共用方式為


HoloLens 2 安全性基準

重要

此安全性基準中使用的一些原則會在我們最新的 測試人員組建中引進。 這些原則只會在更新至最新測試人員組建的裝置上運作。

本文列出並說明您可以使用組態服務提供者 (CSP) 在 HoloLens 2 上設定的各種安全性基準設定。 在行動裝置管理中使用 Microsoft 端點管理員 (正式稱為 Microsoft Intune),根據您的組織原則和需求,使用下列標準或進階安全性基準設定。 使用這些安全性基準設定來協助保護您的組織資源。

  • 標準安全性基準設定適用於所有類型的使用者,不論使用案例和產業垂直。
  • 對於對其環境具有嚴格安全性控制的使用者,建議使用進階安全性基準設定,並針對其環境中所使用的裝置要求嚴格的安全策略。

這些安全性基準設定是以Microsoft部署及支援 HoloLens 2 裝置給不同產業客戶的最佳做法指導方針和經驗為基礎。

檢閱安全性基準並決定使用這兩個或部分之後,請查看 如何啟用這些安全性基底線

1.標準安全性基準設定

下列各節說明每個 CSP 的建議設定,做為標準安全性基準配置檔的一部分。

1.1 原則 CSP

原則名稱 描述
帳戶
帳戶/AllowMicrosoftAccountConnection 0 – 不允許 限制使用者使用 MSA 帳戶進行非電子郵件相關的連線驗證和服務。
應用程式管理
ApplicationManagement/AllowAllTrustedApps 0 - 明確拒絕 明確拒絕非Microsoft市集應用程式。
ApplicationManagement/AllowAppStoreAutoUpdate 1 – 允許 允許從 Microsoft Store 自動更新應用程式。
ApplicationManagement/AllowDeveloperUnlock 0 - 明確拒絕 限制使用者解除鎖定開發人員模式,讓使用者可從IDE在裝置上安裝應用程式。
Browser
Browser/AllowCookies 1 – 僅封鎖來自第三方網站的 Cookie 使用此原則,您可以將 Microsoft Edge 設定為只封鎖第三方 Cookie 或封鎖所有 Cookie。
Browser/AllowPasswordManager 0 – 不允許 不允許Microsoft Edge 使用密碼管理員。
Browser/AllowSmartScreen 1 – 已開啟 開啟 Windows Defender SmartScreen,並防止使用者將其關閉。
連線能力
Connectivity/AllowUSBConnection 0 – 不允許 停用裝置與電腦之間的 USB 連線,以與裝置同步處理檔案,或使用開發人員工具來部署或偵錯應用程式。
裝置鎖定
DeviceLock/AllowIdleReturnWithoutPassword 0 – 不允許 不允許在沒有 PIN 或密碼的情況下從閑置中返回。
DeviceLock/AllowSimpleDevicePassword 0 – 已封鎖 封鎖 PIN 或密碼,例如 「1111」 或 「1234」。。
DeviceLock/AlphanumericDevicePasswordRequired 1 – 需要密碼或數位 PIN 需要密碼或英數位元 PIN。
DeviceLock/DevicePasswordEnabled 0 – 已啟用 已啟用裝置鎖定。
DeviceLock/MaxInactivityTimeDeviceLock 整數 X,其中 0 < X < 999 建議值:3 指定裝置閑置后允許的時間上限(以分鐘為單位),導致裝置變成 PIN 或密碼鎖定。
DeviceLock/MinDevicePasswordComplexCharacters 1 - 僅限數位 強式 PIN 或密碼所需的複雜元素類型數目(大寫和小寫字母、數位和標點符號)。
DeviceLock/MinDevicePasswordLength 整數 X,其中用戶端裝置的 4 < X < 16 建議值:8 指定 PIN 或密碼中所需的最小數位或字元。
MDM 註冊
Experience/AllowManualMDMUnenrollment 0 – 不允許 不允許使用者使用工作場所控制面板刪除工作場所帳戶。
身分識別
MixedReality/AADGroupMembershipCacheValidityInDays 快取為 validRecommended 值的天數:7 天 Microsoft Entra 群組成員資格快取應該有效的天數。
Power
Power/DisplayOffTimeoutPluggedIn 以秒數為單位的空閒時間Recommended 值:60 秒 可讓您指定 Windows 關閉顯示器之前閒置的期間。
設定
設定/AllowVPN 0 – 不允許 不允許使用者變更 VPN 設定。
Settings/PageVisibilityList 用戶可看見的頁面名稱縮短。 將提供UI來選取或取消選取頁面名稱。 請參閱建議頁面的批注以隱藏。 只允許在 [設定] 應用程式中向用戶顯示列出的頁面。
系統
System/AllowStorageCard 0 – 不允許 不允許使用 SD 記憶卡,並停用 USB 磁碟驅動器。 此設定不會防止以程式設計方式存取儲存卡。
更新
Update/AllowUpdateService 1 – 允許 允許存取 Microsoft Update、Windows Server Update Services (WSUS), 或 Microsoft Store。
Update/ManagePreviewBuilds 0 - 停用預覽組建 不允許在裝置上安裝預覽組建。

1.2 ClientCertificateInstall CSP

建議您將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,都沒有任何特定值的建議。

1.3 PassportForWork CSP

節點名稱 描述
租用戶標識碼 TenantId 全域唯一標識碼 (GUID),不含大括弧 ({ , } ),做為 Windows Hello 企業版布建和管理的一部分。
TenantId/Policies/UsePassportForWork 將 Windows Hello 企業版設定為登入 Windows 的方法。
TenantId/Policies/RequireSecurityDevice 需要適用於 Windows Hello 企業版的信任平台模組 (TPM)。
TenantId/Policies/ExcludeSecurityDevices/TPM12 TPM 修訂 1.2 模組可搭配 Windows Hello 企業版使用。
TenantId/Policies/EnablePinRecovery 不會建立或儲存 PIN 修復密碼。
TenantId/Policies/UseCertificateForOnPremAuth 當使用者登入時,會布建 PIN,而不需要等待憑證承載。
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN 長度必須大於或等於這個數位。
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN 長度必須小於或等於這個數位。
TenantId/Policies/PINComplexity/UppercaseLetters 2 數位是必要的,而且不允許所有其他字元集。
TenantId/Policies/PINComplexity/LowercaseLetters 2 數位是必要的,而且不允許所有其他字元集。
TenantId/Policies/PINComplexity/SpecialCharacters 2 不允許在 PIN 中使用特殊字元。
TenantId/Policies/PINComplexity/Digits 0 允許在 PIN 中使用數位。
TenantId/Policies/PINComplexity/History 10 與無法重複使用的用戶帳戶相關聯的過去 PIN 數目。
TenantId/Policies/PINComplexity/Expiration 90 在系統要求使用者變更 PIN 之前,可以使用 PIN 的期間(以天為單位)。
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates 當要求使用者授權使用憑證的私鑰時,應用程式不會使用 Windows Hello 企業版憑證作為智慧卡憑證,且生物特徵辨識因素可供使用。

1.4 RootCATrustedCertificates CSP

我們建議將此 CSP 中的 根、CA、TrustedPublisher 和 TrustedPeople 節點設定為最佳做法,但不建議在此 CSP 中每個節點的特定值。

1.5 TenantLockdown CSP

節點名稱 描述
RequireNetworkInOOBE 當裝置在第一次登入或重設之後通過 OOBE 時,用戶必須先選擇網路再繼續。 目前沒有 [略過] 選項。 此選項可確保裝置在意外或刻意重設或抹除時仍會系結至租使用者。

1.6 VPNv2 CSP

我們建議將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,我們並沒有特定值的建議。 大部分的設定都與客戶環境相關。

1.7 WiFi CSP

我們建議將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,我們並沒有特定值的建議。 大部分的設定都與客戶環境相關。

2 進階安全性基準設定

下列各節說明每個 CSP 的建議設定,做為進階安全性基準配置檔的一部分。

2.1 原則 CSP

原則名稱 描述
帳戶
帳戶/AllowMicrosoftAccountConnection 0 – 不允許 限制使用者使用 MSA 帳戶進行非電子郵件相關的連線驗證和服務。
應用程式管理
ApplicationManagement/AllowAllTrustedApps 0 - 明確拒絕 明確拒絕非Microsoft市集應用程式。
ApplicationManagement/AllowAppStoreAutoUpdate 1 – 允許 允許從 Microsoft Store 自動更新應用程式。
ApplicationManagement/AllowDeveloperUnlock 0 - 明確拒絕 限制使用者解除鎖定開發人員模式,讓使用者可從IDE在裝置上安裝應用程式。
驗證
Authentication/AllowFastReconnect 0 – 不允許 不允許嘗試 EAP 方法 TLS 的 EAP 快速重新連線。
藍牙
藍牙/AllowDiscoverableMode 0 – 不允許 其他裝置將無法偵測到此裝置。
Browser
Browser/AllowAutofill 0 – 禁止/不允許 防止使用者使用自動填入功能自動填入 Microsoft Edge 中的表單域。
Browser/AllowCookies 1 – 僅封鎖來自第三方網站的 Cookie 僅封鎖來自第三方網站的 Cookie。
Browser/AllowDoNotTrack 0 - 永不傳送追蹤資訊 永遠不要傳送追蹤資訊。
Browser/AllowPasswordManager 0 – 不允許 不允許Microsoft Edge 使用密碼管理員。
Browser/AllowPopups 1 – 開啟快顯封鎖程式 開啟快顯封鎖程式,停止彈出窗口開啟。
Browser/AllowSearchSuggestionsinAddressBar 0 – 禁止/不允許 在 Microsoft Edge 的網址列中隱藏搜尋建議。
Browser/AllowSmartScreen 1 – 已開啟 開啟 Windows Defender SmartScreen,並防止使用者將其關閉。
連線能力
Connectivity/AllowBluetooth 0 – 不允許藍牙 藍牙控制面板呈現灰色,用戶將無法開啟藍牙。
Connectivity/AllowUSBConnection 0 – 不允許 停用裝置與電腦之間的 USB 連線,以與裝置同步處理檔案,或使用開發人員工具來部署或偵錯應用程式。
裝置鎖定
DeviceLock/AllowIdleReturnWithoutPassword 0 – 不允許 不允許在沒有 PIN 或密碼的情況下從閑置中返回。
DeviceLock/AllowSimpleDevicePassword 0 – 已封鎖 封鎖 PIN 或密碼,例如 「1111」 或 「1234」。。
DeviceLock/AlphanumericDevicePasswordRequired 0 – 需要密碼或英數位元 PIN 需要密碼或英數位元 PIN。
DeviceLock/DevicePasswordEnabled 0 – 已啟用 已啟用裝置鎖定。
DeviceLock/DevicePasswordHistory 整數 X,其中 0 < X < 50Recommended 值:15 指定在無法使用的歷程記錄中可以儲存多少個密碼。
DeviceLock/MaxDevicePasswordFailedAttempts 整數 X,其中用戶端裝置的 4 < X < 16 建議值:10 抹除裝置之前允許的驗證失敗數目。
DeviceLock/MaxInactivityTimeDeviceLock 整數 X,其中 0 < X < 999 建議值:3 指定裝置閑置后允許的時間上限(以分鐘為單位),導致裝置變成 PIN 或密碼鎖定。
DeviceLock/MinDevicePasswordComplexCharacters 3 - 需要數位、小寫字母和大寫字母 強式 PIN 或密碼所需的複雜元素類型數目(大寫和小寫字母、數位和標點符號)。
DeviceLock/MinDevicePasswordLength 整數 X,其中用戶端裝置的 4 < X < 16 建議值:12 指定 PIN 或密碼中所需的最小數位或字元。
MDM 註冊
Experience/AllowManualMDMUnenrollment 0 – 不允許 不允許使用者使用工作場所控制面板刪除工作場所帳戶。
身分識別
MixedReality/AADGroupMembershipCacheValidityInDays 快取為 validRecommended 值的天數:7 天 Microsoft Entra 群組成員資格快取應該有效的天數。
Power
Power/DisplayOffTimeoutPluggedIn 以秒數為單位的空閒時間Recommended 值:60 秒 可讓您指定 Windows 關閉顯示器之前閒置的期間。
隱私權
隱私權/LetAppsAccess
AccountInfo
2 - 強制拒絕 拒絕 Windows 應用程式存取帳戶資訊。
隱私權/LetAppsAccess
AccountInfo_ForceAllowTheseApps
以分號分隔的 Windows 應用程式套件系列名稱清單 列出的 Windows 應用程式允許存取帳戶資訊。
隱私權/LetAppsAccess
AccountInfo_ForceDenyTheseApps
以分號分隔的 Windows 應用程式套件系列名稱清單 列出的 Windows 應用程式拒絕存取帳戶資訊。
隱私權/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
以分號分隔的 Windows 應用程式套件系列名稱清單 用戶能夠控制列出的 Windows 應用程式的帳戶資訊隱私權設定。
隱私權/LetAppsAccess
BackgroundSpatialPerception
2 - 強制拒絕 拒絕 Windows 應用程式在背景中執行時,存取使用者頭部、手部、運動控制器和其他追蹤對象的移動。
隱私權/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Windows 市集應用程式的分號分隔套件系列名稱清單 在背景中執行應用程式時,允許列出的應用程式存取用戶的移動。
隱私權/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Windows 市集應用程式的分號分隔套件系列名稱清單 當應用程式在背景中執行時,列出的應用程式會拒絕存取用戶的移動。
隱私權/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Windows 市集應用程式的分號分隔套件系列名稱清單 用戶能夠控制所列應用程式的用戶移動隱私權設定。
隱私權/LetAppsAccess
Microphone_ForceDenyTheseApps
Microsoft Store Apps 的分號分隔套件系列名稱清單 列出的應用程式拒絕存取麥克風。
隱私權/LetAppsAccess
Microphone_UserInControlOfTheseApps
Microsoft Store Apps 的分號分隔套件系列名稱清單 用戶能夠控制所列應用程式的麥克風隱私權設定。
搜尋
Search/AllowSearchToUseLocation 0 – 不允許 不允許搜尋使用位置資訊。
安全性
Security/AllowAddProvisioningPackage 0 – 不允許 不允許運行時間設定代理程式安裝布建套件。
設定
設定/AllowVPN 0 – 不允許 不允許使用者變更 VPN 設定。
Settings/PageVisibilityList 用戶可看見之頁面的縮短名稱會提供UI來選取或取消選取頁面名稱。 請參閱建議頁面的批注以隱藏。 只允許在 [設定] 應用程式中向用戶顯示列出的頁面。
系統
System/AllowStorageCard 0 – 不允許 不允許使用 SD 記憶卡,並停用 USB 磁碟驅動器。 此設定不會防止以程式設計方式存取儲存卡。
System/AllowTelemetry 0 - 不允許 不允許裝置傳送診斷和使用遙測數據,例如 Watson。
更新
Update/AllowUpdateService 1 – 允許 允許存取 Microsoft Update、Windows Server Update Services (WSUS), 或 Microsoft Store。
Update/ManagePreviewBuilds 0 - 停用預覽組建 不允許在裝置上安裝預覽組建。
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – 不允許 不允許連線到 MDM 伺服器安裝網路外部 Wi-Fi。

2.2 AccountManagement CSP

節點名稱 描述
UserProfileManagement/EnableProfileManager 啟用共用或公用裝置案例的配置檔存留期管理。
UserProfileManagement/DeletionPolicy 2 - 在記憶體容量閾值和配置檔無活動閾值刪除 設定何時刪除配置檔。
UserProfileManagement/StorageCapacityStartDeletion 25% 當可用的記憶體容量低於此閾值時,請開始刪除配置檔,指定為設定檔可用記憶體總數的百分比。 一開始會刪除非使用中最長的配置檔。
UserProfileManagement/StorageCapacityStopDeletion 50% 當可用的記憶體容量達到此閾值時,請停止刪除配置檔,指定為設定檔可用記憶體總數的百分比。
UserProfileManagement/ProfileInactivityThreshold 30 在指定的期間內未登入設定檔時,開始刪除配置檔,指定為天數。

2.3 ApplicationControl CSP

節點名稱 描述
原則/原則 GUID 原則 Blob 中的 原則標識碼 原則 Blob 中的原則標識碼。
原則/原則 GUID/Policy 原則 Blob 以base64編碼的原則二進位 Blob。

2.4 ClientCertificateInstall CSP

建議您將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,都沒有任何特定值的建議。

2.5 PassportForWork CSP

節點名稱 描述
租用戶標識碼 TenantId 全域唯一標識碼 (GUID),不含大括弧 ({ , } ),做為 Windows Hello 企業版布建和管理的一部分。
TenantId/Policies/UsePassportForWork 將 Windows Hello 企業版設定為登入 Windows 的方法。
TenantId/Policies/RequireSecurityDevice 需要適用於 Windows Hello 企業版的信任平台模組 (TPM)。
TenantId/Policies/ExcludeSecurityDevices/TPM12 TPM 修訂 1.2 模組可搭配 Windows Hello 企業版使用。
TenantId/Policies/EnablePinRecovery 不會建立或儲存 PIN 修復密碼。
TenantId/Policies/UseCertificateForOnPremAuth 當使用者登入時,會布建 PIN,而不需要等待憑證承載。
TenantId/Policies/PINComplexity/MinimumPINLength 6 PIN 長度必須大於或等於這個數位。
TenantId/Policies/PINComplexity/MaximumPINLength 6 PIN 長度必須小於或等於這個數位。
TenantId/Policies/PINComplexity/UppercaseLetters 2 數位是必要的,而且不允許所有其他字元集。
TenantId/Policies/PINComplexity/LowercaseLetters 2 數位是必要的,而且不允許所有其他字元集。
TenantId/Policies/PINComplexity/SpecialCharacters 2 不允許在 PIN 中使用特殊字元。
TenantId/Policies/PINComplexity/Digits 0 允許在 PIN 中使用數位。
TenantId/Policies/PINComplexity/History 10 與無法重複使用的用戶帳戶相關聯的過去 PIN 數目。
TenantId/Policies/PINComplexity/Expiration 90 在系統要求使用者變更 PIN 之前,可以使用 PIN 的期間(以天為單位)。
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates 當要求使用者授權使用憑證的私鑰時,應用程式不會使用 Windows Hello 企業版憑證作為智慧卡憑證,且生物特徵辨識因素可供使用。

2.6 RootCATrustedCertificates CSP

建議您將此 CSP 中的每個節點設定 根、CA、TrustedPublisher 和 TrustedPeople 節點作為最佳做法,但不建議在此 CSP 中每個節點的特定值上。

2.7 TenantLockdown CSP

節點名稱 描述
RequireNetworkInOOBE 當裝置在第一次登入或重設之後通過 OOBE 時,用戶必須先選擇網路,才能繼續。 目前沒有 [略過] 選項。 這可確保裝置在意外或刻意重設或抹除時仍會系結至租使用者。

2.8 VPNv2 CSP

建議您將 VPN 設定檔設定為最佳做法,但不建議此 CSP 中的每個節點使用特定值。 大部分的設定都與客戶環境相關。

2.9 WiFi CSP

建議您將WiFi設定檔設定為最佳做法,但不建議此 CSP 中的每個節點使用特定值。 大部分的設定都與客戶環境相關。

如何啟用這些安全性基底線

  1. 檢閱安全性基準,並決定要套用的內容。
  2. 決定您要指派基準的 Azure 群組。 (更多關於使用者和群組
  3. 建立基準。

以下說明如何建立基準。

許多設定都可以使用 [設定] 目錄來新增,不過有時可能會有尚未填入 [設定] 目錄的設定。 在這些情況下,您將使用自定義原則,或 OMA-URI(開放行動聯盟 - 統一資源標識符)。 從查看 [設定] 目錄開始,如果找不到,請遵循下列指示,透過 OMA-URI 建立自定義原則。

設定目錄

MEM 系統管理中心登入您的帳戶,

  1. 瀏覽至 裝置 ->組態設定檔 ->+建立設定檔。 針對 [平臺],選取 [Windows 10 和更新版本],然後針對配置檔類型選取 [設定目錄 [預覽]
  2. 建立配置檔的名稱,然後選取 [下一步] 按鈕
  3. 在 [組態設定] 畫面上,選取 [+ 新增設定

使用上述基準的原則名稱,您可以搜尋原則。 設定目錄會縮小名稱的空間,因此若要尋找「Accounts/AllowMicrosoftAccountConnection」,您必須搜尋「允許Microsoft帳戶連線」。 搜尋之後,您會看到原則清單縮減為只有具有此原則的 CSP。 選取 [帳戶](或與您目前搜尋的項目相關的 CSP),一旦您看到下列原則結果。 核取原則的方塊。

設定選擇器選項的螢幕快照。

完成後,左側的面板將會新增 CSP 類別,以及您新增的設定。 您可以從這裡將它從預設設定設定設定為更安全的設定。

設定目錄的螢幕快照。

您可以繼續將多個組態新增至相同的配置檔,這可讓您更輕鬆地一次指派。

新增自定義 OMA-URI 原則

某些原則可能尚未在 [設定] 目錄中提供。 針對這些原則,您必須 建立自訂 OMA-URI 設定檔。在 MEM 系統管理中心登入您的帳戶,

  1. 瀏覽至 裝置 ->組態設定檔 ->+建立設定檔。 針對 [平臺],選取 [Windows 10 和更新版本],然後針對配置檔類型選取 [範本],然後選取 [[自定義]。
  2. 建立配置檔的名稱,然後選取 [下一步] 按鈕
  3. 選取 [新增] 按鈕

您必須填寫幾個欄位。

  • 名稱,您可以將它命名為與原則相關的任何專案。 這可以是您用來辨識它的速記名稱。
  • 描述將會是您可能需要的更多詳細數據。
  • OMA-URI 會是原則所在之完整 OMA-URI 字串。 範例:./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • 數據類型是此原則所接受的值類型。 在此範例中,它是介於 0 到 60 之間的數位,因此已選取 Integer。
  • 選取資料類型之後,您將能夠寫出或上傳欄位中所需的值。

設定 OMA-URI 的螢幕快照。

完成後,您的原則就會新增至主視窗。 您可以繼續將所有自訂原則新增至相同的自定義組態。 這有助於減少管理多個裝置組態,並讓指派更容易。

OMA-URI 組態的螢幕快照。