Güvenlik temellerini HoloLens 2
Önemli
Bu güvenlik temelinde kullanılan ilkelerden bazıları en son Insider derlememizde sunulmuştur. Bu ilkeler yalnızca en son Insider derlemesine güncelleştirilmiş cihazlarda çalışır.
Bu makalede, Yapılandırma Hizmeti Sağlayıcılarını (CSP) kullanarak HoloLens 2 yapılandırabileceğiniz çeşitli güvenlik temeli ayarları listelenip açıklanmaktadır. Microsoft Endpoint Manager kullanarak mobil cihaz yönetiminizin bir parçası olarak (resmi olarak Microsoft Intune olarak bilinir), kuruluş ilkelerinize ve gereksinimlerinize bağlı olarak aşağıdaki standart veya gelişmiş güvenlik temeli ayarlarını kullanın. Kuruluş kaynaklarınızın korunmasına yardımcı olması için bu güvenlik temeli ayarlarını kullanın.
- Standart güvenlik temeli ayarları, kullanım örneği senaryosuna ve sektör dikeyine bakılmadan tüm kullanıcı türleri için geçerlidir.
- Gelişmiş güvenlik temeli ayarları, ortamlarında katı güvenlik denetimlerine sahip olan ve ortamlarında kullanılan cihazlar için sıkı güvenlik ilkeleri gerektiren kullanıcılar için önerilen ayarlardır.
Bu güvenlik temeli ayarları, Microsoft'un çeşitli sektörlerdeki müşterilere HoloLens 2 cihazları dağıtma ve destekleme konusunda elde edilen en iyi yöntem yönergelerini ve deneyimini temel alır.
Güvenlik temelini gözden geçirip her ikisini de veya parçaları kullanmaya karar verdikten sonra bu güvenlik temel çizgilerini etkinleştirmeyi gözden geçirin
1. Standart güvenlik temeli ayarları
Aşağıdaki bölümlerde, standart güvenlik temeli profilinin bir parçası olarak her CSP'nin önerilen ayarları açıklanmaktadır.
1.1 İlke CSP'si
| İlke Adı | Değer | Açıklama |
|---|---|---|
| Hesaplar | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – İzin Verilmiyor | Kullanıcıyı e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanacak şekilde kısıtlayın. |
| Uygulama Yönetimi | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Açıkça reddetme | Microsoft Store dışı uygulamaları açıkça reddedin. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – İzin veriliyor | Microsoft Store'dan uygulamaların otomatik olarak güncelleştirilebilmesine izin verin. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Açıkça reddetme | Kullanıcının IDE'den cihaza uygulama yüklemesini sağlayan geliştirici modunun kilidini açmasını kısıtlayın. |
| Tarayıcı | ||
| Tarayıcı/AllowCookies | 1 – Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelle | Bu ilkeyle, Microsoft Edge'i yalnızca üçüncü taraf tanımlama bilgilerini engelleyecek veya tüm tanımlama bilgilerini engelleyecek şekilde yapılandırabilirsiniz. |
| Browser/AllowPasswordManager | 0 – İzin verilmiyor | Microsoft Edge'in parola yöneticisini kullanmasına izin verme. |
| Tarayıcı/AllowSmartScreen | 1 – Açık | SmartScreen Windows Defender açar ve kullanıcıların kapatmasını engeller. |
| Bağlantı | ||
| Connectivity/AllowUSBConnection | 0 – İzin verilmiyor | Dosyaları cihazla eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasındaki USB bağlantısını devre dışı bırakır. |
| Cihaz Kilidi | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – İzin verilmiyor | PIN veya parola olmadan boşta kalma süresine izin verme. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Engellendi | PIN'leri veya "1111" veya "1234" gibi parolaları engelleyin. |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Parola veya Sayısal PIN gereklidir | Parola veya alfasayısal PIN iste. |
| DeviceLock/DevicePasswordEnabled | 0 – Etkin | Cihaz kilidi etkinleştirildi. |
| DeviceLock/MaxInactivityTimeDeviceLock | 0 << X 999 Önerilen değer olan bir X tamsayısı: 3 | Cihaz boşta kaldıktan sonra cihazın PIN veya parola kilitlenmesine neden olacak izin verilen en uzun süreyi (dakika cinsinden) belirtir. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Yalnızca basamaklar | Güçlü bir PIN veya parola için gereken karmaşık öğe türlerinin sayısı (büyük ve küçük harfler, sayılar ve noktalama işaretleri). |
| DeviceLock/MinDevicePasswordLength | İstemci cihazları için 4 < X < 16'nın önerilen değer olduğu bir X tamsayısı: 8 | PIN veya parolada gereken en küçük sayı veya karakterleri belirtir. |
| MDM Kaydı | ||
| Experience/AllowManualMDMUnenrollment | 0 – İzin verilmiyor | Kullanıcının çalışma alanı denetim masasını kullanarak çalışma alanı hesabını silmesine izin verme. |
| Kimlik | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Önbelleğin geçerli olacağı gün sayısıKoçılan değer: 7 gün | Microsoft Entra grup üyeliği önbelleğinin geçerli olması gereken gün sayısı. |
| Güç | ||
| Power/DisplayOffTimeoutPluggedIn | Saniye cinsinden boşta kalma süresiKoşuan değerler: 60 sn | Windows ekranı kapatmadan önce işlem yapılmama süresini belirtmenize olanak tanır. |
| Ayarlar | ||
| Settings/AllowVPN | 0 – İzin verilmiyor | Kullanıcının VPN ayarlarını değiştirmesine izin verme. |
| Ayarlar/PageVisibilityList | Kullanıcıya görünen sayfaların kısaltılmış adı. Sayfa adlarını seçmek veya seçimini kaldırmak için bir kullanıcı arabirimi sağlar. Gizlenecek önerilen sayfalar için açıklamalara bakın. | Ayarlar uygulamasında kullanıcıya yalnızca listelenen sayfaların görüntülenmesine izin verin. |
| Sistem | ||
| System/AllowStorageCard | 0 – İzin verilmiyor | SD kart kullanımına izin verilmez ve USB sürücüleri devre dışı bırakılır. Bu ayar, depolama kartına program aracılığıyla erişimi engellemez. |
| Güncelleştirmeler | ||
| Update/AllowUpdateService | 1 – İzin veriliyor | Microsoft Update, Windows Server Update Services (WSUS) veya Microsoft Store'a erişime izin verin. |
| Update/ManagePreviewBuilds | 0 - Önizleme derlemelerini devre dışı bırakma | Önizleme sürümlerinin cihaza yüklenmesine izin verme. |
1.2 ClientCertificateInstall CSP
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerileriniz yoktur.
1.3 PassportForWork CSP
| Düğüm Adı | Değer | Açıklama |
|---|---|---|
| Kiracı Kimliği | TenantId | İş İçin Windows Hello sağlama ve yönetiminin bir parçası olarak kullanılan küme ayraçları ( { , } ) içermeyen genel olarak benzersiz bir tanımlayıcı (GUID). |
| TenantId/Policies/UsePassportForWork | Doğru | Windows'ta oturum açmak için bir yöntem olarak İş İçin Windows Hello ayarlar. |
| TenantId/Policies/RequireSecurityDevice | Doğru | İş İçin Windows Hello için Güvenilir Platform Modülü (TPM) gerektirir. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Yanlış | TPM düzeltme 1.2 modüllerinin İş İçin Windows Hello ile kullanılmasına izin verilir. |
| TenantId/Policies/EnablePinRecovery | Yanlış | PIN kurtarma gizli dizisi oluşturulmaz veya depolanmaz. |
| TenantId/Policies/UseCertificateForOnPremAuth | Yanlış | PIN, kullanıcı oturum açtığında, bir sertifika yükü beklemeden sağlanır. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN uzunluğu bu sayıdan büyük veya buna eşit olmalıdır. |
| TenantId/policies/PINComplexity/MaximumPINLength | 6 | PIN uzunluğu bu sayıdan küçük veya buna eşit olmalıdır. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN'de özel karakterlerin kullanılmasına izin vermez. |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN'de basamak kullanımına izin verir. |
| TenantId/Policies/PINComplexity/History | 10 | Yeniden kullanılamayan bir kullanıcı hesabıyla ilişkilendirilebilen geçmiş PIN sayısı. |
| TenantId/policies/PINComplexity/Expiration | 90 | Sistemin kullanıcının pin kodunu değiştirmesini gerektirmeden önce PIN'in kullanılabilmesi için gereken süre (gün cinsinden). |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Yanlış | Uygulamalar İş İçin Windows Hello sertifikalarını akıllı kart sertifikaları olarak kullanmaz ve kullanıcıdan sertifikanın özel anahtarının kullanımını yetkilendirmesi istendiğinde biyometrik faktörler kullanılabilir. |
1.4 RootCATrustedCertificates CSP
En iyi yöntem olarak bu CSP'de Kök, CA, TrustedPublisher ve TrustedPeople düğümlerini yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önerilmez.
1.5 TenantLockdown CSP
| Düğüm Adı | Değer | Açıklama |
|---|---|---|
| RequireNetworkInOOBE | Doğru | Cihaz ilk oturum açmada veya sıfırlandıktan sonra OOBE'yi geçtiğinde, devam etmeden önce kullanıcının bir ağ seçmesi gerekir. "Şimdilik atla" seçeneği yoktur. Bu seçenek, yanlışlıkla veya kasıtlı sıfırlama veya silme işlemleri durumunda cihazın kiracıya bağlı kalmasını sağlar. |
1.6 VPNv2 CSP
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerilerimiz yoktur. Ayarların çoğu müşteri ortamıyla ilgilidir.
1.7 WiFi CSP
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerilerimiz yoktur. Ayarların çoğu müşteri ortamıyla ilgilidir.
2 Gelişmiş güvenlik temeli ayarları
Aşağıdaki bölümlerde, gelişmiş güvenlik temeli profilinin bir parçası olarak her CSP'nin önerilen ayarları açıklanmaktadır.
2.1 İlke CSP
| İlke Adı | Değer | Açıklama |
|---|---|---|
| Hesaplar | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – İzin Verilmiyor | Kullanıcıyı e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanacak şekilde kısıtlayın. |
| Uygulama Yönetimi | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - Açıkça reddetme | Microsoft Store dışı uygulamaları açıkça reddedin. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – İzin veriliyor | Microsoft Store'dan uygulamaların otomatik olarak güncelleştirilebilmesine izin verin. |
| ApplicationManagement/AllowDeveloperUnlock | 0 - Açıkça reddetme | Kullanıcının IDE'den cihaza uygulama yüklemesini sağlayan geliştirici modunun kilidini açmasını kısıtlayın. |
| Kimlik Doğrulaması | ||
| Kimlik Doğrulaması/AllowFastReconnect | 0 – İzin verilmiyor | EAP Hızlı Yeniden Bağlantı'nın EAP Yöntemi TLS için denenmesini engelin. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – İzin verilmiyor | Diğer cihazlar bu cihazı algılayamaz. |
| Tarayıcı | ||
| Tarayıcı/AllowAutofill | 0 – Engellendi/izin verilmiyor | Kullanıcıların Microsoft Edge'deki form alanlarını otomatik olarak doldurmak için Otomatik Doldurma özelliğini kullanmasını önleyin. |
| Tarayıcı/AllowCookies | 1 – Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelle | Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelleyin. |
| Browser/AllowDoNotTrack | 0 - İzleme bilgilerini hiçbir zaman göndermeyin | İzleme bilgilerini hiçbir zaman göndermeyin. |
| Browser/AllowPasswordManager | 0 – İzin verilmiyor | Microsoft Edge'in parola yöneticisini kullanmasına izin verme. |
| Tarayıcı/AllowPopups | 1 – Açılır Pencere Engelleyiciyi aç | Açılır pencerelerin açılmasını durduran Açılır Pencere Engelleyicisi'nin açılmasını açın. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Engellendi/izin verilmiyor | Microsoft Edge'in Adres çubuğunda arama önerilerini gizleyin. |
| Tarayıcı/AllowSmartScreen | 1 – Açık | SmartScreen Windows Defender açar ve kullanıcıların kapatmasını engeller. |
| Bağlantı | ||
| Connectivity/AllowBluetooth | 0 – Bluetooth'a izin verme | Bluetooth denetim masası gri renktedir ve kullanıcı Bluetooth'u açamaz. |
| Connectivity/AllowUSBConnection | 0 – İzin verilmiyor | Dosyaları cihazla eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasındaki USB bağlantısını devre dışı bırakır. |
| Cihaz Kilidi | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – İzin verilmiyor | PIN veya parola olmadan boşta kalma süresine izin verme. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Engellendi | PIN'leri veya "1111" veya "1234" gibi parolaları engelleyin. |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – Parola veya Alfasayısal PIN gereklidir | Parola veya alfasayısal PIN iste. |
| DeviceLock/DevicePasswordEnabled | 0 – Etkin | Cihaz kilidi etkinleştirildi. |
| DeviceLock/DevicePasswordHistory | 0 X 50Recommended << değerinin bulunduğu X tamsayısı: 15 | Geçmişte kaç parolanın depolanabileceğini ve kullanılamayabileceğini belirtir. |
| DeviceLock/MaxDevicePasswordFailedAttempts | İstemci cihazları için 4 < X < 16'nın önerilen değer olduğu bir X tamsayısı: 10 | Cihaz silinmeden önce izin verilen kimlik doğrulama hatası sayısı. |
| DeviceLock/MaxInactivityTimeDeviceLock | 0 << X 999 Önerilen değer olan bir X tamsayısı: 3 | Cihaz boşta kaldıktan sonra cihazın PIN veya parola kilitlenmesine neden olacak izin verilen en uzun süreyi (dakika cinsinden) belirtir. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Basamaklar, küçük harfler ve büyük harfler gereklidir | Güçlü bir PIN veya parola için gereken karmaşık öğe türlerinin sayısı (büyük ve küçük harfler, sayılar ve noktalama işaretleri). |
| DeviceLock/MinDevicePasswordLength | İstemci cihazları için 4 < X < 16'nın önerilen değer olduğu X tamsayısı: 12 | PIN veya parolada gereken en küçük sayı veya karakterleri belirtir. |
| MDM Kaydı | ||
| Experience/AllowManualMDMUnenrollment | 0 – İzin verilmiyor | Kullanıcının çalışma alanı denetim masasını kullanarak çalışma alanı hesabını silmesine izin verme. |
| Kimlik | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Önbelleğin geçerli olacağı gün sayısıKoçılan değer: 7 gün | Microsoft Entra grup üyeliği önbelleğinin geçerli olması gereken gün sayısı. |
| Güç | ||
| Power/DisplayOffTimeoutPluggedIn | Saniye cinsinden boşta kalma süresiKoşuan değerler: 60 sn | Windows ekranı kapatmadan önce işlem yapılmama süresini belirtmenize olanak tanır. |
| Gizlilik | ||
| Gizlilik/LetAppsAccess AccountInfo |
2 - Reddetmeye zorlama | Windows uygulamalarının hesap bilgilerine erişimini reddeder. |
| Gizlilik/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen Windows uygulamalarının hesap bilgilerine erişmesine izin verilir. |
| Gizlilik/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen Windows uygulamalarının hesap bilgilerine erişimi reddedildi. |
| Gizlilik/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Kullanıcı, listelenen Windows uygulamaları için hesap bilgileri gizlilik ayarını denetleyebiliyor. |
| Gizlilik/LetAppsAccess BackgroundSpatialPerception |
2 - Reddetmeye zorlama | Windows uygulamalarının arka planda çalışırken kullanıcının kafasının, ellerinin, hareket denetleyicilerinin ve diğer izlenen nesnelerin hareketine erişimini reddedin. |
| Gizlilik/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen uygulamaların arka planda çalışırken kullanıcının hareketlerine erişmesine izin verilir. |
| Gizlilik/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen uygulamaların arka planda çalışırken kullanıcının hareketlerine erişimi reddedilir. |
| Gizlilik/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Kullanıcı, listelenen uygulamalar için kullanıcı hareketleri gizlilik ayarını denetleyebiliyor. |
| Gizlilik/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen uygulamaların mikrofona erişimi reddedildi. |
| Gizlilik/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Kullanıcı, listelenen uygulamalar için mikrofon gizlilik ayarını denetleyebiliyor. |
| Ara | ||
| Search/AllowSearchToUseLocation | 0 – İzin verilmiyor | Aramanın konum bilgilerini kullanmasına izin verme. |
| Güvenlik | ||
| Security/AllowAddProvisioningPackage | 0 – İzin verilmiyor | Çalışma zamanı yapılandırma aracısının sağlama paketlerini yüklemesine izin verme. |
| Ayarlar | ||
| Settings/AllowVPN | 0 – İzin verilmiyor | Kullanıcının VPN ayarlarını değiştirmesine izin verme. |
| Ayarlar/PageVisibilityList | Kullanıcı tarafından görünen sayfaların kısaltılmış adıSayf adlarını seçmek veya seçimini kaldırmak için bir kullanıcı arabirimi sağlar. Gizlenecek önerilen sayfalar için açıklamalara bakın. | Ayarlar uygulamasında kullanıcıya yalnızca listelenen sayfaların görüntülenmesine izin verin. |
| Sistem | ||
| System/AllowStorageCard | 0 – İzin verilmiyor | SD kart kullanımına izin verilmez ve USB sürücüleri devre dışı bırakılır. Bu ayar, depolama kartına program aracılığıyla erişimi engellemez. |
| System/AllowTelemetry | 0 - İzin verilmiyor | Cihazın Watson gibi tanılama ve kullanım telemetri verilerini göndermesine izin verme. |
| Güncelleştirmeler | ||
| Update/AllowUpdateService | 1 – İzin veriliyor | Microsoft Update, Windows Server Update Services (WSUS) veya Microsoft Store'a erişime izin verin. |
| Update/ManagePreviewBuilds | 0 - Önizleme derlemelerini devre dışı bırakma | Önizleme sürümlerinin cihaza yüklenmesine izin verme. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – İzin verilmiyor | MDM sunucusu tarafından yüklenen ağların dışındaki Wi-Fi bağlanmaya izin verme. |
2.2 AccountManagement CSP
| Düğüm Adı | Değer | Açıklama |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Doğru | Paylaşılan veya ortak cihaz senaryoları için profil yaşam süresi yönetimini etkinleştirin. |
| UserProfileManagement/DeletionPolicy | 2 - depolama kapasitesi eşiğinde ve profil inaktifliği eşiğinde sil | Profillerin ne zaman silineceğini yapılandırılır. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Kullanılabilir depolama kapasitesi bu eşiğin altına düştüğünde profiller için kullanılabilir toplam depolama yüzdesi olarak verilen profilleri silmeye başlayın. En uzun süre etkin olmayan profiller önce silinir. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Kullanılabilir depolama kapasitesi bu eşiğe getirildiğinde profiller için kullanılabilir toplam depolama yüzdesi olarak verildiğinde profilleri silmeyi durdurun. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Belirtilen süre boyunca gün sayısı olarak verilen oturum açmadıkları profilleri silmeye başlayın. |
2.3 ApplicationControl CSP
| Düğüm Adı | Değer | Açıklama |
|---|---|---|
| İlkeler/İlke GUID'i | İlke blobundaki ilke kimliği | İlke blobunda ilke kimliği. |
| İlkeler/İlke GUID'i/İlke | İlke blobu | base64 ile kodlanmış ilke ikili blobu. |
2.4 ClientCertificateInstall CSP
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerileriniz yoktur.
2.5 PassportForWork CSP
| Düğüm Adı | Değer | Açıklama |
|---|---|---|
| Kiracı Kimliği | TenantId | İş İçin Windows Hello sağlama ve yönetiminin bir parçası olarak kullanılan küme ayraçları ( { , } ) içermeyen genel olarak benzersiz bir tanımlayıcı (GUID). |
| TenantId/Policies/UsePassportForWork | Doğru | Windows'ta oturum açmak için bir yöntem olarak İş İçin Windows Hello ayarlar. |
| TenantId/Policies/RequireSecurityDevice | Doğru | İş İçin Windows Hello için Güvenilir Platform Modülü (TPM) gerektirir. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Yanlış | TPM düzeltme 1.2 modüllerinin İş İçin Windows Hello ile kullanılmasına izin verilir. |
| TenantId/Policies/EnablePinRecovery | Yanlış | PIN kurtarma gizli dizisi oluşturulmaz veya depolanmaz. |
| TenantId/Policies/UseCertificateForOnPremAuth | Yanlış | PIN, kullanıcı oturum açtığında, bir sertifika yükü beklemeden sağlanır. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN uzunluğu bu sayıdan büyük veya buna eşit olmalıdır. |
| TenantId/policies/PINComplexity/MaximumPINLength | 6 | PIN uzunluğu bu sayıdan küçük veya buna eşit olmalıdır. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN'de özel karakterlerin kullanılmasına izin vermez. |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN'de basamak kullanımına izin verir. |
| TenantId/Policies/PINComplexity/History | 10 | Yeniden kullanılamayan bir kullanıcı hesabıyla ilişkilendirilebilen geçmiş PIN sayısı. |
| TenantId/policies/PINComplexity/Expiration | 90 | Sistemin kullanıcının pin kodunu değiştirmesini gerektirmeden önce PIN'in kullanılabilmesi için gereken süre (gün cinsinden). |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Yanlış | Uygulamalar İş İçin Windows Hello sertifikalarını akıllı kart sertifikaları olarak kullanmaz ve kullanıcıdan sertifikanın özel anahtarının kullanımını yetkilendirmesi istendiğinde biyometrik faktörler kullanılabilir. |
2.6 RootCATrustedCertificates CSP
En iyi yöntem olarak bu CSP'de Kök, CA, TrustedPublisher ve TrustedPeople düğümlerinin yapılandırılmasını öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermiyoruz.
2.7 TenantLockdown CSP
| Düğüm Adı | Değer | Açıklama |
|---|---|---|
| RequireNetworkInOOBE | Doğru | Cihaz ilk oturum açmada veya sıfırlandıktan sonra OOBE'yi geçtiğinde, devam etmeden önce kullanıcının bir ağ seçmesi gerekir. "Şimdilik atla" seçeneği yoktur. Bu, cihazın yanlışlıkla veya kasıtlı olarak sıfırlanması veya silinmesi durumunda kiracıya bağlı kalmasını sağlar. |
2.8 VPNv2 CSP
VPN profillerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermeyiz. Ayarların çoğu müşteri ortamıyla ilgilidir.
2.9 WiFi CSP
WiFi profillerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermeyiz. Ayarların çoğu müşteri ortamıyla ilgilidir.
Bu güvenlik temel hatlarını etkinleştirme
- Güvenlik temelini gözden geçirin ve ne uygulanacağını belirleyin.
- Temel atayabileceğiniz Azure Gruplarını belirleyin. (Kullanıcılar ve gruplar hakkında daha fazla bilgi)
- Temeli oluşturun.
Temeli şu şekilde oluşturabilirsiniz.
Ayarların çoğu Ayarlar kataloğu kullanılarak eklenebilir, ancak bazen Ayarlar kataloğuna henüz doldurulmamış bir ayar olabilir. Böyle durumlarda Özel ilke veya OMA-URI (Open Mobile Alliance - Tekdüzen Kaynak Tanımlayıcısı) kullanacaksınız. Ayarlar kataloğuna bakarak başlayın ve bulunamazsa, OMA-URI aracılığıyla özel ilke oluşturmak için aşağıdaki yönergeleri izleyin.
Ayarlar kataloğu
MEM yönetim merkezinde hesabınızda oturum açın.
- Cihazlar -Yapılandırma profilleri ->>+Profil oluştur'a gidin. Platform için Windows 10 ve üzerini seçin ve profil türü için Ayarlar kataloğu (önizleme) öğesini seçin.
- Profil için bir ad oluşturun ve İleri düğmesini seçin.
- Yapılandırma ayarları ekranında + Ayarlar ekle'yi seçin.
Yukarıdaki temeldeki ilkenin adını kullanarak ilkeyi arayabilirsiniz. Ayarlar kataloğu adı yer kaplar, bu nedenle "Hesaplar/AllowMicrosoftAccountConnection" öğesini bulmak için "Microsoft Hesabı Bağlantısına İzin Ver" araması yapmanız gerekir. Arama yaptıktan sonra, ilke listesinin yalnızca bu ilkeyi içeren CSP'ye indirgendiğini görürsünüz. Hesaplar'ı (veya geçerli arama yaptığınız öğeyle ilgili CSP'yi) seçin. Bunu yaptıktan sonra ilke sonucunu aşağıda görürsünüz. İlke kutusunu işaretleyin.
İşiniz bittiğinde, soldaki panel CSP kategorisini ve eklediğiniz ayarı ekler. Buradan, varsayılan ayardan bir tane daha güvenli olacak şekilde yapılandırabilirsiniz.
Aynı profile birden çok yapılandırma eklemeye devam edebilirsiniz, bu da aynı anda atamayı kolaylaştırır.
Özel OMA-URI ilkeleri ekleme
Bazı ilkeler henüz Ayarlar kataloğunda kullanılamayabilir. Bu ilkeler için özel bir OMA-URI profili oluşturmanız gerekir. MEM yönetim merkezinde hesabınızda oturum açın.
- Cihazlar -Yapılandırma profilleri ->>+Profil oluştur'a gidin. Platform için Windows 10 ve üzerini seçin ve profil türü için Şablonlar'ı seçin ve Özel'i seçin.
- Profil için bir ad oluşturun ve İleri düğmesini seçin.
- Ekle düğmesini seçin.
Birkaç alanı doldurmanız gerekir.
- Ad, ilkeyle ilgili olarak ihtiyacınız olan her şeyi adlandırabilirsiniz. Bu, tanımak için kullandığınız bir kısaltma adı olabilir.
- Açıklama, ihtiyacınız olabilecek daha fazla ayrıntı olacaktır.
- OMA-URI, ilkenin bulunduğu tam OMA-URI dizesi olacaktır. Örnek:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Veri türü, bu ilkenin kabul edilen değer türüdür. Bu örnekte 0 ile 60 arasında bir sayı olduğundan Tamsayı seçilmiştir.
- Veri türünü seçtikten sonra, alana gereken değeri yazabilirsiniz veya karşıya yükleyebilirsiniz.
İşlem tamamlandıktan sonra ilkeniz ana pencereye eklenir. Tüm özel ilkelerinizi aynı özel yapılandırmaya eklemeye devam edebilirsiniz. Bu, birden çok cihaz yapılandırmasını yönetmeyi azaltmaya yardımcı olur ve atamayı kolaylaştırır.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin