de valor que esta política aceita. Para este exemplo, é um número entre 0 e 60, portanto, Integer foi selecionado.
  • Depois de selecionar o tipo de dados, você poderá escrever ou carregar o valor necessário no campo.

Captura de tela de OMA-URI configuração.

Uma vez feito, sua política é adicionada à janela principal. Você pode continuar adicionando todas as suas políticas personalizadas à mesma configuração personalizada. Isso ajuda a reduzir o gerenciamento de várias configurações de dispositivos e facilita a atribuição.

Captura de tela de OMA-URI configuração.