İngilizce dilinde oku

Aracılığıyla paylaş


HoloLens 2 güvenlik temelleri

Önemli

Bu güvenlik temelinde kullanılan ilkelerden bazıları, en son Insider derlemesinde. Bu ilkeler yalnızca en son Insider derlemesine güncelleştirilmiş cihazlarda çalışır.

Bu makalede, Yapılandırma Hizmeti Sağlayıcılarını (CSP) kullanarak HoloLens 2'de yapılandırabileceğiniz çeşitli güvenlik temeli ayarları listelenir ve açıklanmaktadır. Microsoft Endpoint Manager kullanarak mobil cihaz yönetiminizin bir parçası olarak (resmi olarak Microsoft Intune olarak bilinir), kuruluş ilkelerinize ve gereksinimlerinize bağlı olarak aşağıdaki standart veya gelişmiş güvenlik temeli ayarlarını kullanın. Kuruluş kaynaklarınızın korunmasına yardımcı olması için bu güvenlik temeli ayarlarını kullanın.

  • Standart güvenlik temeli ayarları, kullanım örneği senaryosundan ve sektör dikeyden bağımsız olarak tüm kullanıcı türleri için geçerlidir.
  • Gelişmiş güvenlik temeli ayarları, ortamları için sıkı güvenlik denetimlerine sahip olan ve ortamlarında kullanılan cihazlar için sıkı güvenlik ilkeleri gerektiren kullanıcılar için önerilen ayarlardır.

Bu güvenlik temeli ayarları, Microsoft'un holoLens 2 cihazlarını çeşitli sektörlerdeki müşterilere dağıtma ve destekleme konusunda edinmiş olduğu en iyi uygulama yönergelerine ve deneyimine dayanır.

Güvenlik temelini gözden geçirdikten ve hem hem de parçalarını kullanmaya karar verdikten sonra bu güvenlik temel hatlarını nasıl etkinleştirileceğine göz atın

1. Standart güvenlik temeli ayarları

Aşağıdaki bölümlerde, standart güvenlik temeli profilinin bir parçası olarak her CSP'nin önerilen ayarları açıklanmaktadır.

İlke Adı Değer Açıklama
Hesapları
Hesapları/AllowMicrosoftAccountConnection 0 – İzin Verilmiyor Kullanıcıyı e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanacak şekilde kısıtlayın.
uygulama yönetimi
ApplicationManagement/AllowAllTrustedApps 0 - Açıkça reddetme Microsoft Store dışı uygulamaları açıkça reddedin.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – İzin verildi Microsoft Store'dan uygulamaların otomatik olarak güncelleştirilebilmesine izin verin.
ApplicationManagement/AllowDeveloperUnlock 0 - Açıkça reddetme Kullanıcının IDE'den cihaza uygulama yüklemesini sağlayan geliştirici modunun kilidini açmasını kısıtlayın.
Browser
Browser/AllowCookies 1 – Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelle Bu ilkeyle, Microsoft Edge'i yalnızca üçüncü taraf tanımlama bilgilerini engelleyecek veya tüm tanımlama bilgilerini engelleyecek şekilde yapılandırabilirsiniz.
Browser/AllowPasswordManager 0 – İzin verilmiyor Microsoft Edge'in parola yöneticisini kullanmasına izin verme.
Browser/AllowSmartScreen 1 – Açık Windows Defender SmartScreen'i açar ve kullanıcıların kapatmasını engeller.
Bağlantı
Bağlantısı/AllowUSBConnection 0 – İzin verilmiyor Dosyaları cihazla eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasındaki USB bağlantısını devre dışı bırakır.
Cihaz Kilidi
DeviceLock/AllowIdleReturnWithoutPassword 0 – İzin verilmiyor PIN veya parola olmadan boşta kalma süresine izin verme.
DeviceLock/AllowSimpleDevicePassword 0 – Engellendi PIN'leri veya "1111" veya "1234" gibi parolaları engelleyin.
DeviceLock/AlphanumericDevicePasswordRequired 1 – Parola veya Sayısal PIN gerekli Parola veya alfasayısal PIN iste.
DeviceLock/DevicePasswordEnabled 0 – Etkin Cihaz kilidi etkinleştirildi.
DeviceLock/MaxInactivityTimeDeviceLock 0 < X < 999 Önerilen değer olan X tamsayı: 3 Cihaz boşta kaldığında cihazın PIN veya parola kilitlenmesine neden olacak en fazla süreyi (dakika olarak) belirtir.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Yalnızca basamaklar Güçlü bir PIN veya parola için gereken karmaşık öğe türlerinin sayısı (büyük ve küçük harfler, sayılar ve noktalama işaretleri).
DeviceLock/MinDevicePasswordLength İstemci cihazları için 4 < X < 16 olan bir X tamsayıSık değeri: 8 PIN veya parolada gereken en düşük sayı veya karakterleri belirtir.
MDM Kaydı
Deneyimi/AllowManualMDMUnenrollment 0 – İzin verilmiyor Kullanıcının iş yeri denetim masasını kullanarak çalışma alanı hesabını silmesine izin verme.
kimlik
MixedReality/AADGroupMembershipCacheValidityInDays Önbelleğin geçerli olacağı gün sayısıKodulanan değer: 7 gün Microsoft Entra grup üyeliği önbelleğinin geçerli olması gereken gün sayısı.
Power
Power/DisplayOffTimeoutPluggedIn Saniye cinsinden boşta kalma süresiKoşulu değerler: 60 sn Windows ekranı kapatmadan önce etkinlik dışı kalma süresini belirtmenize olanak tanır.
Ayarları
Ayarları/AllowVPN 0 – İzin verilmiyor Kullanıcının VPN ayarlarını değiştirmesine izin verme.
Ayarlar/PageVisibilityList Kullanıcıya görünen sayfaların kısaltılmış adı. Sayfa adlarını seçmek veya seçimini kaldırmak için bir kullanıcı arabirimi sağlar. Gizlenecek önerilen sayfalar için açıklamalara bakın. Ayarlar uygulamasında kullanıcıya yalnızca listelenen sayfaların görüntülenmesine izin verin.
sistem
System/AllowStorageCard 0 – İzin verilmiyor SD kart kullanımına izin verilmez ve USB sürücüleri devre dışı bırakılır. Bu ayar, depolama kartına program aracılığıyla erişimi engellemez.
Güncelleştirmeleri
Update/AllowUpdateService 1 – İzin verildi Microsoft Update, Windows Server Update Services (WSUS) veya Microsoft Store'a erişime izin verin.
Update/ManagePreviewBuilds 0 - Önizleme derlemelerini devre dışı bırakma Önizleme sürümlerinin cihaza yüklenmesine izin verme.

Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler için önerileriniz yoktur.

düğüm adı Değer Açıklama
Kiracı Kimliği TenantId İş İçin Windows Hello sağlama ve yönetiminin bir parçası olarak kullanılan küme ayracı ( { , } ) içermeyen genel benzersiz tanımlayıcı (GUID).
TenantId/Policies/UsePassportForWork Doğru İş İçin Windows Hello'yu Windows'ta oturum açmak için bir yöntem olarak ayarlar.
TenantId/Policies/RequireSecurityDevice Doğru İş İçin Windows Hello için Güvenilir Platform Modülü (TPM) gerektirir.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Yanlış TPM düzeltmesi 1.2 modüllerinin İş İçin Windows Hello ile kullanılmasına izin verilir.
TenantId/Policies/EnablePinRecovery Yanlış PIN kurtarma gizli dizisi oluşturulmaz veya depolanmaz.
TenantId/Policies/UseCertificateForOnPremAuth Yanlış PIN, kullanıcı bir sertifika yükü beklemeden oturum açtığında sağlanır.
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN uzunluğu bu sayıdan büyük veya buna eşit olmalıdır.
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN uzunluğu bu sayıya eşit veya daha küçük olmalıdır.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez.
TenantId/Policies/PINComplexity/SpecialCharacters 2 PIN'te özel karakterlerin kullanılmasına izin vermez.
TenantId/Policies/PINComplexity/Digits 0 PIN'te basamak kullanımına izin verir.
TenantId/Policies/PINComplexity/History 10 Yeniden kullanılamayan bir kullanıcı hesabıyla ilişkilendirilebilen geçmiş PIN sayısı.
TenantId/Policies/PINComplexity/Expiration 90 Sistem, kullanıcının PIN'i değiştirmesini gerektirmeden önce PIN'in kullanılabilmesi için gereken süre (gün cinsinden).
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Yanlış Uygulamalar akıllı kart sertifikaları olarak İş İçin Windows Hello sertifikalarını kullanmaz ve kullanıcıdan sertifikanın özel anahtarının kullanımını yetkilendirmesi istendiğinde biyometrik faktörler kullanılabilir.

Bu CSPkök, CA, TrustedPublisher ve TrustedPeople düğümlerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önerilmez.

düğüm adı Değer Açıklama
RequireNetworkInOOBE Doğru Cihaz ilk oturum açmada veya sıfırlandıktan sonra OOBE'yi geçtiğinde, devam etmeden önce kullanıcının bir ağ seçmesi gerekir. "Şimdilik atla" seçeneği yoktur. Bu seçenek, yanlışlıkla veya kasıtlı sıfırlama veya silme işlemleri durumunda cihazın kiracıya bağlı kalmasını sağlar.

Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerilerimiz yoktur. Ayarların çoğu müşteri ortamıyla ilgilidir.

Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerilerimiz yoktur. Ayarların çoğu müşteri ortamıyla ilgilidir.

2 Gelişmiş güvenlik temeli ayarları

Aşağıdaki bölümlerde, gelişmiş güvenlik temeli profilinin bir parçası olarak her CSP'nin önerilen ayarları açıklanmaktadır.

İlke Adı Değer Açıklama
Hesapları
Hesapları/AllowMicrosoftAccountConnection 0 – İzin Verilmiyor Kullanıcıyı e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanacak şekilde kısıtlayın.
uygulama yönetimi
ApplicationManagement/AllowAllTrustedApps 0 - Açıkça reddetme Microsoft Store dışı uygulamaları açıkça reddedin.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – İzin verildi Microsoft Store'dan uygulamaların otomatik olarak güncelleştirilebilmesine izin verin.
ApplicationManagement/AllowDeveloperUnlock 0 - Açıkça reddetme Kullanıcının IDE'den cihaza uygulama yüklemesini sağlayan geliştirici modunun kilidini açmasını kısıtlayın.
kimlik doğrulaması
Kimlik Doğrulaması/AllowFastReconnect 0 – İzin verilmiyor EAP Hızlı Yeniden Bağlantı'nın EAP Yöntemi TLS için denenmesini engelin.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – İzin verilmiyor Diğer cihazlar bu cihazı algılayamaz.
Browser
Browser/AllowAutofill 0 – Engellendi/izin verilmiyor Kullanıcıların Microsoft Edge'deki form alanlarını otomatik olarak doldurmak için Otomatik Doldurma özelliğini kullanmasını önleyin.
Browser/AllowCookies 1 – Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelle Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelleyin.
Browser/AllowDoNotTrack 0 - İzleme bilgilerini hiçbir zaman gönderme İzleme bilgilerini hiçbir zaman göndermeyin.
Browser/AllowPasswordManager 0 – İzin verilmiyor Microsoft Edge'in parola yöneticisini kullanmasına izin verme.
Browser/AllowPopups 1 – Açılır Pencere Engelleyiciyi aç Açılır pencerelerin açılmasını durduran Açılır Pencere Engelleyicisi'nin açılmasını açın.
Browser/AllowSearchSuggestionsinAddressBar 0 – Engellendi/izin verilmiyor Microsoft Edge'in Adres çubuğunda arama önerilerini gizleyin.
Browser/AllowSmartScreen 1 – Açık Windows Defender SmartScreen'i açar ve kullanıcıların kapatmasını engeller.
Bağlantı
Bağlantısı/AllowBluetooth 0 – Bluetooth'a izin verme Bluetooth denetim masası gri renktedir ve kullanıcı Bluetooth'u açamaz.
Bağlantısı/AllowUSBConnection 0 – İzin verilmiyor Dosyaları cihazla eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasındaki USB bağlantısını devre dışı bırakır.
Cihaz Kilidi
DeviceLock/AllowIdleReturnWithoutPassword 0 – İzin verilmiyor PIN veya parola olmadan boşta kalma süresine izin verme.
DeviceLock/AllowSimpleDevicePassword 0 – Engellendi PIN'leri veya "1111" veya "1234" gibi parolaları engelleyin.
DeviceLock/AlphanumericDevicePasswordRequired 0 – Parola veya Alfasayısal PIN gerekli Parola veya alfasayısal PIN iste.
DeviceLock/DevicePasswordEnabled 0 – Etkin Cihaz kilidi etkinleştirildi.
DeviceLock/DevicePasswordHistory X tamsayısı; burada 0 < X < 50Recommended değeri: 15 Geçmişte kullanılamayabilecek kaç parolanın depolanabileceğini belirtir.
DeviceLock/MaxDevicePasswordFailedAttempts İstemci cihazları için 4 < X < 16 olan bir X tamsayıSık değeri: 10 Cihaz silinmeden önce izin verilen kimlik doğrulama hatası sayısı.
DeviceLock/MaxInactivityTimeDeviceLock 0 < X < 999 Önerilen değer olan X tamsayı: 3 Cihaz boşta kaldığında cihazın PIN veya parola kilitlenmesine neden olacak en fazla süreyi (dakika olarak) belirtir.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Basamaklar, küçük harfler ve büyük harfler gereklidir Güçlü bir PIN veya parola için gereken karmaşık öğe türlerinin sayısı (büyük ve küçük harfler, sayılar ve noktalama işaretleri).
DeviceLock/MinDevicePasswordLength İstemci cihazları için 4 < X < 16 olan bir X tamsayıKodu değeri: 12 PIN veya parolada gereken en düşük sayı veya karakterleri belirtir.
MDM Kaydı
Deneyimi/AllowManualMDMUnenrollment 0 – İzin verilmiyor Kullanıcının iş yeri denetim masasını kullanarak çalışma alanı hesabını silmesine izin verme.
kimlik
MixedReality/AADGroupMembershipCacheValidityInDays Önbelleğin geçerli olacağı gün sayısıKodulanan değer: 7 gün Microsoft Entra grup üyeliği önbelleğinin geçerli olması gereken gün sayısı.
Power
Power/DisplayOffTimeoutPluggedIn Saniye cinsinden boşta kalma süresiKoşulu değerler: 60 sn Windows ekranı kapatmadan önce etkinlik dışı kalma süresini belirtmenize olanak tanır.
Gizlilik
Gizlilik/LetAppsAccess
AccountInfo
2 - Reddetmeye zorlama Windows uygulamalarının hesap bilgilerine erişimini reddeder.
Gizlilik/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Listelenen Windows uygulamalarının hesap bilgilerine erişmesine izin verilir.
Gizlilik/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Listelenen Windows uygulamalarının hesap bilgilerine erişimi reddedildi.
Gizlilik/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Kullanıcı, listelenen Windows uygulamaları için hesap bilgileri gizlilik ayarını denetleyebiliyor.
Gizlilik/LetAppsAccess
BackgroundSpatialPerception
2 - Reddetmeye zorlama Windows uygulamalarının arka planda çalışırken kullanıcının kafasının, ellerinin, hareket denetleyicilerinin ve diğer izlenen nesnelerin hareketine erişimini reddedin.
Gizlilik/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Listelenen uygulamaların arka planda çalışırken kullanıcının hareketlerine erişmesine izin verilir.
Gizlilik/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Listelenen uygulamaların arka planda çalışırken kullanıcının hareketlerine erişimi reddedilir.
Gizlilik/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Kullanıcı, listelenen uygulamalar için kullanıcı hareketleri gizlilik ayarını denetleyebiliyor.
Gizlilik/LetAppsAccess
Microphone_ForceDenyTheseApps
Microsoft Store Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Listelenen uygulamaların mikrofona erişimi reddedilir.
Gizlilik/LetAppsAccess
Microphone_UserInControlOfTheseApps
Microsoft Store Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi Kullanıcı, listelenen uygulamalar için mikrofon gizlilik ayarını denetleyebiliyor.
arama
Arama/AllowSearchToUseLocation 0 – İzin verilmiyor Aramanın konum bilgilerini kullanmasına izin verme.
Güvenlik
Security/AllowAddProvisioningPackage 0 – İzin verilmiyor Çalışma zamanı yapılandırma aracısının sağlama paketlerini yüklemesine izin verme.
Ayarları
Ayarları/AllowVPN 0 – İzin verilmiyor Kullanıcının VPN ayarlarını değiştirmesine izin verme.
Ayarlar/PageVisibilityList Kullanıcı tarafından görünen sayfaların kısaltılmış adıSayılan adları seçmek veya seçimini kaldırmak için bir kullanıcı arabirimi sağlar. Gizlenecek önerilen sayfalar için açıklamalara bakın. Ayarlar uygulamasında kullanıcıya yalnızca listelenen sayfaların görüntülenmesine izin verin.
sistem
System/AllowStorageCard 0 – İzin verilmiyor SD kart kullanımına izin verilmez ve USB sürücüleri devre dışı bırakılır. Bu ayar, depolama kartına program aracılığıyla erişimi engellemez.
Sistem/AllowTelemetry 0 - İzin verilmiyor Cihazın Watson gibi tanılama ve kullanım telemetri verilerini göndermesine izin verme.
Güncelleştirmeleri
Update/AllowUpdateService 1 – İzin verildi Microsoft Update, Windows Server Update Services (WSUS) veya Microsoft Store'a erişime izin verin.
Update/ManagePreviewBuilds 0 - Önizleme derlemelerini devre dışı bırakma Önizleme sürümlerinin cihaza yüklenmesine izin verme.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – İzin verilmiyor MDM sunucusu tarafından yüklenen ağların dışındaki Wi-Fi bağlanmaya izin verme.
düğüm adı Değer Açıklama
UserProfileManagement/EnableProfileManager Doğru Paylaşılan veya ortak cihaz senaryoları için profil yaşam süresi yönetimini etkinleştirin.
UserProfileManagement/DeletionPolicy 2 - hem depolama kapasitesi eşiğinde hem de profil etkinlik dışı eşiğinde silme Profillerin ne zaman silineceğini yapılandırılır.
UserProfileManagement/StorageCapacityStartDeletion 25% Kullanılabilir depolama kapasitesi bu eşiğin altına düştüğünde profilleri silmeye başlayın; profiller için kullanılabilir toplam depolama yüzdesi olarak verilir. En uzun süre etkin olmayan profiller önce silinir.
UserProfileManagement/StorageCapacityStopDeletion 50% Kullanılabilir depolama kapasitesi bu eşiğe getirildiğinde profilleri silmeyi durdurun; profiller için kullanılabilir toplam depolama yüzdesi olarak verilir.
UserProfileManagement/ProfileInactivityThreshold 30 Belirtilen süre boyunca oturum açmadıklarında profilleri silmeye başlayın (gün sayısı olarak verilir).
düğüm adı Değer Açıklama
İlkeler/İlke GUID'i İlke blobunda İlke Kimliği İlke blobunda ilke kimliği.
İlkeler/İlke GUID/policy İlkesi blob base64'te kodlanmış ilke ikili blobu.

Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler için önerileriniz yoktur.

düğüm adı Değer Açıklama
Kiracı Kimliği TenantId İş İçin Windows Hello sağlama ve yönetiminin bir parçası olarak kullanılan küme ayracı ( { , } ) içermeyen genel benzersiz tanımlayıcı (GUID).
TenantId/Policies/UsePassportForWork Doğru İş İçin Windows Hello'yu Windows'ta oturum açmak için bir yöntem olarak ayarlar.
TenantId/Policies/RequireSecurityDevice Doğru İş İçin Windows Hello için Güvenilir Platform Modülü (TPM) gerektirir.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Yanlış TPM düzeltmesi 1.2 modüllerinin İş İçin Windows Hello ile kullanılmasına izin verilir.
TenantId/Policies/EnablePinRecovery Yanlış PIN kurtarma gizli dizisi oluşturulmaz veya depolanmaz.
TenantId/Policies/UseCertificateForOnPremAuth Yanlış PIN, kullanıcı oturum açtığında sertifika yükünü beklemeden sağlanır.
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN uzunluğu bu sayıdan büyük veya buna eşit olmalıdır.
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN uzunluğu bu sayıya eşit veya daha küçük olmalıdır.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez.
TenantId/Policies/PINComplexity/SpecialCharacters 2 PIN'te özel karakterlerin kullanılmasına izin vermez.
TenantId/Policies/PINComplexity/Digits 0 PIN'te basamak kullanımına izin verir.
TenantId/Policies/PINComplexity/History 10 Yeniden kullanılamayan bir kullanıcı hesabıyla ilişkilendirilebilen geçmiş PIN sayısı.
TenantId/Policies/PINComplexity/Expiration 90 Sistem, kullanıcının PIN'i değiştirmesini gerektirmeden önce PIN'in kullanılabilmesi için gereken süre (gün cinsinden).
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Yanlış Uygulamalar akıllı kart sertifikaları olarak İş İçin Windows Hello sertifikalarını kullanmaz ve kullanıcıdan sertifikanın özel anahtarının kullanımını yetkilendirmesi istendiğinde biyometrik faktörler kullanılabilir.

Bu CSP'deki Kök, CA, TrustedPublisher ve TrustedPeople düğümlerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermiyoruz.

düğüm adı Değer Açıklama
RequireNetworkInOOBE Doğru Cihaz ilk oturum açmada veya sıfırlandıktan sonra OOBE'yi geçtiğinde, devam etmeden önce kullanıcının bir ağ seçmesi gerekir. "Şimdilik atla" seçeneği yoktur. Bu, yanlışlıkla veya kasıtlı sıfırlama veya silme işlemleri durumunda cihazın kiracıya bağlı kalmasını sağlar.

VPN profillerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermeyiz. Ayarların çoğu müşteri ortamıyla ilgilidir.

WiFi profillerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermeyiz. Ayarların çoğu müşteri ortamıyla ilgilidir.

Bu güvenlik temel hatlarını etkinleştirme

  1. Güvenlik temelini gözden geçirin ve nelerin uygulanacağını belirleyin.
  2. Temeli atayabileceğiniz Azure Gruplarını belirleyin. (Kullanıcılar ve gruplarhakkında daha fazla bilgi )
  3. Temeli oluşturun.

Temeli şu şekilde oluşturabilirsiniz.

Ayarların çoğu Ayarlar kataloğu kullanılarak eklenebilir, ancak bazen Ayarlar kataloğuna henüz doldurulmamış bir ayar olabilir. Böyle durumlarda Özel ilke veya OMA-URI (Open Mobile Alliance - Tekdüzen Kaynak Tanımlayıcısı) kullanacaksınız. Ayarlar kataloğuna bakarak başlayın ve bulunamazsa, OMA-URI aracılığıyla özel ilke oluşturmak için aşağıdaki yönergeleri izleyin.

Ayarlar kataloğu

MEM yönetim merkezihesabınızda oturum açın.

  1. Cihazlar ->Yapılandırma profilleri ->+Profil oluşturgidin. Platform için Windows 10 ve üzeriseçin ve profil türü için ayarlar kataloğu (önizleme)seçin.
  2. Profil için bir ad oluşturun ve sonraki düğmesini seçin.
  3. Yapılandırma ayarları ekranında + Ayarlar ekleöğesini seçin.

Yukarıdaki temelden ilkenin adını kullanarak ilkeyi arayabilirsiniz. Ayarlar kataloğu adın dışına çıkar, bu nedenle "Hesaplar/AllowMicrosoftAccountConnection" öğesini bulmak için "Microsoft Hesabı Bağlantısına İzin Ver" araması yapmanız gerekir. Arama yaptıktan sonra, ilke listesinin yalnızca bu ilkeye sahip olan CSP'ye indirgendiğini görürsünüz. Hesapları (veya geçerli arama yaptığınız işlemle ilgili CSP'yi) seçin. İlke sonucunu aşağıda görürsünüz. İlke kutusunu işaretleyin.

Ayarlar seçici seçeneğinin ekran görüntüsü.

İşiniz bittiğinde, soldaki panel CSP kategorisini ve eklediğiniz ayarı ekler. Buradan, varsayılan ayardan bir tane daha güvenli olacak şekilde yapılandırabilirsiniz.

Ayarlar kataloğunun ekran görüntüsü.

Aynı profile birden çok yapılandırma eklemeye devam edebilirsiniz ve bu da aynı anda atamayı kolaylaştırır.

Özel OMA-URI ilkeleri ekleme

Bazı ilkeler henüz Ayarlar kataloğunda kullanılamayabilir. Bu ilkeler içinözel bir OMA-URI profili oluşturmanız gerekir. MEM yönetim merkezihesabınızda oturum açın.

  1. Cihazlar ->Yapılandırma profilleri ->+Profil oluşturgidin. Platform için Windows 10 ve üzeriseçin ve profil türü için Şablonlar'i seçin ve özelseçin.
  2. Profil için bir ad oluşturun ve sonraki düğmesini seçin.
  3. Ekle düğmesini seçin.

Birkaç alan doldurmanız gerekir.

  • Ad: İlkeyle ilgili olarak ihtiyacınız olan her şeyi adlandırabilirsiniz. Bu, tanımak için kullandığınız bir kısaltma adı olabilir.
  • Açıklama, ihtiyacınız olabilecek diğer ayrıntılar olacaktır.
  • OMA-URI, ilkenin bulunduğu tam OMA-URI dizesi olacaktır. Örnek: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Veri türü, bu ilkenin kabul edilen değer türüdür. Bu örnekte 0 ile 60 arasında bir sayı olduğundan Tamsayı seçilmiştir.
  • Veri türünü seçtikten sonra, alana gereken değeri yazabilecek veya karşıya yükleyebilirsiniz.

OMA-URI yapılandırmasının ekran görüntüsü .

İşlem tamamlandıktan sonra ilkeniz ana pencereye eklenir. Tüm özel ilkelerinizi aynı özel yapılandırmaya eklemeye devam edebilirsiniz. Bu, birden çok cihaz yapılandırmasının yönetilmesini azaltmaya yardımcı olur ve atamayı kolaylaştırır.

OMA-URI yapılandırmasının ekran görüntüsü.