CSP SecurityPolicy
La tabella seguente mostra l'applicabilità di Windows:
| Edizione | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sì | Sì |
| Pro | Sì | Sì |
| Windows SE | No | Sì |
| Lavoro | Sì | Sì |
| Per le aziende | Sì | Sì |
| Istruzione | Sì | Sì |
Il provider di servizi di configurazione SecurityPolicy viene usato per configurare le impostazioni dei criteri di sicurezza per WAP push, OMA Client Provisioning, OMA DM, Service Indication (SI), Service Loading (SL) e MMS.
Nota
Questo provider di servizi di configurazione richiede l'accesso alle funzionalità di ID_CAP_CSP_FOUNDATION e ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES da un'applicazione di configurazione di rete.
Per il provider di servizi di configurazione SecurityPolicy, non è possibile usare il comando Sostituisci a meno che il nodo non esista già.
Nell'esempio seguente viene illustrato l'oggetto di gestione del provider di servizi di configurazione SecurityPolicy in formato albero usato sia da OMA DM che da OMA Client Provisioning.
./Vendor/MSFT
SecurityPolicy
----PolicyID
POLICYID Definisce l'identificatore dei criteri di sicurezza come valore decimale.
Sono supportati i criteri di sicurezza seguenti.
PolicyID: 4104 | Esadecimale: 1008
- Nome criterio: Criteri TPS
- Descrizione dei criteri: questa impostazione indica se agli operatori di telefonia mobile è possibile assegnare il ruolo TPS (Trusted Provisioning Server) SECROLE_OPERATOR_TPS.
- Valore predefinito: 1
- Valori supportati:
- 0: l'assegnazione del ruolo TPS è disabilitata.
- 1: l'assegnazione del ruolo TPS è abilitata e può essere assegnata agli operatori di telefonia mobile.
PolicyID: 4105 | Esadecimale: 1009
- Nome criterio: Criteri di ripetizione dei tentativi di autenticazione dei messaggi
- Descrizione dei criteri: questa impostazione specifica il numero massimo di volte in cui l'utente può provare a autenticare un messaggio con firma PIN WAP (Wireless Application Protocol).
- Valore predefinito: 3
- Valori supportati: da 0 a 256
PolicyID: 4108 | Esadecimale: 100c
- Nome criterio: Criteri di caricamento del servizio
- Descrizione dei criteri: questa impostazione indica se i messaggi SL vengono accettati, specificando i ruoli di sicurezza che possono accettare i messaggi sl. Un messaggio SL scarica nuovi servizi o esegue il provisioning di XML nel dispositivo.
- Valore predefinito: 256 (SECROLE_KNOWN_PPG)
- Valori supportati: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID: 4109 | Esadecimale:100d
- Nome criterio: Criteri di indicazione del servizio
- Descrizione dei criteri: questa impostazione indica se i messaggi SI vengono accettati specificando i ruoli di sicurezza che possono accettare i messaggi SI. Un messaggio SI viene inviato al dispositivo per notificare agli utenti nuovi servizi, aggiornamenti del servizio e servizi di provisioning.
- Valore predefinito: 256 (SECROLE_KNOWN_PPG)
- Valori supportati: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID: 4111 | Esadecimale:100f
- Nome criterio: Criteri di provisioning OTA
- Descrizione dei criteri: questa impostazione determina se i messaggi di provisioning client OMA firmati dal PIN verranno elaborati. Il valore di questo criterio specifica una maschera di ruolo. Se un messaggio contiene almeno uno dei ruoli seguenti nella maschera dei ruoli, il messaggio viene elaborato. Per garantire che i messaggi di provisioning client OMA firmati correttamente vengano accettati dal client di configurazione, tutti i ruoli impostati nei criteri 4141, 4142 e 4143 devono essere impostati anche in questo criterio. Ad esempio, per assicurarsi che i messaggi di provisioning client OMA firmati da USERNETWPIN firmati correttamente vengano accettati dal dispositivo, se il criterio 4143 è impostato su 4096 (SECROLE_ANY_PUSH_SOURCE) per un dispositivo sbloccato dal gestore telefonico, anche il criterio 4111 deve avere il ruolo SECROLE_ANY_PUSH_SOURCE impostato.
- Valore predefinito: 384 (SECROLE_OPERATOR_TPS | SECROLE_KNOWN_PPG)
- Valori supportati: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID: 4113 | Esadecimale:1011
- Nome criterio: Criteri push WSP
- Descrizione dei criteri: questa impostazione indica se le notifiche WSP (Wireless Session Protocol) dallo stack WAP vengono instradate.
- Valore predefinito: 1
- Valori supportati:
- 0: il routing delle notifiche WSP non è consentito.
- 1: il routing delle notifiche WSP è consentito.
PolicyID: 4132 | Esadecimale:1024
- Nome criterio: Criteri di richiesta utente per il provisioning del messaggio di provisioning OTA firmati dal PIN di rete
- Descrizione dei criteri: questo criterio specifica se il dispositivo richiederà a un'interfaccia utente di ottenere la conferma dell'utente prima di elaborare un messaggio di provisioning OTA con pin di rete puro. Se richiesto, l'utente ha la possibilità di eliminare il messaggio di provisioning OTA.
- Valore predefinito: 0
- Valori supportati:
- 0: il dispositivo richiede a un'interfaccia utente di ottenere la conferma dell'utente quando il messaggio di provisioning WAP OTA viene firmato esclusivamente con il pin di rete.
- 1: Non è presente alcuna richiesta dell'utente.
PolicyID: 4141 | Esadecimale:102d
- Nome criterio: Criteri OMA CP NETWPIN
- Descrizione dei criteri: questa impostazione determina se il messaggio firmato pin di rete OMA verrà accettato. La maschera del ruolo del messaggio e maschera del ruolo del criterio vengono combinate con l'operatore AND. Se il risultato è diverso da zero, il messaggio viene accettato.
- Valore predefinito: 0
- Valori supportati: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID: 4142 | Esadecimale:102e
- Nome criterio: OMA CP USERPIN Policy
- Descrizione dei criteri: questa impostazione determina se il PIN utente OMA o il messaggio con firma MAC dell'utente verranno accettati. La maschera del ruolo del messaggio e maschera del ruolo del criterio vengono combinate con l'operatore AND. Se il risultato è diverso da zero, il messaggio viene accettato.
- Valore predefinito: 256
- Valori supportati: SECROLE_OPERATOR_TPS, SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID: 4143 | Esadecimale:102f
- Nome criterio: OMA CP USERNETWPIN Policy
- Descrizione dei criteri: questa impostazione determina se il messaggio firmato pin di rete dell'utente OMA verrà accettato. La maschera del ruolo del messaggio e maschera del ruolo del criterio vengono combinate con l'operatore AND. Se il risultato è diverso da zero, il messaggio viene accettato.
- Valore predefinito: 256
- Valori supportati: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID: 4144 | Esadecimale:1030
- Nome criterio: Criteri messaggio MMS
- Descrizione dei criteri: questa impostazione determina se i messaggi MMS verranno elaborati. Il valore di questo criterio specifica una maschera di ruolo. Se un messaggio contiene almeno uno dei ruoli nella maschera di ruolo, il messaggio viene elaborato.
- Valore predefinito: 256 (SECROLE_KNOWN_PPG)
- Valori supportati: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE
Osservazioni
I ruoli di sicurezza consentono o limitano l'accesso alle risorse del dispositivo. Il ruolo di sicurezza si basa sull'origine del messaggio e sulla modalità di firma del messaggio. È possibile assegnare più ruoli a un messaggio nel documento XML dei criteri di sicurezza combinando i valori decimali dei ruoli che si desidera assegnare. Ad esempio, per assegnare entrambi i ruoli SECROLE_KNOWN_PPG e SECROLE_OPERATOR_TPS, usare il valore decimale 384 (256+128).
Sono supportati i ruoli di sicurezza seguenti.
| Ruolo di sicurezza | Valore decimale | Descrizione |
|---|---|---|
| SECROLE_OPERATOR_TPS | 128 | Server di provisioning attendibile. Assegnato ai messaggi WAP provenienti da un iniziatore push autenticato (SECROLE_PPG_AUTH) da un gateway proxy push attendibile (SECROLE_TRUSTED_PPG) e in cui l'URI (Uniform Resource Identifier) dell'iniziatore push corrisponde all'URI del server di provisioning attendibile nel dispositivo. L'operatore di telefonia mobile può determinare se questo ruolo e il ruolo SECROLE_OPERATOR richiedono le stesse autorizzazioni. |
| SECROLE_KNOWN_PPG | 256 | Gateway proxy push noto. I messaggi assegnati a questo ruolo indicano che il dispositivo conosce l'indirizzo del gateway proxy push. |
| SECROLE_ANY_PUSH_SOURCE | 4096 | Push Router. I messaggi ricevuti dal router push verranno assegnati a questo ruolo. |
Esempi di provisioning client OMA
Impostazione di un criterio di sicurezza:
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm name="4141" value="0"/>
</characteristic>
<wap-provisioningdoc>
Esecuzione di query su criteri di sicurezza:
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm-query name="4141"/>
</characteristic>
<wap-provisioningdoc>
Esempi di dm OMA
Impostazione di un criterio di sicurezza:
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Replace>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Esecuzione di query su criteri di sicurezza:
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Elementi personalizzati Microsoft
La tabella seguente illustra gli elementi personalizzati Microsoft supportati da questo provider di servizi di configurazione per il provisioning client OMA.
| Elementi | Disponibile |
|---|---|
| parm-query | Sì |
| noparm | Sì. Se si usa questo elemento, il criterio viene impostato su 0 per impostazione predefinita (corrispondente ai valori più restrittivi dei criteri). |
Argomenti correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per