HoloLens 2 güvenlik temelleri
Önemli
Bu güvenlik temelinde kullanılan ilkelerden bazıları, en son Insider derlemesinde. Bu ilkeler yalnızca en son Insider derlemesine güncelleştirilmiş cihazlarda çalışır.
Bu makalede, Yapılandırma Hizmeti Sağlayıcılarını (CSP) kullanarak HoloLens 2'de yapılandırabileceğiniz çeşitli güvenlik temeli ayarları listelenir ve açıklanmaktadır. Microsoft Endpoint Manager kullanarak mobil cihaz yönetiminizin bir parçası olarak (resmi olarak Microsoft Intune olarak bilinir), kuruluş ilkelerinize ve gereksinimlerinize bağlı olarak aşağıdaki standart veya gelişmiş güvenlik temeli ayarlarını kullanın. Kuruluş kaynaklarınızın korunmasına yardımcı olması için bu güvenlik temeli ayarlarını kullanın.
- Standart güvenlik temeli ayarları, kullanım örneği senaryosundan ve sektör dikeyden bağımsız olarak tüm kullanıcı türleri için geçerlidir.
- Gelişmiş güvenlik temeli ayarları, ortamları için sıkı güvenlik denetimlerine sahip olan ve ortamlarında kullanılan cihazlar için sıkı güvenlik ilkeleri gerektiren kullanıcılar için önerilen ayarlardır.
Bu güvenlik temeli ayarları, Microsoft'un holoLens 2 cihazlarını çeşitli sektörlerdeki müşterilere dağıtma ve destekleme konusunda edinmiş olduğu en iyi uygulama yönergelerine ve deneyimine dayanır.
Güvenlik temelini gözden geçirdikten ve hem hem de parçalarını kullanmaya karar verdikten sonra bu güvenlik temel hatlarını nasıl etkinleştirileceğine göz atın
Aşağıdaki bölümlerde, standart güvenlik temeli profilinin bir parçası olarak her CSP'nin önerilen ayarları açıklanmaktadır.
1.1 İlkesi CSP
İlke Adı | Değer | Açıklama |
---|---|---|
Hesapları | ||
Hesapları/AllowMicrosoftAccountConnection | 0 – İzin Verilmiyor | Kullanıcıyı e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanacak şekilde kısıtlayın. |
uygulama yönetimi |
||
ApplicationManagement/AllowAllTrustedApps |
0 - Açıkça reddetme | Microsoft Store dışı uygulamaları açıkça reddedin. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – İzin verildi | Microsoft Store'dan uygulamaların otomatik olarak güncelleştirilebilmesine izin verin. |
ApplicationManagement/AllowDeveloperUnlock |
0 - Açıkça reddetme | Kullanıcının IDE'den cihaza uygulama yüklemesini sağlayan geliştirici modunun kilidini açmasını kısıtlayın. |
Browser | ||
Browser/AllowCookies | 1 – Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelle | Bu ilkeyle, Microsoft Edge'i yalnızca üçüncü taraf tanımlama bilgilerini engelleyecek veya tüm tanımlama bilgilerini engelleyecek şekilde yapılandırabilirsiniz. |
Browser/AllowPasswordManager | 0 – İzin verilmiyor | Microsoft Edge'in parola yöneticisini kullanmasına izin verme. |
Browser/AllowSmartScreen | 1 – Açık | Windows Defender SmartScreen'i açar ve kullanıcıların kapatmasını engeller. |
Bağlantı | ||
Bağlantısı/AllowUSBConnection | 0 – İzin verilmiyor | Dosyaları cihazla eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasındaki USB bağlantısını devre dışı bırakır. |
Cihaz Kilidi | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – İzin verilmiyor | PIN veya parola olmadan boşta kalma süresine izin verme. |
DeviceLock/AllowSimpleDevicePassword |
0 – Engellendi | PIN'leri veya "1111" veya "1234" gibi parolaları engelleyin. |
DeviceLock/AlphanumericDevicePasswordRequired | 1 – Parola veya Sayısal PIN gerekli | Parola veya alfasayısal PIN iste. |
DeviceLock/DevicePasswordEnabled | 0 – Etkin | Cihaz kilidi etkinleştirildi. |
DeviceLock/MaxInactivityTimeDeviceLock |
0 < X < 999 Önerilen değer olan X tamsayı: 3 | Cihaz boşta kaldığında cihazın PIN veya parola kilitlenmesine neden olacak en fazla süreyi (dakika olarak) belirtir. |
DeviceLock/MinDevicePasswordComplexCharacters | 1 - Yalnızca basamaklar | Güçlü bir PIN veya parola için gereken karmaşık öğe türlerinin sayısı (büyük ve küçük harfler, sayılar ve noktalama işaretleri). |
DeviceLock/MinDevicePasswordLength | İstemci cihazları için 4 < X < 16 olan bir X tamsayıSık değeri: 8 | PIN veya parolada gereken en düşük sayı veya karakterleri belirtir. |
MDM Kaydı |
||
Deneyimi/AllowManualMDMUnenrollment | 0 – İzin verilmiyor | Kullanıcının iş yeri denetim masasını kullanarak çalışma alanı hesabını silmesine izin verme. |
kimlik |
||
MixedReality/AADGroupMembershipCacheValidityInDays | Önbelleğin geçerli olacağı gün sayısıKodulanan değer: 7 gün | Microsoft Entra grup üyeliği önbelleğinin geçerli olması gereken gün sayısı. |
Power | ||
Power/DisplayOffTimeoutPluggedIn | Saniye cinsinden boşta kalma süresiKoşulu değerler: 60 sn | Windows ekranı kapatmadan önce etkinlik dışı kalma süresini belirtmenize olanak tanır. |
Ayarları | ||
Ayarları/AllowVPN | 0 – İzin verilmiyor | Kullanıcının VPN ayarlarını değiştirmesine izin verme. |
Ayarlar/PageVisibilityList | Kullanıcıya görünen sayfaların kısaltılmış adı. Sayfa adlarını seçmek veya seçimini kaldırmak için bir kullanıcı arabirimi sağlar. Gizlenecek önerilen sayfalar için açıklamalara bakın. | Ayarlar uygulamasında kullanıcıya yalnızca listelenen sayfaların görüntülenmesine izin verin. |
sistem |
||
System/AllowStorageCard | 0 – İzin verilmiyor | SD kart kullanımına izin verilmez ve USB sürücüleri devre dışı bırakılır. Bu ayar, depolama kartına program aracılığıyla erişimi engellemez. |
Güncelleştirmeleri | ||
Update/AllowUpdateService | 1 – İzin verildi | Microsoft Update, Windows Server Update Services (WSUS) veya Microsoft Store'a erişime izin verin. |
Update/ManagePreviewBuilds |
0 - Önizleme derlemelerini devre dışı bırakma | Önizleme sürümlerinin cihaza yüklenmesine izin verme. |
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler için önerileriniz yoktur.
düğüm adı |
Değer | Açıklama |
---|---|---|
Kiracı Kimliği | TenantId | İş İçin Windows Hello sağlama ve yönetiminin bir parçası olarak kullanılan küme ayracı ( { , } ) içermeyen genel benzersiz tanımlayıcı (GUID). |
TenantId/Policies/UsePassportForWork | Doğru | İş İçin Windows Hello'yu Windows'ta oturum açmak için bir yöntem olarak ayarlar. |
TenantId/Policies/RequireSecurityDevice | Doğru | İş İçin Windows Hello için Güvenilir Platform Modülü (TPM) gerektirir. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Yanlış | TPM düzeltmesi 1.2 modüllerinin İş İçin Windows Hello ile kullanılmasına izin verilir. |
TenantId/Policies/EnablePinRecovery | Yanlış | PIN kurtarma gizli dizisi oluşturulmaz veya depolanmaz. |
TenantId/Policies/UseCertificateForOnPremAuth | Yanlış | PIN, kullanıcı bir sertifika yükü beklemeden oturum açtığında sağlanır. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN uzunluğu bu sayıdan büyük veya buna eşit olmalıdır. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN uzunluğu bu sayıya eşit veya daha küçük olmalıdır. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN'te özel karakterlerin kullanılmasına izin vermez. |
TenantId/Policies/PINComplexity/Digits | 0 | PIN'te basamak kullanımına izin verir. |
TenantId/Policies/PINComplexity/History | 10 | Yeniden kullanılamayan bir kullanıcı hesabıyla ilişkilendirilebilen geçmiş PIN sayısı. |
TenantId/Policies/PINComplexity/Expiration | 90 | Sistem, kullanıcının PIN'i değiştirmesini gerektirmeden önce PIN'in kullanılabilmesi için gereken süre (gün cinsinden). |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Yanlış | Uygulamalar akıllı kart sertifikaları olarak İş İçin Windows Hello sertifikalarını kullanmaz ve kullanıcıdan sertifikanın özel anahtarının kullanımını yetkilendirmesi istendiğinde biyometrik faktörler kullanılabilir. |
Bu CSPkök, CA, TrustedPublisher ve TrustedPeople düğümlerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önerilmez.
düğüm adı |
Değer | Açıklama |
---|---|---|
RequireNetworkInOOBE | Doğru | Cihaz ilk oturum açmada veya sıfırlandıktan sonra OOBE'yi geçtiğinde, devam etmeden önce kullanıcının bir ağ seçmesi gerekir. "Şimdilik atla" seçeneği yoktur. Bu seçenek, yanlışlıkla veya kasıtlı sıfırlama veya silme işlemleri durumunda cihazın kiracıya bağlı kalmasını sağlar. |
1.6 VPNv2 CSP
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerilerimiz yoktur. Ayarların çoğu müşteri ortamıyla ilgilidir.
1.7 WiFi CSP
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerlere yönelik önerilerimiz yoktur. Ayarların çoğu müşteri ortamıyla ilgilidir.
Aşağıdaki bölümlerde, gelişmiş güvenlik temeli profilinin bir parçası olarak her CSP'nin önerilen ayarları açıklanmaktadır.
2.1 İlkesi CSP
İlke Adı | Değer | Açıklama |
---|---|---|
Hesapları | ||
Hesapları/AllowMicrosoftAccountConnection | 0 – İzin Verilmiyor | Kullanıcıyı e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanacak şekilde kısıtlayın. |
uygulama yönetimi |
||
ApplicationManagement/AllowAllTrustedApps |
0 - Açıkça reddetme | Microsoft Store dışı uygulamaları açıkça reddedin. |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – İzin verildi | Microsoft Store'dan uygulamaların otomatik olarak güncelleştirilebilmesine izin verin. |
ApplicationManagement/AllowDeveloperUnlock |
0 - Açıkça reddetme | Kullanıcının IDE'den cihaza uygulama yüklemesini sağlayan geliştirici modunun kilidini açmasını kısıtlayın. |
kimlik doğrulaması |
||
Kimlik Doğrulaması/AllowFastReconnect | 0 – İzin verilmiyor | EAP Hızlı Yeniden Bağlantı'nın EAP Yöntemi TLS için denenmesini engelin. |
Bluetooth |
||
Bluetooth/AllowDiscoverableMode |
0 – İzin verilmiyor | Diğer cihazlar bu cihazı algılayamaz. |
Browser | ||
Browser/AllowAutofill | 0 – Engellendi/izin verilmiyor | Kullanıcıların Microsoft Edge'deki form alanlarını otomatik olarak doldurmak için Otomatik Doldurma özelliğini kullanmasını önleyin. |
Browser/AllowCookies | 1 – Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelle | Yalnızca üçüncü taraf web sitelerinden gelen tanımlama bilgilerini engelleyin. |
Browser/AllowDoNotTrack | 0 - İzleme bilgilerini hiçbir zaman gönderme | İzleme bilgilerini hiçbir zaman göndermeyin. |
Browser/AllowPasswordManager | 0 – İzin verilmiyor | Microsoft Edge'in parola yöneticisini kullanmasına izin verme. |
Browser/AllowPopups | 1 – Açılır Pencere Engelleyiciyi aç | Açılır pencerelerin açılmasını durduran Açılır Pencere Engelleyicisi'nin açılmasını açın. |
Browser/AllowSearchSuggestionsinAddressBar | 0 – Engellendi/izin verilmiyor | Microsoft Edge'in Adres çubuğunda arama önerilerini gizleyin. |
Browser/AllowSmartScreen | 1 – Açık | Windows Defender SmartScreen'i açar ve kullanıcıların kapatmasını engeller. |
Bağlantı | ||
Bağlantısı/AllowBluetooth | 0 – Bluetooth'a izin verme | Bluetooth denetim masası gri renktedir ve kullanıcı Bluetooth'u açamaz. |
Bağlantısı/AllowUSBConnection | 0 – İzin verilmiyor | Dosyaları cihazla eşitlemek veya uygulamaları dağıtmak veya hatalarını ayıklamak için geliştirici araçlarını kullanmak için cihazla bilgisayar arasındaki USB bağlantısını devre dışı bırakır. |
Cihaz Kilidi | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 – İzin verilmiyor | PIN veya parola olmadan boşta kalma süresine izin verme. |
DeviceLock/AllowSimpleDevicePassword |
0 – Engellendi | PIN'leri veya "1111" veya "1234" gibi parolaları engelleyin. |
DeviceLock/AlphanumericDevicePasswordRequired | 0 – Parola veya Alfasayısal PIN gerekli | Parola veya alfasayısal PIN iste. |
DeviceLock/DevicePasswordEnabled | 0 – Etkin | Cihaz kilidi etkinleştirildi. |
DeviceLock/DevicePasswordHistory | X tamsayısı; burada 0 < X < 50Recommended değeri: 15 | Geçmişte kullanılamayabilecek kaç parolanın depolanabileceğini belirtir. |
DeviceLock/MaxDevicePasswordFailedAttempts | İstemci cihazları için 4 < X < 16 olan bir X tamsayıSık değeri: 10 | Cihaz silinmeden önce izin verilen kimlik doğrulama hatası sayısı. |
DeviceLock/MaxInactivityTimeDeviceLock |
0 < X < 999 Önerilen değer olan X tamsayı: 3 | Cihaz boşta kaldığında cihazın PIN veya parola kilitlenmesine neden olacak en fazla süreyi (dakika olarak) belirtir. |
DeviceLock/MinDevicePasswordComplexCharacters | 3 - Basamaklar, küçük harfler ve büyük harfler gereklidir | Güçlü bir PIN veya parola için gereken karmaşık öğe türlerinin sayısı (büyük ve küçük harfler, sayılar ve noktalama işaretleri). |
DeviceLock/MinDevicePasswordLength | İstemci cihazları için 4 < X < 16 olan bir X tamsayıKodu değeri: 12 | PIN veya parolada gereken en düşük sayı veya karakterleri belirtir. |
MDM Kaydı |
||
Deneyimi/AllowManualMDMUnenrollment | 0 – İzin verilmiyor | Kullanıcının iş yeri denetim masasını kullanarak çalışma alanı hesabını silmesine izin verme. |
kimlik |
||
MixedReality/AADGroupMembershipCacheValidityInDays | Önbelleğin geçerli olacağı gün sayısıKodulanan değer: 7 gün | Microsoft Entra grup üyeliği önbelleğinin geçerli olması gereken gün sayısı. |
Power | ||
Power/DisplayOffTimeoutPluggedIn | Saniye cinsinden boşta kalma süresiKoşulu değerler: 60 sn | Windows ekranı kapatmadan önce etkinlik dışı kalma süresini belirtmenize olanak tanır. |
Gizlilik | ||
Gizlilik/LetAppsAccess AccountInfo |
2 - Reddetmeye zorlama | Windows uygulamalarının hesap bilgilerine erişimini reddeder. |
Gizlilik/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen Windows uygulamalarının hesap bilgilerine erişmesine izin verilir. |
Gizlilik/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen Windows uygulamalarının hesap bilgilerine erişimi reddedildi. |
Gizlilik/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Kullanıcı, listelenen Windows uygulamaları için hesap bilgileri gizlilik ayarını denetleyebiliyor. |
Gizlilik/LetAppsAccess BackgroundSpatialPerception |
2 - Reddetmeye zorlama | Windows uygulamalarının arka planda çalışırken kullanıcının kafasının, ellerinin, hareket denetleyicilerinin ve diğer izlenen nesnelerin hareketine erişimini reddedin. |
Gizlilik/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen uygulamaların arka planda çalışırken kullanıcının hareketlerine erişmesine izin verilir. |
Gizlilik/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen uygulamaların arka planda çalışırken kullanıcının hareketlerine erişimi reddedilir. |
Gizlilik/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows Mağazası Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Kullanıcı, listelenen uygulamalar için kullanıcı hareketleri gizlilik ayarını denetleyebiliyor. |
Gizlilik/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Listelenen uygulamaların mikrofona erişimi reddedilir. |
Gizlilik/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store Uygulamalarının noktalı virgülle ayrılmış Paket Aile Adları listesi | Kullanıcı, listelenen uygulamalar için mikrofon gizlilik ayarını denetleyebiliyor. |
arama |
||
Arama/AllowSearchToUseLocation | 0 – İzin verilmiyor | Aramanın konum bilgilerini kullanmasına izin verme. |
Güvenlik | ||
Security/AllowAddProvisioningPackage | 0 – İzin verilmiyor | Çalışma zamanı yapılandırma aracısının sağlama paketlerini yüklemesine izin verme. |
Ayarları | ||
Ayarları/AllowVPN | 0 – İzin verilmiyor | Kullanıcının VPN ayarlarını değiştirmesine izin verme. |
Ayarlar/PageVisibilityList | Kullanıcı tarafından görünen sayfaların kısaltılmış adıSayılan adları seçmek veya seçimini kaldırmak için bir kullanıcı arabirimi sağlar. Gizlenecek önerilen sayfalar için açıklamalara bakın. | Ayarlar uygulamasında kullanıcıya yalnızca listelenen sayfaların görüntülenmesine izin verin. |
sistem |
||
System/AllowStorageCard | 0 – İzin verilmiyor | SD kart kullanımına izin verilmez ve USB sürücüleri devre dışı bırakılır. Bu ayar, depolama kartına program aracılığıyla erişimi engellemez. |
Sistem/AllowTelemetry |
0 - İzin verilmiyor | Cihazın Watson gibi tanılama ve kullanım telemetri verilerini göndermesine izin verme. |
Güncelleştirmeleri | ||
Update/AllowUpdateService | 1 – İzin verildi | Microsoft Update, Windows Server Update Services (WSUS) veya Microsoft Store'a erişime izin verin. |
Update/ManagePreviewBuilds |
0 - Önizleme derlemelerini devre dışı bırakma | Önizleme sürümlerinin cihaza yüklenmesine izin verme. |
Wi-Fi | ||
Wifi/AllowManualWiFiConfiguration | 0 – İzin verilmiyor | MDM sunucusu tarafından yüklenen ağların dışındaki Wi-Fi bağlanmaya izin verme. |
düğüm adı |
Değer | Açıklama |
---|---|---|
UserProfileManagement/EnableProfileManager | Doğru | Paylaşılan veya ortak cihaz senaryoları için profil yaşam süresi yönetimini etkinleştirin. |
UserProfileManagement/DeletionPolicy | 2 - hem depolama kapasitesi eşiğinde hem de profil etkinlik dışı eşiğinde silme | Profillerin ne zaman silineceğini yapılandırılır. |
UserProfileManagement/StorageCapacityStartDeletion | 25% | Kullanılabilir depolama kapasitesi bu eşiğin altına düştüğünde profilleri silmeye başlayın; profiller için kullanılabilir toplam depolama yüzdesi olarak verilir. En uzun süre etkin olmayan profiller önce silinir. |
UserProfileManagement/StorageCapacityStopDeletion | 50% | Kullanılabilir depolama kapasitesi bu eşiğe getirildiğinde profilleri silmeyi durdurun; profiller için kullanılabilir toplam depolama yüzdesi olarak verilir. |
UserProfileManagement/ProfileInactivityThreshold | 30 | Belirtilen süre boyunca oturum açmadıklarında profilleri silmeye başlayın (gün sayısı olarak verilir). |
düğüm adı |
Değer | Açıklama |
---|---|---|
İlkeler/İlke GUID'i | İlke blobunda İlke Kimliği |
İlke blobunda ilke kimliği. |
İlkeler/İlke GUID/policy | İlkesi blob | base64'te kodlanmış ilke ikili blobu. |
Bu CSP'yi en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler için önerileriniz yoktur.
düğüm adı |
Değer | Açıklama |
---|---|---|
Kiracı Kimliği | TenantId | İş İçin Windows Hello sağlama ve yönetiminin bir parçası olarak kullanılan küme ayracı ( { , } ) içermeyen genel benzersiz tanımlayıcı (GUID). |
TenantId/Policies/UsePassportForWork | Doğru | İş İçin Windows Hello'yu Windows'ta oturum açmak için bir yöntem olarak ayarlar. |
TenantId/Policies/RequireSecurityDevice | Doğru | İş İçin Windows Hello için Güvenilir Platform Modülü (TPM) gerektirir. |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | Yanlış | TPM düzeltmesi 1.2 modüllerinin İş İçin Windows Hello ile kullanılmasına izin verilir. |
TenantId/Policies/EnablePinRecovery | Yanlış | PIN kurtarma gizli dizisi oluşturulmaz veya depolanmaz. |
TenantId/Policies/UseCertificateForOnPremAuth | Yanlış | PIN, kullanıcı oturum açtığında sertifika yükünü beklemeden sağlanır. |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN uzunluğu bu sayıdan büyük veya buna eşit olmalıdır. |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN uzunluğu bu sayıya eşit veya daha küçük olmalıdır. |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Basamaklar gereklidir ve diğer tüm karakter kümelerine izin verilmez. |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN'te özel karakterlerin kullanılmasına izin vermez. |
TenantId/Policies/PINComplexity/Digits | 0 | PIN'te basamak kullanımına izin verir. |
TenantId/Policies/PINComplexity/History | 10 | Yeniden kullanılamayan bir kullanıcı hesabıyla ilişkilendirilebilen geçmiş PIN sayısı. |
TenantId/Policies/PINComplexity/Expiration | 90 | Sistem, kullanıcının PIN'i değiştirmesini gerektirmeden önce PIN'in kullanılabilmesi için gereken süre (gün cinsinden). |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Yanlış | Uygulamalar akıllı kart sertifikaları olarak İş İçin Windows Hello sertifikalarını kullanmaz ve kullanıcıdan sertifikanın özel anahtarının kullanımını yetkilendirmesi istendiğinde biyometrik faktörler kullanılabilir. |
Bu CSP'deki Kök, CA, TrustedPublisher ve TrustedPeople düğümlerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermiyoruz.
düğüm adı |
Değer | Açıklama |
---|---|---|
RequireNetworkInOOBE | Doğru | Cihaz ilk oturum açmada veya sıfırlandıktan sonra OOBE'yi geçtiğinde, devam etmeden önce kullanıcının bir ağ seçmesi gerekir. "Şimdilik atla" seçeneği yoktur. Bu, yanlışlıkla veya kasıtlı sıfırlama veya silme işlemleri durumunda cihazın kiracıya bağlı kalmasını sağlar. |
2.8 VPNv2 CSP
VPN profillerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermeyiz. Ayarların çoğu müşteri ortamıyla ilgilidir.
2.9 WiFi CSP
WiFi profillerini en iyi yöntem olarak yapılandırmanızı öneririz, ancak bu CSP'deki her düğüm için belirli değerler önermeyiz. Ayarların çoğu müşteri ortamıyla ilgilidir.
- Güvenlik temelini gözden geçirin ve nelerin uygulanacağını belirleyin.
- Temeli atayabileceğiniz Azure Gruplarını belirleyin. (Kullanıcılar ve gruplarhakkında daha fazla bilgi )
- Temeli oluşturun.
Temeli şu şekilde oluşturabilirsiniz.
Ayarların çoğu Ayarlar kataloğu kullanılarak eklenebilir, ancak bazen Ayarlar kataloğuna henüz doldurulmamış bir ayar olabilir. Böyle durumlarda Özel ilke veya OMA-URI (Open Mobile Alliance - Tekdüzen Kaynak Tanımlayıcısı) kullanacaksınız. Ayarlar kataloğuna bakarak başlayın ve bulunamazsa, OMA-URI aracılığıyla özel ilke oluşturmak için aşağıdaki yönergeleri izleyin.
MEM yönetim merkezihesabınızda oturum açın.
-
Cihazlar ->Yapılandırma profilleri ->+Profil oluşturgidin. Platform için Windows 10 ve üzeri
seçin ve profil türü için ayarlar kataloğu (önizleme) seçin. - Profil için bir ad oluşturun ve sonraki
düğmesini seçin. - Yapılandırma ayarları ekranında + Ayarlar ekleöğesini seçin.
Yukarıdaki temelden ilkenin adını kullanarak ilkeyi arayabilirsiniz. Ayarlar kataloğu adın dışına çıkar, bu nedenle "Hesaplar/AllowMicrosoftAccountConnection" öğesini bulmak için "Microsoft Hesabı Bağlantısına İzin Ver" araması yapmanız gerekir. Arama yaptıktan sonra, ilke listesinin yalnızca bu ilkeye sahip olan CSP'ye indirgendiğini görürsünüz. Hesapları (veya geçerli arama yaptığınız işlemle ilgili CSP'yi) seçin. İlke sonucunu aşağıda görürsünüz. İlke kutusunu işaretleyin.
İşiniz bittiğinde, soldaki panel CSP kategorisini ve eklediğiniz ayarı ekler. Buradan, varsayılan ayardan bir tane daha güvenli olacak şekilde yapılandırabilirsiniz.
Aynı profile birden çok yapılandırma eklemeye devam edebilirsiniz ve bu da aynı anda atamayı kolaylaştırır.
Bazı ilkeler henüz Ayarlar kataloğunda kullanılamayabilir. Bu ilkeler içinözel bir OMA-URI profili oluşturmanız
-
Cihazlar ->Yapılandırma profilleri ->+Profil oluşturgidin. Platform için Windows 10 ve üzeri
seçin ve profil türü için Şablonlar 'i seçin ve özelseçin. - Profil için bir ad oluşturun ve sonraki
düğmesini seçin. - Ekle düğmesini seçin.
Birkaç alan doldurmanız gerekir.
- Ad: İlkeyle ilgili olarak ihtiyacınız olan her şeyi adlandırabilirsiniz. Bu, tanımak için kullandığınız bir kısaltma adı olabilir.
- Açıklama, ihtiyacınız olabilecek diğer ayrıntılar olacaktır.
- OMA-URI, ilkenin bulunduğu tam OMA-URI dizesi olacaktır. Örnek:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- Veri türü, bu ilkenin kabul edilen değer türüdür. Bu örnekte 0 ile 60 arasında bir sayı olduğundan Tamsayı seçilmiştir.
- Veri türünü seçtikten sonra, alana gereken değeri yazabilecek veya karşıya yükleyebilirsiniz.
OMA-URI yapılandırmasının ekran görüntüsü
İşlem tamamlandıktan sonra ilkeniz ana pencereye eklenir. Tüm özel ilkelerinizi aynı özel yapılandırmaya eklemeye devam edebilirsiniz. Bu, birden çok cihaz yapılandırmasının yönetilmesini azaltmaya yardımcı olur ve atamayı kolaylaştırır.