HoloLens 2 базовые показатели безопасности
Важно!
Некоторые политики, используемые в этом базовом плане безопасности, представлены в нашей последней сборке для участников программы предварительной оценки. Эти политики будут работать только на устройствах, обновленных до последней сборки программы предварительной оценки.
В этой статье перечислены и описываются различные параметры базовых показателей безопасности, которые можно настроить на HoloLens 2 с помощью поставщиков служб конфигурации (CSP). В рамках управления мобильными устройствами с помощью Microsoft Endpoint Manager (официально известного как Microsoft Intune) используйте следующие стандартные или расширенные базовые параметры безопасности в зависимости от политик и потребностей организации. Используйте эти параметры базовых показателей безопасности для защиты ресурсов организации.
- Стандартные параметры базовых показателей безопасности применяются ко всем типам пользователей, независимо от сценария использования и отраслевой вертикали.
- Расширенные базовые параметры безопасности — это рекомендуемые параметры для пользователей, которые имеют строгие элементы управления безопасностью своей среды и требуют строгих политик безопасности для устройств, используемых в их среде.
Эти базовые параметры безопасности основаны на рекомендациях майкрософт и опыте, полученном при развертывании и поддержке устройств HoloLens 2 для клиентов в различных отраслях.
После ознакомления с базовыми показателями безопасности и принятия решения о том, как использовать одну или часть, проверка, как включить эти базовые линии безопасности.
1. Стандартные параметры базовых показателей безопасности
В следующих разделах описываются рекомендуемые параметры каждого поставщика служб CSP в рамках стандартного базового профиля безопасности.
1.1 Поставщик служб CSP политики
| Имя политики | Значение | Описание |
|---|---|---|
| Учетные записи | ||
| Accounts/AllowMicrosoftAccountConnection | 0 — не разрешено | Ограничьте использование учетной записи MSA для проверки подлинности подключения и служб, не связанных с электронной почтой. |
| Управление приложениями | ||
| ApplicationManagement/AllowAllTrustedApps | 0 — явное отклонение | Явно запретить приложения, отличные от Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 — разрешено | Разрешить автоматическое обновление приложений из Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 — явное отклонение | Ограничьте пользователю разблокировку режима разработчика, который позволяет пользователю устанавливать приложения на устройстве из интегрированной среды разработки. |
| Браузер | ||
| Browser/AllowCookies | 1 . Блокировка только файлов cookie со сторонних веб-сайтов | С помощью этой политики вы можете настроить Microsoft Edge так, чтобы блокировать только сторонние файлы cookie или блокировать все файлы cookie. |
| Браузер/AllowPasswordManager | 0 — не разрешено | Запретить Microsoft Edge использовать диспетчер паролей. |
| Browser/AllowSmartScreen | 1 — включен | Включает Защитник Windows SmartScreen и запрещает пользователям выключать его. |
| Соединение | ||
| Connectivity/AllowUSBConnection | 0 — не разрешено | Отключает USB-подключение между устройством и компьютером для синхронизации файлов с устройством или для использования средств разработчика для развертывания или отладки приложений. |
| Блокировка устройства | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 — не разрешено | Запретить возврат из простоя без ПИН-кода или пароля. |
| DeviceLock/AllowSimpleDevicePassword | 0 — заблокировано | Блокировка ПИН-кодов или паролей, таких как "1111" или "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 — требуется пароль или числовой ПИН-код. | Требовать пароль или буквенно-цифровой ПИН-код. |
| DeviceLock/DevicePasswordEnabled | 0 — включено | Блокировка устройства включена. |
| DeviceLock/MaxInactivityTimeDeviceLock | Целое число X, где 0 < X < 999 рекомендуемое значение: 3 | Указывает максимальное время (в минутах) после простоя устройства, которое приведет к блокировке ПИН-кода или пароля. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 — только цифры | Число типов сложных элементов (прописные и строчные буквы, цифры и знаки пунктуации) для надежного ПИН-кода или пароля. |
| DeviceLock/MinDevicePasswordLength | Целое число X, где 4 < X < 16 для клиентских устройствРекомендуемое значение: 8 | Указывает минимальное число или символы, необходимые в ПИН-коде или пароле. |
| Регистрация MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 — не разрешено | Запретить пользователю удалять рабочую учетную запись с помощью панели управления рабочей области. |
| Удостоверение | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Количество дней, в течение которых кэш должен быть допустимым Значениерекомендуемого: 7 дней | Количество дней, в течение которых кэш членства в группе Microsoft Entra должен быть допустимым. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Время простоя в секундахРекомендуемые значения: 60 секунд | Позволяет указать период бездействия, прежде чем Windows отключает дисплей. |
| Параметры | ||
| Settings/AllowVPN | 0 — не разрешено | Запретить пользователю изменять параметры VPN. |
| Settings/PageVisibilityList | Сокращенное имя страниц, видимых пользователю. Предоставляет пользовательский интерфейс для выбора или отмены выбора имен страниц. Рекомендуемые страницы для скрытия см. в комментариях. | Разрешить пользователю отображать только перечисленные страницы в приложении "Параметры". |
| Системные функции | ||
| System/AllowStorageCard | 0 — не разрешено | ИСПОЛЬЗОВАНИЕ SD-карта запрещено, а USB-накопители отключены. Этот параметр не запрещает программный доступ к карта хранилища. |
| Обновления | ||
| Update/AllowUpdateService | 1 — разрешено | Разрешить доступ к Центру обновления Майкрософт, Windows Server Update Services (WSUS) или Microsoft Store. |
| Обновление и управлениеПредусмотровые сборки | 0. Отключение предварительных сборок | Запретить установку предварительных сборок на устройстве. |
1.2 ClientCertificateInstall CSP
Рекомендуется настроить этот поставщик служб конфигурации, но не рекомендуется использовать конкретные значения для каждого узла в этом поставщике служб.
1.3 . Поставщик служб конфигурации PassportForWork
| Имя узла | Значение | Описание |
|---|---|---|
| Tenant ID | TenantId | Глобальный уникальный идентификатор (GUID) без фигурных скобок ( { , } ), который используется в рамках Windows Hello для бизнеса подготовки и управления. |
| TenantId/Policies/UsePassportForWork | True | Задает Windows Hello для бизнеса в качестве метода для входа в Windows. |
| TenantId/Policies/RequireSecurityDevice | True | Требуется доверенный платформенный модуль (TPM) для Windows Hello для бизнеса. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Неверно | Модули TPM версии 1.2 можно использовать с Windows Hello для бизнеса. |
| TenantId/Policies/EnablePinRecovery | Неверно | Секрет восстановления ПИН-кода не создается и не сохраняется. |
| TenantId/Policies/UseCertificateForOnPremAuth | Неверно | ПИН-код подготавливается при входе пользователя, не дожидаясь полезных данных сертификата. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Длина ПИН-кода должна быть больше или равна этому числу. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Длина ПИН-кода должна быть меньше или равна этому числу. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Цифры являются обязательными, а все остальные наборы символов не допускаются. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Цифры являются обязательными, а все остальные наборы символов не допускаются. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Не позволяет использовать специальные символы в ПИН-коде. |
| TenantId/Policies/PINComplexity/Digits | 0 | Позволяет использовать цифры в ПИН-коде. |
| TenantId/Policies/PINComplexity/History | 10 | Число прошлых ПИН-кодов, которые можно связать с учетной записью пользователя, которую нельзя использовать повторно. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Период времени (в днях) использования ПИН-кода до того, как система потребует от пользователя изменить его. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Неверно | Приложения не используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карта, а биометрические факторы доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата. |
1.4 CSP RootCATrustedCertificates
Рекомендуется настраивать узлы Root, CA, TrustedPublisher и TrustedPeople в этом CSP, но не рекомендуется использовать определенные значения для каждого узла в этом поставщике служб.
1.5 CSP TenantLockdown
| Имя узла | Значение | Описание |
|---|---|---|
| RequireNetworkInOOBE | True | Когда устройство проходит через OOBE при первом входе или после сброса, пользователь должен выбрать сеть, прежде чем продолжить. Параметр "Пропустить сейчас" не существует. Этот параметр гарантирует, что устройство остается привязанным к клиенту в случае случайного или преднамеренного сброса или очистки. |
1.6 VPNv2 CSP
Рекомендуется настроить этот поставщик служб CSP, но у нас нет рекомендаций по конкретным значениям для каждого узла в этом поставщике служб. Большинство параметров связаны со средой клиента.
1.7 WiFi CSP
Рекомендуется настроить этот поставщик служб CSP, но у нас нет рекомендаций по конкретным значениям для каждого узла в этом поставщике служб. Большинство параметров связаны со средой клиента.
2 Параметры расширенных базовых показателей безопасности
В следующих разделах описываются рекомендуемые параметры каждого CSP в рамках расширенного базового профиля безопасности.
2.1 Поставщик служб CSP политики
| Имя политики | Значение | Описание |
|---|---|---|
| Учетные записи | ||
| Accounts/AllowMicrosoftAccountConnection | 0 — не разрешено | Ограничьте использование учетной записи MSA для проверки подлинности подключения и служб, не связанных с электронной почтой. |
| Управление приложениями | ||
| ApplicationManagement/AllowAllTrustedApps | 0 — явное отклонение | Явно запретить приложения, не относящиеся к Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 — разрешено | Разрешить автоматическое обновление приложений из Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 — явное отклонение | Ограничьте пользователю разблокировку режима разработчика, который позволяет пользователю устанавливать приложения на устройстве из интегрированной среды разработки. |
| Аутентификация | ||
| Authentication/AllowFastReconnect | 0 — не разрешено | Запретить попытку быстрого повторного подключения EAP для протокола TLS метода EAP. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 — не разрешено | Другие устройства не смогут обнаружить это устройство. |
| Браузер | ||
| Browser/AllowAutofill | 0 — запрещено или запрещено | Запретить пользователям использовать функцию автозаполнения для автоматического заполнения полей формы в Microsoft Edge. |
| Browser/AllowCookies | 1 – Блокировать только файлы cookie с сторонних веб-сайтов | Блокировать только файлы cookie с сторонних веб-сайтов. |
| Browser/AllowDoNotTrack | 0 — никогда не отправлять сведения об отслеживании | Никогда не отправляйте данные отслеживания. |
| Браузер/AllowPasswordManager | 0 — не разрешено | Запретить Microsoft Edge использовать диспетчер паролей. |
| Browser/AllowPopups | 1 — включение блокирования всплывающих окон | Включите блокирование всплывающих окон, чтобы запретить открытие всплывающих окон. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 — запрещено или запрещено | Скрытие предложений поиска в адресной строке Microsoft Edge. |
| Browser/AllowSmartScreen | 1 — включен | Включает Защитник Windows SmartScreen и запрещает пользователям отключать его. |
| Соединение | ||
| Connectivity/AllowBluetooth | 0 — запретить Bluetooth | Панель управления Bluetooth неактивна, и пользователь не сможет включить Bluetooth. |
| Connectivity/AllowUSBConnection | 0 — не разрешено | Отключает USB-подключение между устройством и компьютером для синхронизации файлов с устройством или использования средств разработчика для развертывания или отладки приложений. |
| Блокировка устройства | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 — не разрешено | Запретить возврат из бездействия без ПИН-кода или пароля. |
| DeviceLock/AllowSimpleDevicePassword | 0 — заблокировано | Блокировка ПИН-кодов или паролей, таких как "1111" или "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 — требуется пароль или буквенно-цифровой ПИН-код | Требовать пароль или буквенно-цифровой ПИН-код. |
| DeviceLock/DevicePasswordEnabled | 0 — включено | Блокировка устройства включена. |
| DeviceLock/DevicePasswordHistory | Целое число X, где 0 < X < 50Рекомендуемое значение: 15 | Указывает, сколько паролей, недоступных для использования, вмещает журнал. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Целое число X с 4 < X < 16 для клиентских устройствРекомендуемое значение: 10 | Число неудачных попыток проверки подлинности до очистки устройства. |
| DeviceLock/MaxInactivityTimeDeviceLock | Целое число X с 0 < X < 999 Рекомендуемое значение: 3 | Указывает максимальное время (в минутах) после простоя устройства, которое приведет к блокировке ПИН-кода или пароля. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 . Требуются цифры, строчные и прописные буквы | Число типов сложных элементов (прописные и строчные буквы, цифры и знаки пунктуации) для надежного ПИН-кода или пароля. |
| DeviceLock/MinDevicePasswordLength | Целое число X с 4 < X < 16 для клиентских устройствРекомендуемое значение: 12 | Указывает минимальное число или символы, необходимые в ПИН-коде или пароле. |
| Регистрация MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 — не разрешено | Запретить пользователю удалять рабочую учетную запись с помощью панели управления рабочей областью. |
| Удостоверение | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Количество дней, в течение которых кэш должен быть допустимымРекомендуемое значение: 7 дней | Количество дней, в течение которых кэш членства в Microsoft Entra группах должен быть допустимым. |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | Время простоя в секундахРекомендуемые значения: 60 секунд | Позволяет указать период бездействия, прежде чем Windows отключает дисплей. |
| Конфиденциальность | ||
| Конфиденциальность/LetAppsAccess AccountInfo |
2. Принудительное отклонение | Запрещает приложениям Windows доступ к сведениям об учетной записи. |
| Конфиденциальность/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Список имен семейств пакетов для приложений Windows с разделителями точками с запятой | Перечисленным приложениям Windows разрешен доступ к сведениям об учетной записи. |
| Конфиденциальность/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Список имен семейств пакетов для приложений Windows с разделителями точками с запятой | Перечисленным приложениям Windows отказано в доступе к сведениям об учетной записи. |
| Конфиденциальность/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Список имен семейств пакетов для приложений Windows с разделителями точками с запятой | Пользователь может управлять параметром конфиденциальности сведений об учетной записи для перечисленных приложений Windows. |
| Конфиденциальность/LetAppsAccess BackgroundSpatialPerception |
2. Принудительное отклонение | Запретить приложениям Windows доступ к перемещению головы пользователя, рук, контроллеров движений и других отслеживаемых объектов, пока приложения работают в фоновом режиме. |
| Конфиденциальность/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Список имен семейств пакетов приложений Магазина Windows с разделителями точками с запятой | Перечисленным приложениям разрешен доступ к перемещениям пользователя во время работы приложений в фоновом режиме. |
| Конфиденциальность/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Список имен семейств пакетов приложений Магазина Windows с разделителями точками с запятой | Перечисленным приложениям запрещается доступ к перемещениям пользователя во время работы приложений в фоновом режиме. |
| Конфиденциальность/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Список имен семейств пакетов приложений Магазина Windows с разделителями точками с запятой | Пользователь может управлять параметром конфиденциальности перемещения пользователей для перечисленных приложений. |
| Конфиденциальность/LetAppsAccess Microphone_ForceDenyTheseApps |
Список имен семейств пакетов приложений Microsoft Store с разделителями точками с запятой | Перечисленным приложениям запрещается доступ к микрофону. |
| Конфиденциальность/LetAppsAccess Microphone_UserInControlOfTheseApps |
Список имен семейств пакетов приложений Microsoft Store с разделителями точками с запятой | Пользователь может управлять параметрами конфиденциальности микрофона для перечисленных приложений. |
| Поиск | ||
| Поиск/AllowSearchToUseLocation | 0 — не разрешено | Запрет поиска для использования сведений о расположении. |
| Безопасность | ||
| Security/AllowAddProvisioningPackage | 0 — не разрешено | Запретить агенту конфигурации среды выполнения устанавливать пакеты подготовки. |
| Параметры | ||
| Settings/AllowVPN | 0 — не разрешено | Запретить пользователю изменять параметры VPN. |
| Settings/PageVisibilityList | Сокращенное имя страниц, видимых пользователю, предоставит пользовательский интерфейс для выбора или отмены выбора имен страниц. Рекомендуемые страницы для скрытия см. в комментариях. | Разрешить пользователю отображать только перечисленные страницы в приложении "Параметры". |
| Системные функции | ||
| System/AllowStorageCard | 0 — не разрешено | ИСПОЛЬЗОВАНИЕ SD-карта запрещено, а USB-накопители отключены. Этот параметр не запрещает программный доступ к карта хранилища. |
| System/AllowTelemetry | 0 — не разрешено | Запретить устройству отправлять данные телеметрии диагностики и использования, например Watson. |
| Обновления | ||
| Update/AllowUpdateService | 1 — разрешено | Разрешить доступ к Центру обновления Майкрософт, Windows Server Update Services (WSUS) или Microsoft Store. |
| Обновление и управлениеПредусмотровые сборки | 0. Отключение предварительных сборок | Запретить установку предварительных сборок на устройстве. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 — не разрешено | Запретить подключение к Wi-Fi за пределами сетей, установленных сервером MDM. |
2.2 Поставщик служб управления учетными записями
| Имя узла | Значение | Описание |
|---|---|---|
| UserProfileManagement/EnableProfileManager | True | Включите управление временем существования профиля для сценариев общего или общего устройства. |
| UserProfileManagement/DeletionPolicy | 2 — удалить при достижении порога емкости хранилища и порога бездействия профиля | Настраивает время удаления профилей. |
| UserProfileManagement/StorageCapacityStartDeletion | 25 % | Начните удаление профилей, когда доступная емкость хранилища падает ниже этого порогового значения, учитывая процент от общего объема хранилища, доступного для профилей. Профили, которые были неактивны дольше всего, будут удалены сначала. |
| UserProfileManagement/StorageCapacityStopDeletion | 50 % | Отмена удаления профилей при достижении этого порогового значения доступной емкости хранилища с учетом процента от общего объема хранилища, доступного для профилей. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Начните удаление профилей, когда они не были вошли в систему в течение указанного периода, заданного в качестве количества дней. |
2.3 Поставщик служб CSP ApplicationControl
| Имя узла | Значение | Описание |
|---|---|---|
| Идентификатор GUID политик и политик | Идентификатор политики в большом двоичном объекте политики | Идентификатор политики в большом двоичном объекте политики. |
| Политики/GUID политики/Политика | BLOB-объект политики | Двоичный BLOB-объект политики, закодированный в base64. |
2.4 ClientCertificateInstall CSP
Рекомендуется настроить этот поставщик служб конфигурации, но не рекомендуется использовать конкретные значения для каждого узла в этом поставщике служб.
2.5 Поставщик служб конфигурации PassportForWork
| Имя узла | Значение | Описание |
|---|---|---|
| Tenant ID | TenantId | Глобальный уникальный идентификатор (GUID) без фигурных скобок ( { , } ), который используется в рамках Windows Hello для бизнеса подготовки и управления. |
| TenantId/Policies/UsePassportForWork | True | Задает Windows Hello для бизнеса в качестве метода для входа в Windows. |
| TenantId/Policies/RequireSecurityDevice | True | Требуется доверенный платформенный модуль (TPM) для Windows Hello для бизнеса. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Неверно | Модули TPM версии 1.2 можно использовать с Windows Hello для бизнеса. |
| TenantId/Policies/EnablePinRecovery | Неверно | Секрет восстановления ПИН-кода не создается и не сохраняется. |
| TenantId/Policies/UseCertificateForOnPremAuth | Неверно | ПИН-код подготавливается, когда пользователь входит в систему, не дожидаясь полезных данных сертификата. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | Длина ПИН-кода должна быть больше или равна этому числу. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | Длина ПИН-кода должна быть меньше или равна этому числу. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Цифры являются обязательными, а все остальные наборы символов запрещены. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Цифры являются обязательными, а все остальные наборы символов запрещены. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Не допускает использования специальных символов в ПИН-коде. |
| TenantId/Policies/PINComplexity/Digits | 0 | Позволяет использовать цифры в ПИН-коде. |
| TenantId/Policies/PINComplexity/History | 10 | Число прошлых ПИН-кодов, которые можно связать с учетной записью пользователя, которую нельзя использовать повторно. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Период времени (в днях), когда МОЖНО использовать ПИН-код, прежде чем система потребует от пользователя изменить его. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Неверно | Приложения не используют Windows Hello для бизнеса сертификаты в качестве интеллектуальных сертификатов карта, а биометрические факторы доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата. |
2.6 CSP RootCATrustedCertificates
Рекомендуется настраивать узлы Root, CA, TrustedPublisher и TrustedPeople в этом CSP, но не рекомендуется указывать конкретные значения для каждого узла в этом CSP.
2.7 CSP TenantLockdown
| Имя узла | Значение | Описание |
|---|---|---|
| RequireNetworkInOOBE | True | Когда устройство проходит через OOBE при первом входе или после сброса, пользователь должен выбрать сеть, прежде чем продолжить. Параметр "Пропустить сейчас" не существует. Это гарантирует, что устройство остается привязанным к клиенту в случае случайного или преднамеренного сброса или очистки. |
2.8 VPNv2 CSP
Рекомендуется настраивать профили VPN, но не рекомендуется использовать конкретные значения для каждого узла в этом CSP. Большинство параметров связаны со средой клиента.
2.9 Поставщик служб конфигурации Wi-Fi
Рекомендуется настраивать профили Wi-Fi, но не рекомендуется использовать конкретные значения для каждого узла в этом CSP. Большинство параметров связаны со средой клиента.
Включение этих базовых линий безопасности
- Просмотрите базовые показатели безопасности и решите, что следует применить.
- Определите группы Azure, которым будет назначен базовый план. (Дополнительные сведения о пользователях и группах)
- Создайте базовый план.
Ниже описано, как создать базовые показатели.
Многие параметры можно добавить с помощью каталога параметров, однако иногда может быть параметр, который еще не был заполнен в каталоге параметров. В таких случаях вы будете использовать пользовательскую политику или OMA-URI (Open Mobile Alliance — универсальный идентификатор ресурса). Начните с поиска в каталоге параметров, и если он не найден, следуйте приведенным ниже инструкциям по созданию настраиваемой политики с помощью OMA-URI.
Каталог параметров
Войдите в свою учетную запись в Центре администрирования MEM.
- Перейдите в раздел Устройства ->Профили конфигурации ->+Создать профиль. Для параметра Платформа выберите Windows 10 и более поздних версий, а для типа профиля выберите Каталог параметров (предварительная версия) .
- Создайте имя профиля и нажмите кнопку Далее .
- На экране Параметры конфигурации выберите + Добавить параметры.
Используя имя политики из приведенного выше базового плана, можно выполнить поиск политики. В каталоге параметров будет указано имя, поэтому для поиска "Accounts/AllowMicrosoftAccountConnection" необходимо выполнить поиск "Разрешить подключение к учетной записи Майкрософт". После поиска вы увидите список политик, сокращенный только до CSP, у которого есть эта политика. Выберите Учетные записи (или соответствующий CSP для текущего поиска). После этого вы увидите приведенный ниже результат политики. Установите флажок для политики.
После этого на панели слева будет добавлена категория CSP и добавленный параметр. Здесь вы можете настроить его из параметра по умолчанию в еще один безопасный.
Вы можете продолжать добавлять несколько конфигураций в один и тот же профиль, что упростит назначение сразу.
Добавление пользовательских политик OMA-URI
Некоторые политики могут быть недоступны в каталоге параметров. Для этих политик необходимо создать пользовательский профиль OMA-URI. Войдите в свою учетную запись в Центре администрирования MEM.
- Перейдите в раздел Устройства ->Профили конфигурации ->+Создать профиль. Для параметра Платформа выберите Windows 10 и более поздних версий, а для типа профиля выберите Шаблоны и выберите Настраиваемые.
- Создайте имя профиля и нажмите кнопку Далее .
- Нажмите кнопку Добавить.
Вам потребуется заполнить несколько полей.
- Имя. Вы можете присвоить ему любое имя, связанное с политикой. Это может быть сокращенное имя, используемое для его распознавания.
- Описание будет иметь более подробные сведения, которые могут потребоваться.
- OMA-URI будет полной строкой OMA-URI, где находится политика. Пример:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Тип данных — это тип значения, который принимает эта политика. В этом примере это число от 0 до 60, поэтому было выбрано целое число.
- Выбрав тип данных, вы сможете записать или отправить необходимое значение в поле.
После этого политика будет добавлена в окно main. Вы можете продолжать добавлять все настраиваемые политики в одну и ту же пользовательскую конфигурацию. Это помогает сократить управление несколькими конфигурациями устройств и упрощает назначение.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по