セキュリティ ベースラインのHoloLens 2
重要
このセキュリティ ベースラインで使用されるポリシーの一部は、最新の Insider ビルドで導入されています。 これらのポリシーは、最新の Insider ビルドに更新されたデバイスでのみ機能します。
この記事では、構成サービス プロバイダー (CSP) を使用してHoloLens 2で構成できるさまざまなセキュリティ ベースライン設定の一覧を示し、説明します。 Microsoft Endpoint Manager (正式には Microsoft Intune と呼ばれます) を使用したモバイル デバイス管理の一環として、組織のポリシーとニーズに応じて、次の標準または高度なセキュリティ ベースライン設定を使用します。 これらのセキュリティ ベースライン設定を使用して、組織のリソースを保護します。
- 標準的なセキュリティ ベースライン設定は、ユース ケースのシナリオや業界の業種に関係なく、すべての種類のユーザーに適用されます。
- 高度なセキュリティ ベースライン設定は、環境の厳格なセキュリティ制御を持ち、環境内で使用されるデバイスに厳しいセキュリティ ポリシーを必要とするユーザーに推奨される設定です。
これらのセキュリティ ベースライン設定は、さまざまな業界のお客様にHoloLens 2デバイスを展開およびサポートする上で得られた Microsoft のベスト プラクティス ガイドラインと経験に基づいています。
セキュリティ ベースラインを確認し、両方または一部を使用することを決定したら、これらのセキュリティベースラインを有効にする方法をチェック
1. 標準のセキュリティ ベースライン設定
次のセクションでは、標準のセキュリティ ベースライン プロファイルの一部として各 CSP の推奨設定について説明します。
1.1 ポリシー CSP
ポリシー名 | Value | 説明 |
---|---|---|
Accounts | ||
Accounts/AllowMicrosoftAccountConnection | 0 – 許可されていません | メールに関連しない接続認証とサービスに MSA アカウントを使用するようにユーザーを制限します。 |
アプリケーション管理 | ||
ApplicationManagement/AllowAllTrustedApps | 0 - 明示的な拒否 | Microsoft Store 以外のアプリを明示的に拒否します。 |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 許可 | Microsoft Store からのアプリの自動更新を許可します。 |
ApplicationManagement/AllowDeveloperUnlock | 0 - 明示的な拒否 | 開発者モードのロックを解除するようにユーザーを制限します。これにより、ユーザーは IDE からデバイスにアプリをインストールできます。 |
ブラウザー | ||
Browser/AllowCookies | 1 – 第三者のウェブサイトからのクッキーのみをブロックする | このポリシーを使用すると、サードパーティの Cookie のみをブロックするか、すべての Cookie をブロックするように Microsoft Edge を構成できます。 |
Browser/AllowPasswordManager | 0 - 許可しない | Microsoft Edge でパスワード マネージャーを使用できないようにします。 |
Browser/AllowSmartScreen | 1 – オン | SmartScreen Windows Defenderをオンにし、ユーザーが無効にできないようにします。 |
接続 | ||
Connectivity/AllowUSBConnection | 0 - 許可しない | デバイスとコンピューターの間の USB 接続を無効にして、デバイスとファイルを同期したり、開発者ツールを使用してアプリケーションを展開またはデバッグしたりします。 |
デバイスのロック | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 - 許可しない | PIN またはパスワードなしでアイドル状態から戻りを禁止します。 |
DeviceLock/AllowSimpleDevicePassword | 0 – ブロック | PIN またはパスワード ("1111" や "1234" など) をブロックします。 |
DeviceLock/英数字DevicePasswordRequired | 1 – パスワードまたは数値 PIN が必要 | パスワードまたは英数字の PIN が必要です。 |
DeviceLock/DevicePasswordEnabled | 0 - 有効 | デバイス ロックが有効になっています。 |
DeviceLock/MaxInactivityTimeDeviceLock | 整数 X (0 < X < 999 推奨値: 3) | デバイスがアイドル状態になった後に許可される最大時間 (分単位) を指定します。これにより、デバイスは PIN またはパスワードロックになります。 |
DeviceLock/MinDevicePasswordComplexCharacters | 1 - 数字のみ | 強力な PIN またはパスワードに必要な複合要素の種類 (大文字、小文字、数字、句読点) の数です。 |
DeviceLock/MinDevicePasswordLength | 整数 X (クライアント デバイスの場合は 4 < X < 16)、値は 8 です。 | PIN またはパスワードに必要な最小文字数を指定します。 |
MDM 登録 | ||
Experience/AllowManualMDMUnenrollment | 0 - 許可しない | ユーザーがワークプレース コントロール パネルを使用して職場アカウントを削除できないようにします。 |
ID | ||
MixedReality/AADGroupMembershipCacheValidityInDays | キャッシュが有効になる日数Recommended 値: 7 日 | Microsoft Entra グループ メンバーシップ キャッシュが有効である必要がある日数。 |
電源 | ||
Power/DisplayOffTimeoutPluggedIn | アイドル時間 (秒数): 60 秒 | Windows がディスプレイをオフにする前の非アクティブ期間を指定できます。 |
設定 | ||
Settings/AllowVPN | 0 - 許可しない | ユーザーが VPN 設定を変更できないようにします。 |
Settings/PageVisibilityList | ユーザーに表示されるページの短縮名。 ページ名を選択または選択解除する UI を提供します。 非表示にする推奨ページについては、コメントを参照してください。 | [設定] アプリで一覧表示されているページのみをユーザーに表示できるようにします。 |
システム | ||
System/AllowStorageCard | 0 - 許可しない | SD カードの使用は許可されておらず、USB ドライブは無効になっています。 この設定では、ストレージ カードへのプログラムによるアクセスは禁止されません。 |
更新プログラム | ||
Update/AllowUpdateService | 1 – 許可 | Microsoft Update、Windows Server Update Services (WSUS)、または Microsoft Store へのアクセスを許可します。 |
Update/ManagePreviewBuilds | 0 - プレビュー ビルドを無効にする | プレビュー ビルドをデバイスにインストールできないようにします。 |
1.2 ClientCertificateInstall CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP 内の各ノードの特定の値に関する推奨事項はありません。
1.3 PassportForWork CSP
Node Name (ノード名) | Value | 説明 |
---|---|---|
テナント ID | TenantId | プロビジョニングと管理の Windows Hello for Business一部として使用される、中かっこ ( { 、 } ) のないグローバル一意識別子 (GUID)。 |
TenantId/Policies/UsePassportForWork | True | windows にサインインするためのメソッドとしてWindows Hello for Businessを設定します。 |
TenantId/Policies/RequireSecurityDevice | True | Windows Hello for Business用のトラステッド プラットフォーム モジュール (TPM) が必要です。 |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM リビジョン 1.2 モジュールは、Windows Hello for Businessで使用できます。 |
TenantId/Policies/EnablePinRecovery | False | PIN 回復シークレットは作成も格納もされません。 |
TenantId/Policies/UseCertificateForOnPremAuth | False | PIN は、ユーザーがサインインするときに、証明書のペイロードを待たずにプロビジョニングされます。 |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN の長さは、この数値以上である必要があります。 |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN の長さは、この数値以下である必要があります。 |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN で特殊文字を使用することはできません。 |
TenantId/Policies/PINComplexity/Digits | 0 | PIN での数字の使用を許可します。 |
TenantId/Policies/PINComplexity/History | 10 | 再利用できないユーザー アカウントに関連付けることができる過去の PIN の数。 |
TenantId/Policies/PINComplexity/Expiration | 90 | システムがユーザーに変更を要求する前に PIN を使用できる期間 (日数)。 |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | アプリケーションはスマート カード証明書としてWindows Hello for Business証明書を使用しません。また、ユーザーが証明書の秘密キーの使用を承認するように求められた場合は、生体認証要素を使用できます。 |
1.4 RootCATrustedCertificates CSP
ベスト プラクティスとして、この CSP で ルート、CA、TrustedPublisher、TrustedPeople の各ノードを構成することをお勧めしますが、この CSP 内の各ノードの特定の値はお勧めしません。
1.5 TenantLockdown CSP
Node Name (ノード名) | Value | 説明 |
---|---|---|
RequireNetworkInOOBE | True | デバイスが最初のサインイン時またはリセット後に OOBE を通過する場合、ユーザーは先に進む前にネットワークを選択する必要があります。 "今すぐスキップ" オプションはありません。 このオプションを使用すると、偶発的または意図的なリセットやワイプが発生した場合に備えて、デバイスがテナントにバインドされたままになります。 |
1.6 VPNv2 CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP 内の各ノードの特定の値に関する推奨事項はありません。 ほとんどの設定は、顧客環境に関連しています。
1.7 WiFi CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP 内の各ノードの特定の値に関する推奨事項はありません。 ほとんどの設定は、顧客環境に関連しています。
2 セキュリティ ベースラインの詳細設定
次のセクションでは、高度なセキュリティ ベースライン プロファイルの一部として各 CSP の推奨設定について説明します。
2.1 ポリシー CSP
ポリシー名 | Value | 説明 |
---|---|---|
Accounts | ||
Accounts/AllowMicrosoftAccountConnection | 0 – 許可されていません | メールに関連しない接続認証とサービスに MSA アカウントを使用するようにユーザーを制限します。 |
アプリケーション管理 | ||
ApplicationManagement/AllowAllTrustedApps | 0 - 明示的な拒否 | Microsoft Store 以外のアプリを明示的に拒否します。 |
ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 許可 | Microsoft Store からのアプリの自動更新を許可します。 |
ApplicationManagement/AllowDeveloperUnlock | 0 - 明示的な拒否 | 開発者モードのロックを解除するようにユーザーを制限します。これにより、ユーザーは IDE からデバイスにアプリをインストールできます。 |
認証 | ||
Authentication/AllowFastReconnect | 0 - 許可しない | EAP メソッド TLS に対して EAP 高速再接続が試行されないようにします。 |
Bluetooth | ||
Bluetooth/AllowDiscoverableMode | 0 - 許可しない | 他のデバイスでは、このデバイスを検出できません。 |
ブラウザー | ||
Browser/AllowAutofill | 0 – 禁止/禁止 | ユーザーがオートフィル機能を使用して、Microsoft Edge のフォーム フィールドに自動的にデータを入力できないようにします。 |
Browser/AllowCookies | 1 – サード パーティの Web サイトからの Cookie のみをブロックする | サード パーティの Web サイトからの Cookie のみをブロックします。 |
Browser/AllowDoNotTrack | 0 - 追跡情報を送信しない | 追跡情報を送信しないでください。 |
Browser/AllowPasswordManager | 0 - 許可しない | Microsoft Edge でパスワード マネージャーを使用できないようにします。 |
Browser/AllowPopups | 1 – ポップアップブロッカーを有効にする | ポップアップ ブロックを有効にすると、ポップアップ ウィンドウが開かなくなります。 |
Browser/AllowSearchSuggestionsinAddressBar | 0 – 禁止/禁止 | Microsoft Edge のアドレス バーで検索候補を非表示にします。 |
Browser/AllowSmartScreen | 1 – オン | SmartScreen Windows Defenderをオンにし、ユーザーが無効にできないようにします。 |
接続 | ||
Connectivity/AllowBluetooth | 0 – Bluetooth を禁止する | Bluetooth コントロール パネルが淡色表示され、ユーザーは Bluetooth をオンにできなくなります。 |
Connectivity/AllowUSBConnection | 0 - 許可しない | デバイスとコンピューター間の USB 接続を無効にして、ファイルをデバイスと同期するか、開発者ツールを使用してアプリケーションを展開またはデバッグします。 |
デバイスのロック | ||
DeviceLock/AllowIdleReturnWithoutPassword | 0 - 許可しない | PIN またはパスワードなしでアイドル状態から戻りを禁止します。 |
DeviceLock/AllowSimpleDevicePassword | 0 – ブロック | PIN またはパスワード ("1111" や "1234" など) をブロックします。 |
DeviceLock/英数字DevicePasswordRequired | 0 – パスワードまたは英数字の PIN が必要 | パスワードまたは英数字の PIN が必要です。 |
DeviceLock/DevicePasswordEnabled | 0 - 有効 | デバイス ロックが有効になっています。 |
DeviceLock/DevicePasswordHistory | 整数 X (0 < X < 50Recommended 値: 15) | 使用できないパスワードを履歴にいくつ保存できるかを指定します。 |
DeviceLock/MaxDevicePasswordFailedAttempts | クライアント デバイスの場合は 4 < X < 16 の整数 XRecommended 値: 10 | デバイスがワイプされるまでに許容される認証の失敗回数。 |
DeviceLock/MaxInactivityTimeDeviceLock | 整数 X (0 < X < 999 推奨値: 3) | デバイスがアイドル状態になった後に許可される最大時間 (分単位) を指定します。これにより、デバイスが PIN またはパスワードロックされます。 |
DeviceLock/MinDevicePasswordComplexCharacters | 3 - 数字、小文字、大文字が必要です | 強力な PIN またはパスワードに必要な複合要素の種類 (大文字、小文字、数字、句読点) の数です。 |
DeviceLock/MinDevicePasswordLength | クライアント デバイスの場合は 4 < X < 16 の整数 XRecommended 値: 12 | PIN またはパスワードに必要な最小文字数を指定します。 |
MDM 登録 | ||
Experience/AllowManualMDMUnenrollment | 0 - 許可しない | ユーザーがワークプレース コントロール パネルを使用して職場アカウントを削除できないようにします。 |
ID | ||
MixedReality/AADGroupMembershipCacheValidityInDays | キャッシュが有効になる日数Recommended 値: 7 日 | Microsoft Entra グループ メンバーシップ キャッシュが有効である必要がある日数。 |
電源 | ||
Power/DisplayOffTimeoutPluggedIn | アイドル時間 (秒数): 60 秒 | Windows がディスプレイをオフにする前の非アクティブ期間を指定できます。 |
プライバシー | ||
Privacy/LetAppsAccess AccountInfo |
2 - 強制的に拒否する | アカウント情報への Windows アプリのアクセスを拒否します。 |
Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows アプリのセミコロン区切りパッケージ ファミリ名の一覧 | 一覧表示された Windows アプリでは、アカウント情報へのアクセスが許可されます。 |
Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows アプリのセミコロン区切りパッケージ ファミリ名の一覧 | 一覧表示された Windows アプリは、アカウント情報へのアクセスを拒否されます。 |
Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows アプリのセミコロン区切りパッケージ ファミリ名の一覧 | ユーザーは、一覧表示されている Windows アプリのアカウント情報のプライバシー設定を制御できます。 |
Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - 強制的に拒否する | アプリがバックグラウンドで実行されている間に、ユーザーの頭、手、モーション コントローラー、およびその他の追跡対象オブジェクトの移動に対する Windows アプリのアクセスを拒否します。 |
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows ストア アプリのセミコロン区切りパッケージ ファミリ名の一覧 | 一覧表示されたアプリは、アプリがバックグラウンドで実行されている間、ユーザーの動きにアクセスできます。 |
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows ストア アプリのセミコロン区切りパッケージ ファミリ名の一覧 | 一覧表示されたアプリは、アプリがバックグラウンドで実行されている間、ユーザーの動きへのアクセスが拒否されます。 |
Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows ストア アプリのセミコロン区切りパッケージ ファミリ名の一覧 | ユーザーは、一覧表示されているアプリのユーザーの移動プライバシー設定を制御できます。 |
Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store Apps のセミコロンで区切られたパッケージ ファミリ名の一覧 | 一覧表示されているアプリは、マイクへのアクセスを拒否されます。 |
Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store Apps のセミコロンで区切られたパッケージ ファミリ名の一覧 | ユーザーは、一覧表示されているアプリのマイクのプライバシー設定を制御できます。 |
Search | ||
Search/AllowSearchToUseLocation | 0 - 許可しない | 場所情報を使用するように検索を禁止します。 |
Security | ||
Security/AllowAddProvisioningPackage | 0 - 許可しない | ランタイム構成エージェントがプロビジョニング パッケージをインストールできないようにします。 |
設定 | ||
Settings/AllowVPN | 0 - 許可しない | ユーザーが VPN 設定を変更できないようにします。 |
Settings/PageVisibilityList | ユーザーに表示されるページの短縮名ページ名ページ名を選択または選択解除する UI を提供します。 非表示にする推奨ページについては、コメントを参照してください。 | [設定] アプリで一覧表示されているページのみをユーザーに表示できるようにします。 |
システム | ||
System/AllowStorageCard | 0 - 許可しない | SD カードの使用は許可されておらず、USB ドライブは無効になっています。 この設定では、ストレージ カードへのプログラムによるアクセスは禁止されません。 |
System/AllowTelemetry | 0 - 許可しない | Watson などの診断データと使用状況テレメトリ データをデバイスが送信できないようにします。 |
更新プログラム | ||
Update/AllowUpdateService | 1 – 許可 | Microsoft Update、Windows Server Update Services (WSUS)、または Microsoft Store へのアクセスを許可します。 |
Update/ManagePreviewBuilds | 0 - プレビュー ビルドを無効にする | プレビュー ビルドをデバイスにインストールできないようにします。 |
Wi-Fi | ||
Wifi/AllowManualWiFiConfiguration | 0 - 許可しない | MDM サーバーにインストールされているネットワークの外部 Wi-Fi への接続を禁止します。 |
2.2 AccountManagement CSP
Node Name (ノード名) | Value | 説明 |
---|---|---|
UserProfileManagement/EnableProfileManager | True | 共有または共有デバイスのシナリオでプロファイルの有効期間管理を有効にします。 |
UserProfileManagement/DeletionPolicy | 2 - ストレージ容量のしきい値とプロファイルの非アクティブな時間のしきい値の両方に達したときに削除します | プロファイルを削除するタイミングを構成します。 |
UserProfileManagement/StorageCapacityStartDeletion | 25% | 使用可能なストレージ容量がこのしきい値を下回った場合は、プロファイルの削除を開始します。プロファイルで使用可能なストレージの合計の割合を指定します。 最も長く非アクティブだったプロファイルは、最初に削除されます。 |
UserProfileManagement/StorageCapacityStopDeletion | 50% | 使用可能なストレージ容量がこのしきい値に達した場合は、プロファイルの削除を停止します (プロファイルで使用可能なストレージの合計の割合として指定)。 |
UserProfileManagement/ProfileInactivityThreshold | 30 | 指定した期間にログオンしていないプロファイルの削除を開始します (日数を指定)。 |
2.3 ApplicationControl CSP
Node Name (ノード名) | Value | 説明 |
---|---|---|
ポリシー/ポリシー GUID | ポリシー BLOB のポリシー ID | ポリシー BLOB のポリシー ID。 |
ポリシー/ポリシー GUID/ポリシー | ポリシー BLOB | base64 でエンコードされたポリシー バイナリ BLOB。 |
2.4 ClientCertificateInstall CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP 内の各ノードの特定の値に関する推奨事項はありません。
2.5 PassportForWork CSP
Node Name (ノード名) | Value | 説明 |
---|---|---|
テナント ID | TenantId | プロビジョニングと管理の Windows Hello for Business一部として使用される、中かっこ ( { 、 } ) のないグローバル一意識別子 (GUID)。 |
TenantId/Policies/UsePassportForWork | True | windows にサインインするためのメソッドとしてWindows Hello for Businessを設定します。 |
TenantId/Policies/RequireSecurityDevice | True | Windows Hello for Business用のトラステッド プラットフォーム モジュール (TPM) が必要です。 |
TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM リビジョン 1.2 モジュールは、Windows Hello for Businessで使用できます。 |
TenantId/Policies/EnablePinRecovery | False | PIN 回復シークレットは作成も格納もされません。 |
TenantId/Policies/UseCertificateForOnPremAuth | False | PIN は、ユーザーがログインするときに、証明書ペイロードを待たずにプロビジョニングされます。 |
TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN の長さは、この数値以上である必要があります。 |
TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN の長さは、この数値以下である必要があります。 |
TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
TenantId/Policies/PINComplexity/小文字Letters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN で特殊文字を使用することはできません。 |
TenantId/Policies/PINComplexity/Digits | 0 | PIN で数字を使用できるようにします。 |
TenantId/Policies/PINComplexity/History | 10 | 再利用できないユーザー アカウントに関連付けることができる過去の PIN の数。 |
TenantId/Policies/PINComplexity/Expiration | 90 | PIN を使用できる期間 (日数) を指定すると、ユーザーは PIN を変更する必要があります。 |
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | アプリケーションはスマート カード証明書としてWindows Hello for Business証明書を使用しません。また、ユーザーが証明書の秘密キーの使用を承認するように求められた場合、生体認証要素を使用できます。 |
2.6 RootCATrustedCertificates CSP
ベスト プラクティスとして、この CSP の Root、CA、TrustedPublisher、TrustedPeople ノードを構成することをお勧めしますが、この CSP 内の各ノードの特定の値にはお勧めしません。
2.7 TenantLockdown CSP
Node Name (ノード名) | Value | 説明 |
---|---|---|
RequireNetworkInOOBE | True | デバイスが最初のサインイン時またはリセット後に OOBE を通過する場合、ユーザーは先に進む前にネットワークを選択する必要があります。 "今すぐスキップ" オプションはありません。 これにより、偶発的または意図的なリセットやワイプが発生した場合に備えて、デバイスがテナントにバインドされたままになります。 |
2.8 VPNv2 CSP
ベスト プラクティスとして VPN プロファイルを構成することをお勧めしますが、この CSP の各ノードに特定の値を設定することはお勧めしません。 ほとんどの設定は、顧客環境に関連しています。
2.9 WiFi CSP
ベスト プラクティスとして WiFi プロファイルを構成することをお勧めしますが、この CSP の各ノードに特定の値を設定することはお勧めしません。 ほとんどの設定は、顧客環境に関連しています。
これらのセキュリティベースラインを有効にする方法
- セキュリティ ベースラインを確認し、適用する内容を決定します。
- ベースラインを割り当てる Azure グループを決定します。 (ユーザーとグループの詳細)
- ベースラインを作成します。
ベースラインを作成する方法を次に示します。
設定カタログを使用して設定の多くを追加できますが、設定カタログにまだ設定されていない設定がある場合があります。 このような場合は、カスタム ポリシーまたは OMA-URI (Open Mobile Alliance - Uniform Resource Identifier) を使用します。 まず、設定カタログを見て、見つからない場合は、OMA-URI を使用してカスタム ポリシーを作成するための以下の手順に従います。
設定カタログ
MEM 管理センターでアカウントにログインします。
- [デバイス] -[構成プロファイル] ->+ [プロファイルの作成] の>順に移動します。 [プラットフォーム] で [Windows 10 以降] を選択し、プロファイルの種類として [設定カタログ (プレビュー)] を選択します。
- プロファイルの名前を作成し、[ 次へ ] ボタンを選択します。
- [構成設定] 画面で、[ + 設定の追加] を選択します。
上記のベースラインのポリシーの名前を使用して、ポリシーを検索できます。 設定カタログでは名前が空白になります。そのため、"Accounts/AllowMicrosoftAccountConnection" を見つけるには、"Microsoft アカウント接続を許可する" を検索する必要があります。 検索すると、このポリシーを持つ CSP のみに縮小されたポリシーの一覧が表示されます。 [ アカウント] (または現在検索しているものに関連する CSP) を選択すると、以下のポリシー結果が表示されます。 ポリシーのチェック ボックスをオンにします。
完了すると、左側のパネルに CSP カテゴリと追加した設定が追加されます。 ここから、既定の設定から、もう 1 つのセキュリティで保護された状態に構成できます。
同じプロファイルに複数の構成を引き続き追加できます。これにより、一度に割り当てるのが簡単になります。
カスタム OMA-URI ポリシーの追加
一部のポリシーは、設定カタログではまだ使用できない場合があります。 これらのポリシーでは、 カスタム OMA-URI プロファイルを作成する必要があります。 MEM 管理センターでアカウントにログインします。
- [デバイス] -[構成プロファイル] ->+ [プロファイルの作成] の>順に移動します。 [プラットフォーム] で [Windows 10 以降] を選択し、プロファイルの種類として [テンプレート] を選択し、[カスタム] を選択します。
- プロファイルの名前を作成し、[ 次へ ] ボタンを選択します。
- [追加] ボタンを選びます。
いくつかのフィールドに入力する必要があります。
- 名前は、ポリシーに関連して必要な名前を付ける場合があります。 これを認識するために使用する短縮名を指定できます。
- 説明は、必要な場合がある詳細になります。
- OMA-URI は、ポリシーが存在する完全な OMA-URI 文字列になります。 例:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
- データ型は、このポリシーで受け入れられる値の型です。 この例では、0 から 60 までの数値であるため、整数が選択されています。
- データ型を選択すると、フィールドに必要な値を書き出したり、アップロードしたりできます。
完了すると、ポリシーが [メイン] ウィンドウに追加されます。 すべてのカスタム ポリシーを同じカスタム構成に引き続き追加できます。 これにより、複数のデバイス構成の管理を減らし、割り当てが容易になります。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示