Прочитать на английском

Поделиться через


Базовые показатели безопасности HoloLens 2

Важно!

Некоторые политики, используемые в этом базовом плане безопасности, представлены в последних сборки предварительной оценки. Эти политики будут работать только на устройствах, обновленных до последней сборки предварительной оценки.

В этой статье перечислены и описаны различные базовые параметры безопасности, которые можно настроить в HoloLens 2 с помощью поставщиков служб конфигурации (CSP). В рамках управления мобильными устройствами с помощью Microsoft Endpoint Manager (официально известного как Microsoft Intune), используйте следующие стандартные или расширенные параметры базовых показателей безопасности в зависимости от политик и потребностей организации. Используйте эти базовые параметры безопасности для защиты ресурсов организации.

  • Стандартные параметры базовых показателей безопасности применимы ко всем типам пользователей независимо от сценария использования и вертикальной отрасли.
  • Дополнительные параметры базовых показателей безопасности — это рекомендуемые параметры для пользователей, имеющих строгие элементы управления безопасностью среды, и требуют строгих политик безопасности для устройств, используемых в их среде.

Эти базовые параметры безопасности основаны на рекомендациях корпорации Майкрософт и опыте развертывания и поддержки устройств HoloLens 2 для клиентов в различных отраслях.

После проверки базовых показателей безопасности и решения об использовании одного, обоих или частей, ознакомьтесь с , как включить эти базовые линии безопасности

1. Стандартные параметры базовых показателей безопасности

В следующих разделах описаны рекомендуемые параметры каждого CSP в рамках стандартного профиля базового плана безопасности.

имя политики значение описание
учетных записей
accounts/AllowMicrosoftAccountConnection 0 — запрещено Ограничьте пользователя использовать учетную запись MSA для проверки подлинности и служб, не связанных с электронной почтой.
управления приложениями
ApplicationManagement/AllowAllTrustedApps 0 — явное отклонение Явно запрещать приложения, отличные от Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 — разрешено Разрешить автоматическое обновление приложений из Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 — явное отклонение Ограничьте пользователя разблокировать режим разработчика, который позволяет пользователю устанавливать приложения на устройстве из интегрированной среды разработки.
браузера
browser/AllowCookies 1. Блокировка только файлов cookie с сторонних веб-сайтов С помощью этой политики вы можете настроить Microsoft Edge, чтобы заблокировать только 3-сторонние файлы cookie или заблокировать все файлы cookie.
Browser/AllowPasswordManager 0 — запрещено Запретить Microsoft Edge использовать диспетчер паролей.
browser/AllowSmartScreen 1 — включен Включает smartScreen Защитника Windows и запрещает пользователям отключать его.
подключения
подключения/AllowUSBConnection 0 — запрещено Отключает USB-подключение между устройством и компьютером для синхронизации файлов с устройством или использования средств разработчика для развертывания или отладки приложений.
блокировка устройства
DeviceLock/AllowIdleReturnWithoutPassword 0 — запрещено Запретить возврат бездействия без ПИН-кода или пароля.
DeviceLock/AllowSimpleDevicePassword 0 — заблокировано Блокировать ПИН-коды или пароли, такие как "1111" или "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 — обязательный пароль или числовой ПИН-код Требовать пароль или буквенно-цифровой ПИН-код.
DeviceLock/DevicePasswordEnabled 0 — включено Блокировка устройства включена.
DeviceLock/MaxInactivityTimeDeviceLock Целое число X, в котором 0 < X < 999 Рекомендуемое значение: 3 Указывает максимальное время (в минутах) после простоя устройства, которое приведет к блокировке ПИН-кода или пароля устройства.
DeviceLock/MinDevicePasswordComplexCharacters 1 — только цифры Количество сложных типов элементов (прописных и строчных букв, чисел и препинания), необходимых для строгого ПИН-кода или пароля.
DeviceLock/MinDevicePasswordLength Целое число X, в котором значение 4 < X < 16 для клиентских устройств: 8 Указывает минимальное число или символы, необходимые в ПИН-коде или пароле.
регистрации MDM
интерфейс/AllowManualMDMUnenrollment 0 — запрещено Запретить пользователю удалить рабочую учетную запись с помощью рабочей панели управления.
удостоверения
MixedReality/AADGroupMembershipCacheValidityInDays Число дней допустимого значения кэша: 7 дней Количество дней, в течение которых кэш членства в группах Microsoft Entra должен быть допустимым.
Power
Power/DisplayOffTimeoutPluggedIn Время простоя в количестве секундRecommended: 60 с Позволяет указать период бездействия, прежде чем Windows отключает отображение.
параметров
параметры /AllowVPN 0 — запрещено Запретить пользователю изменять параметры VPN.
Settings/PageVisibilityList Сокращенное имя страниц, видимых пользователю. Укажите пользовательский интерфейс для выбора или отмены выбора имен страниц. Чтобы скрыть рекомендуемые страницы, см. примечания. Разрешить отображать только перечисленные страницы пользователю в приложении "Параметры".
system
System/AllowStorageCard 0 — запрещено Использование SD-карты запрещено, а USB-накопители отключены. Этот параметр не предотвращает программный доступ к карточке хранения.
обновления
Update/AllowUpdateService 1 — разрешено Разрешить доступ к Центру обновления Майкрософт, службам обновления Windows Server (WSUS) или Microsoft Store.
Update/ManagePreviewBuilds 0. Отключение предварительных сборок Запретить установку сборок предварительной версии на устройстве.

Мы рекомендуем настроить этот поставщик служб CSP в качестве рекомендации, но не имеют рекомендаций по определенным значениям для каждого узла в этом CSP.

имени узла значение описание
Идентификатор клиента TenantId Глобальный уникальный идентификатор (GUID), без фигурных скобок ( { , } ), который используется в рамках подготовки и управления Windows Hello для бизнеса.
TenantId/Policies/UsePassportForWork Истинный Задает Windows Hello для бизнеса в качестве метода входа в Windows.
TenantId/Policies/RequireSecurityDevice Истинный Требуется доверенный модуль платформы (TPM) для Windows Hello для бизнеса.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Ложный Модули TPM версии 1.2 разрешены использовать с Windows Hello для бизнеса.
TenantId/Policies/EnablePinRecovery Ложный Секрет восстановления ПИН-кода не создается или хранится.
TenantId/Policies/UseCertificateForOnPremAuth Ложный ПИН-код подготавливается при входе пользователя, не ожидая полезных данных сертификата.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Длина ПИН-кода должна быть больше или равна этому числу.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Длина ПИН-кода должна быть меньше или равна этому числу.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Цифры являются обязательными, а все остальные наборы символов не допускаются.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Цифры являются обязательными, а все остальные наборы символов не допускаются.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Не допускает использование специальных символов в ПИН-коде.
TenantId/Policies/PINComplexity/Digits 0 Позволяет использовать цифры в ПИН-коде.
TenantId/Policies/PINComplexity/History 10 Число прошлых ПИН-кодов, которые могут быть связаны с учетной записью пользователя, которую нельзя использовать повторно.
TenantId/Policies/PINComplexity/Expiration 90 Период времени (в днях), который можно использовать ПИН-код перед тем, как система требует от пользователя изменить его.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Ложный Приложения не используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карт, а биометрические факторы доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата.

Рекомендуется настроить узлы Root, ЦС, TrustedPublisher и TrustedPeople в этом CSP, но не рекомендуется использовать определенные значения для каждого узла в этом CSP.

имени узла значение описание
RequireNetworkInOOBE Истинный Когда устройство проходит через OOBE при первом входе или после сброса, пользователю необходимо выбрать сеть перед продолжением. Нет параметра "Пропустить сейчас". Этот параметр гарантирует, что устройство остается привязанным к клиенту в случае случайного или преднамеренного сброса или очистки.

Рекомендуется настроить этот поставщик служб CSP в качестве рекомендации, но у нас нет рекомендаций по определенным значениям для каждого узла в этом CSP. Большинство параметров связаны с клиентской средой.

Рекомендуется настроить этот поставщик служб CSP в качестве рекомендации, но у нас нет рекомендаций по определенным значениям для каждого узла в этом CSP. Большинство параметров связаны с клиентской средой.

2 Дополнительные параметры базовых показателей безопасности

В следующих разделах описаны рекомендуемые параметры каждого CSP в рамках расширенного профиля базового плана безопасности.

имя политики значение описание
учетных записей
accounts/AllowMicrosoftAccountConnection 0 — запрещено Ограничьте пользователя использовать учетную запись MSA для проверки подлинности и служб, не связанных с электронной почтой.
управления приложениями
ApplicationManagement/AllowAllTrustedApps 0 — явное отклонение Явно запрещать приложения, отличные от Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 — разрешено Разрешить автоматическое обновление приложений из Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 — явное отклонение Ограничьте пользователя разблокировать режим разработчика, который позволяет пользователю устанавливать приложения на устройстве из интегрированной среды разработки.
проверки подлинности
authentication/AllowFastReconnect 0 — запрещено Запретить быстрое повторное подключение EAP для протокола TLS метода EAP.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 — запрещено Другие устройства не смогут обнаружить это устройство.
браузера
browser/AllowAutofill 0 — запрещено или запрещено Запретить пользователям автоматически заполнять поля формы в Microsoft Edge.
browser/AllowCookies 1. Блокировка только файлов cookie с сторонних веб-сайтов Блокировать только файлы cookie с сторонних веб-сайтов.
Browser/AllowDoNotTrack 0. Никогда не отправлять сведения об отслеживании Никогда не отправлять сведения об отслеживании.
Browser/AllowPasswordManager 0 — запрещено Запретить Microsoft Edge использовать диспетчер паролей.
browser/AllowPopups 1. Включение блокировщика всплывающих окон Включите всплывающий блокировщик, который останавливает всплывающие окна при открытии.
Browser/AllowSearchSuggestionsinAddressBar 0 — запрещено или запрещено Скрытие предложений поиска в адресной строке Microsoft Edge.
browser/AllowSmartScreen 1 — включен Включает smartScreen Защитника Windows и запрещает пользователям отключать его.
подключения
подключения/AllowBluetooth 0 — запретить Bluetooth Панель управления Bluetooth неактивна, и пользователь не сможет включить Bluetooth.
подключения/AllowUSBConnection 0 — запрещено Отключает USB-подключение между устройством и компьютером для синхронизации файлов с устройством или использования средств разработчика для развертывания или отладки приложений.
блокировка устройства
DeviceLock/AllowIdleReturnWithoutPassword 0 — запрещено Запретить возврат бездействия без ПИН-кода или пароля.
DeviceLock/AllowSimpleDevicePassword 0 — заблокировано Блокировать ПИН-коды или пароли, такие как "1111" или "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0 — обязательный пароль или буквенно-цифровой ПИН-код Требовать пароль или буквенно-цифровой ПИН-код.
DeviceLock/DevicePasswordEnabled 0 — включено Блокировка устройства включена.
DeviceLock/DevicePasswordHistory Целое число X, в котором 0 < X < 50Re value: 15 Указывает, сколько паролей можно хранить в журнале, который нельзя использовать.
DeviceLock/MaxDevicePasswordFailedAttempts Целое число X, в котором значение 4 < X < 16 для клиентских устройств: 10 Количество сбоев проверки подлинности, разрешенных до очистки устройства.
DeviceLock/MaxInactivityTimeDeviceLock Целое число X, в котором 0 < X < 999 Рекомендуемое значение: 3 Указывает максимальное время (в минутах) после простоя устройства, которое приведет к блокировке ПИН-кода или пароля устройства.
DeviceLock/MinDevicePasswordComplexCharacters 3. Требуются цифры, строчные буквы и прописные буквы Количество сложных типов элементов (прописных и строчных букв, чисел и препинания), необходимых для строгого ПИН-кода или пароля.
DeviceLock/MinDevicePasswordLength Целое число X, в котором значение 4 < X < 16 для клиентских устройств: 12 Указывает минимальное число или символы, необходимые в ПИН-коде или пароле.
регистрации MDM
интерфейс/AllowManualMDMUnenrollment 0 — запрещено Запретить пользователю удалить рабочую учетную запись с помощью рабочей панели управления.
удостоверения
MixedReality/AADGroupMembershipCacheValidityInDays Число дней допустимого значения кэша: 7 дней Количество дней, в течение которых кэш членства в группах Microsoft Entra должен быть допустимым.
Power
Power/DisplayOffTimeoutPluggedIn Время простоя в количестве секундRecommended: 60 с Позволяет указать период бездействия, прежде чем Windows отключает отображение.
конфиденциальности
Конфиденциальность/LetAppsAccess
AccountInfo
2. Принудительное отклонение Запрещает приложениям Windows доступ к сведениям об учетной записи.
Конфиденциальность/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Windows Перечисленные приложения Windows разрешены для доступа к сведениям об учетной записи.
Конфиденциальность/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Windows Перечисленные приложения Windows запрещены в доступе к сведениям об учетной записи.
Конфиденциальность/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Windows Пользователь может контролировать параметры конфиденциальности сведений об учетной записи для перечисленных приложений Windows.
Конфиденциальность/LetAppsAccess
BackgroundSpatialPerception
2. Принудительное отклонение Запретить приложениям Windows доступ к перемещению головы пользователя, рук, контроллеров движения и других отслеживаемых объектов, а приложения выполняются в фоновом режиме.
Конфиденциальность/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Магазина Windows Перечисленные приложения разрешены для доступа к движениям пользователя во время работы приложений в фоновом режиме.
Конфиденциальность/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Магазина Windows Перечисленные приложения запрещены в доступе к движениям пользователя во время работы приложений в фоновом режиме.
Конфиденциальность/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Магазина Windows Пользователь может контролировать параметры конфиденциальности перемещения пользователей для перечисленных приложений.
Конфиденциальность/LetAppsAccess
Microphone_ForceDenyTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Microsoft Store Перечисленные приложения запрещены в доступе к микрофону.
Конфиденциальность/LetAppsAccess
Microphone_UserInControlOfTheseApps
Список имен семейств пакетов с разделителями с запятой для приложений Microsoft Store Пользователь может управлять параметрами конфиденциальности микрофона для перечисленных приложений.
поиска
Search/AllowSearchToUseLocation 0 — запрещено Запретить поиску использовать сведения о расположении.
безопасности
Security/AllowAddProvisioningPackage 0 — запрещено Запретить агенту конфигурации среды выполнения установить пакеты подготовки.
параметров
параметры /AllowVPN 0 — запрещено Запретить пользователю изменять параметры VPN.
Settings/PageVisibilityList Сокращенное имя страниц, видимых пользователю UserWill, предоставляет пользовательский интерфейс для выбора или отмены выбора имен страниц. Чтобы скрыть рекомендуемые страницы, см. примечания. Разрешить отображать только перечисленные страницы пользователю в приложении "Параметры".
system
System/AllowStorageCard 0 — запрещено Использование SD-карты запрещено, а USB-накопители отключены. Этот параметр не предотвращает программный доступ к карточке хранения.
System/AllowTelemetry 0 — запрещено Запретить устройству отправлять данные телеметрии диагностики и использования, например Уотсон.
обновления
Update/AllowUpdateService 1 — разрешено Разрешить доступ к Центру обновления Майкрософт, службам обновления Windows Server (WSUS) или Microsoft Store.
Update/ManagePreviewBuilds 0. Отключение предварительных сборок Запретить установку сборок предварительной версии на устройстве.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 — запрещено Запрет подключения к Wi-Fi за пределами установленных на сервере MDM сетей.
имени узла значение описание
UserProfileManagement/EnableProfileManager Истинный Включите управление временем существования профиля для сценариев общего или общего устройства.
UserProfileManagement/DeletionPolicy 2. Удаление как по порогу емкости хранилища, так и по порогу бездействия профиля Настраивается при удалении профилей.
UserProfileManagement/StorageCapacityStartDeletion 25% Начните удалять профили, если доступная емкость хранилища снижается ниже этого порогового значения, учитывая процент общего объема хранилища, доступного для профилей. Профили, которые были неактивными, будут удалены сначала.
UserProfileManagement/StorageCapacityStopDeletion 50% Не удаляйте профили, если доступная емкость хранилища доведена до этого порогового значения, учитывая процент общего объема хранилища, доступного для профилей.
UserProfileManagement/ProfileInactivityThreshold 30 Начните удалять профили, если они не вошли в систему в течение указанного периода, учитывая количество дней.
имени узла значение описание
Идентификатор GUID политик и политик идентификатор политики в большом двоичном объекте политики Идентификатор политики в большом двоичном объекте политики.
Политики/GUID политики/Policy BLOB-объект политики Двоичный blob-объект политики, закодированный в base64.

Мы рекомендуем настроить этот поставщик служб CSP в качестве рекомендации, но не имеют рекомендаций по определенным значениям для каждого узла в этом CSP.

имени узла значение описание
Идентификатор клиента TenantId Глобальный уникальный идентификатор (GUID), без фигурных скобок ( { , } ), который используется в рамках подготовки и управления Windows Hello для бизнеса.
TenantId/Policies/UsePassportForWork Истинный Задает Windows Hello для бизнеса в качестве метода входа в Windows.
TenantId/Policies/RequireSecurityDevice Истинный Требуется доверенный модуль платформы (TPM) для Windows Hello для бизнеса.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Ложный Модули TPM версии 1.2 разрешены использовать с Windows Hello для бизнеса.
TenantId/Policies/EnablePinRecovery Ложный Секрет восстановления ПИН-кода не будет создан или сохранен.
TenantId/Policies/UseCertificateForOnPremAuth Ложный ПИН-код подготавливается при входе пользователя, не ожидая полезных данных сертификата.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Длина ПИН-кода должна быть больше или равна этому числу.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Длина ПИН-кода должна быть меньше или равна этому числу.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Цифры являются обязательными, а все остальные наборы символов не допускаются.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Цифры являются обязательными, а все остальные наборы символов не допускаются.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Не допускает использование специальных символов в ПИН-коде.
TenantId/Policies/PINComplexity/Digits 0 Позволяет использовать цифры в ПИН-коде.
TenantId/Policies/PINComplexity/History 10 Число прошлых ПИН-кодов, которые могут быть связаны с учетной записью пользователя, которую нельзя использовать повторно.
TenantId/Policies/PINComplexity/Expiration 90 Период времени (в днях), который можно использовать ПИН-код перед тем, как система требует от пользователя изменить его.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Ложный Приложения не используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карт, а биометрические факторы доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата.

Рекомендуется настроить узлы Root, ЦС, TrustedPublisher и TrustedPeople в этом CSP, но не рекомендуется использовать определенные значения для каждого узла в этом CSP.

имени узла значение описание
RequireNetworkInOOBE Истинный Когда устройство проходит через OOBE при первом входе или после сброса, пользователь должен выбрать сеть перед продолжением. Нет параметра "Пропустить сейчас". Это гарантирует, что устройство остается привязанным к клиенту в случае случайного или преднамеренного сброса или очистки.

Рекомендуется настроить профили VPN в качестве рекомендации, но не рекомендуется использовать определенные значения для каждого узла в этом CSP. Большинство параметров связаны с клиентской средой.

Рекомендуется настроить профили WiFi в качестве рекомендации, но не рекомендуется использовать определенные значения для каждого узла в этом CSP. Большинство параметров связаны с клиентской средой.

Как включить эти базовые линии безопасности

  1. Просмотрите базовые показатели безопасности и определите, что следует применить.
  2. Определите группы Azure, которым вы назначите базовые показатели. (Больше о пользователях и группах)
  3. Создайте базовый план.

Вот как создать базовый план.

Многие параметры можно добавить с помощью каталога параметров, однако иногда может быть параметр, который еще не заполнен в каталоге параметров. В этих случаях вы будете использовать настраиваемую политику или OMA-URI (Open Mobile Alliance — универсальный идентификатор ресурса). Начните с поиска в каталоге параметров и если он не найден, следуйте приведенным ниже инструкциям по созданию пользовательской политики с помощью OMA-URI.

Каталог параметров

Войдите в учетную запись центра администрирования MEM.

  1. Перейдите к устройствам — профили конфигурации> —>+Создание профиля. Для платформы выберите Windows 10 и более поздних версий, а для типа профиля выберите каталог параметров (предварительная версия).
  2. Создайте имя профиля и нажмите кнопку Далее.
  3. На экране параметров конфигурации выберите + Добавить параметры.

Используя имя политики из приведенного выше базового плана, можно найти политику. Каталог параметров будет пробелом в имени, поэтому для поиска "Accounts/AllowMicrosoftAccountConnection" необходимо выполнить поиск "Разрешить подключение к учетной записи Майкрософт". После поиска вы увидите список политик, сокращенных только для CSP, который имеет эту политику. Выберите учетные записи (или соответствующий поставщик служб CSP для текущего поиска), как только вы увидите результат политики ниже. Установите флажок для политики.

снимок экрана: параметр выбора параметров.

После завершения панель слева добавит категорию CSP и добавленную настройку. Здесь его можно настроить из параметра по умолчанию в еще один безопасный.

снимок экрана каталога параметров.

Вы можете продолжать добавлять несколько конфигураций в один профиль, что упрощает назначение одновременно.

Добавление пользовательских политик OMA-URI

Некоторые политики могут быть недоступны в каталоге параметров. Для этих политик необходимо создать настраиваемый профиль OMA-URI. Войдите в учетную запись центра администрирования MEM.

  1. Перейдите к устройствам — профили конфигурации> —>+Создание профиля. Для платформы выберите Windows 10 и более поздних версий, а для типа профиля выберите Шаблоны и выберите Настраиваемые.
  2. Создайте имя профиля и нажмите кнопку Далее.
  3. Нажмите кнопку Добавить.

Вам потребуется заполнить несколько полей.

  • Имя, вы можете присвоить ему любое имя, связанное с политикой. Это может быть сокращенное имя, используемое для его распознавания.
  • Описание будет иметь дополнительные сведения, которые могут потребоваться.
  • OMA-URI будет полной строкой OMA-URI, в которой находится политика. Пример: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Тип данных — это тип значения, которое принимает эта политика. В этом примере это число от 0 до 60, поэтому было выбрано целое число.
  • Выбрав тип данных, вы сможете выписать или отправить значение, необходимое в поле.

снимок экрана OMA-URI настройки.

После этого политика добавляется в главное окно. Вы можете продолжать добавлять все пользовательские политики в одну и ту же настраиваемую конфигурацию. Это упрощает управление несколькими конфигурациями устройств и упрощает назначение.

снимок экрана конфигурации OMA-URI.