linhas de base de segurança HoloLens 2
Importante
Algumas das políticas usadas nesta linha de base de segurança são introduzidas em nosso build mais recente do Insider. Essas políticas funcionarão apenas em dispositivos atualizados para o build mais recente do Insider.
Este artigo lista e descreve as várias configurações de linha de base de segurança que você pode definir em HoloLens 2 usando CSP (Provedores de Serviços de Configuração). Como parte do gerenciamento de dispositivo móvel usando o Microsoft Endpoint Manager (formalmente conhecido como Microsoft Intune), use as seguintes configurações de linha de base de segurança padrão ou avançada, dependendo de suas políticas e necessidades organizacionais. Use essas configurações de linha de base de segurança para ajudar a proteger seus recursos organizacionais.
- As configurações de linha de base de segurança padrão são aplicáveis a todos os tipos de usuários, independentemente do cenário de caso de uso e da vertical do setor.
- As configurações avançadas de linha de base de segurança são configurações recomendadas para usuários que têm controles de segurança estritos de seu ambiente e exigem políticas de segurança rigorosas para dispositivos usados em seu ambiente.
Essas configurações de linha de base de segurança se baseiam nas diretrizes e na experiência de melhores práticas da Microsoft obtidas na implantação e suporte HoloLens 2 dispositivos para clientes em vários setores.
Depois de examinar a linha de base de segurança e decidir usar uma, ambas ou partes, marcar como habilitar essas linhas de base de segurança
1. Configurações de linha de base de segurança padrão
As seções a seguir descrevem as configurações recomendadas de cada CSP como parte do perfil de linha de base de segurança padrão.
1.1 CSP de política
| Nome da Política | Valor | Descrição |
|---|---|---|
| Contas | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Não permitido | Restrinja o usuário a usar uma conta MSA para serviços e autenticação de conexão não relacionadas a email. |
| Gerenciamento de aplicativo | ||
| ApplicationManagement/AllowAllTrustedApps | 0 – Negação explícita | Nega explicitamente aplicativos que não são da Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Permitido | Permitir a atualização automática de aplicativos da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Negação explícita | Restrinja o usuário para desbloquear o modo de desenvolvedor, o que permite que o usuário instale aplicativos no dispositivo de um IDE. |
| Navegador | ||
| Browser/AllowCookies | 1 – Bloquear somente cookies de sites de terceiros | Com essa política, você pode configurar o Microsoft Edge para bloquear apenas cookies de terceiros ou bloquear todos os cookies. |
| Browser/AllowPasswordManager | 0 – não permitido | Não permitir que o Microsoft Edge use o gerenciador de senhas. |
| Browser/AllowSmartScreen | 1 – Ativado | Ativa Windows Defender SmartScreen e impede que os usuários o desativem. |
| Conectividade | ||
| Connectivity/AllowUSBConnection | 0 – não permitido | Desabilita a conexão USB entre o dispositivo e um computador para sincronizar arquivos com o dispositivo ou usar ferramentas de desenvolvedor para implantar ou depurar aplicativos. |
| Bloqueio de dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – não permitido | Não permitir o retorno de ocioso sem PIN ou senha. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloqueado | Bloqueie PINs ou senhas como "1111" ou "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – Senha ou PIN numérico necessário | Exigir senha ou PIN alfanumérico. |
| DeviceLock/DevicePasswordEnabled | 0 – Habilitado | O bloqueio do dispositivo está habilitado. |
| DeviceLock/MaxInactivityTimeDeviceLock | Um inteiro X em que 0 < X < 999 Valor recomendado: 3 | Especifica a quantidade máxima de tempo (em minutos) permitida após o dispositivo ficar ocioso, o que fará com que o dispositivo se torne PIN ou senha bloqueada. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 – Somente dígitos | O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessário para um PIN ou uma senha forte. |
| DeviceLock/MinDevicePasswordLength | Um inteiro X em que 4 < X < 16 para dispositivos clienteRecupeou o valor: 8 | Especifica o número mínimo ou caracteres necessários no PIN ou senha. |
| Registro de MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 – não permitido | Não permitir que o usuário exclua a conta do local de trabalho usando o painel de controle do local de trabalho. |
| Identidade | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Número de dias em que o cache será validRecommended value: 7 dias | Número de dias em que o cache de associação de grupo Microsoft Entra deve ser válido. |
| Energia | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo ocioso em número de segundos Valores alterados: 60 segundos | Permite que você especifique o período de inatividade antes que o Windows desative a exibição. |
| Configurações | ||
| Settings/AllowVPN | 0 – não permitido | Não permitir que o usuário altere as configurações de VPN. |
| Settings/PageVisibilityList | Nome abreviado das páginas que são visíveis para o usuário. Fornecerá uma interface do usuário para selecionar ou desmarcar os nomes de página. Consulte comentários para páginas recomendadas a serem ocultadas. | Permitir que somente páginas listadas sejam exibidas para o usuário no aplicativo Configurações. |
| System | ||
| System/AllowStorageCard | 0 – não permitido | O uso do SD cartão não é permitido e as unidades USB são desabilitadas. Essa configuração não impede o acesso programático ao cartão de armazenamento. |
| Atualizações | ||
| Update/AllowUpdateService | 1 – Permitido | Permitir acesso ao Microsoft Update, Windows Server Update Services (WSUS) ou à Microsoft Store. |
| Update/ManagePreviewBuilds | 0 – Desabilitar builds de visualização | Não permitir que builds de visualização sejam instalados no dispositivo. |
1.2 ClientCertificateInstall CSP
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP.
1.3 PassportForWork CSP
| Nome do Nó | Valor | Descrição |
|---|---|---|
| ID do locatário | TenantId | Um GUID (identificador global exclusivo), sem chaves ( { , } ), que é usado como parte de Windows Hello para Empresas provisionamento e gerenciamento. |
| TenantId/Policies/UsePassportForWork | True | Define Windows Hello para Empresas como um método para entrar no Windows. |
| TenantId/Policies/RequireSecurityDevice | True | Requer um TPM (Trusted Platform Module) para Windows Hello para Empresas. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Os módulos de revisão 1.2 do TPM têm permissão para serem usados com Windows Hello para Empresas. |
| TenantId/Policies/EnablePinRecovery | Falso | O segredo de recuperação de PIN não é criado ou armazenado. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | O PIN é provisionado quando o usuário entra, sem aguardar uma carga de certificado. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | O comprimento do PIN deve ser maior ou igual a esse número. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | O comprimento do PIN deve ser menor ou igual a esse número. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Não permite o uso de caracteres especiais no PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Permite o uso de dígitos no PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizado. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Período de tempo (em dias) que um PIN pode ser usado antes que o sistema exija que o usuário o altere. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Os aplicativos não usam certificados Windows Hello para Empresas como certificados de cartão inteligentes e fatores biométricos estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado. |
1.4 RootCATrustedCertificates CSP
Recomendamos configurar nós Root, CA, TrustedPublisher e TrustedPeople neste CSP como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP.
1.5 TenantLockdown CSP
| Nome do Nó | Valor | Descrição |
|---|---|---|
| RequireNetworkInOOBE | True | Quando o dispositivo passa pelo OOBE na primeira entrada ou após uma redefinição, o usuário é obrigado a escolher uma rede antes de continuar. Não há nenhuma opção "ignorar por enquanto". Essa opção garante que o dispositivo permaneça associado ao locatário em caso de redefinições ou apagamentos acidentais ou intencionais. |
1.6 VPNv2 CSP
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
1.7 WiFi CSP
Recomendamos configurar esse CSP como uma prática recomendada, mas não temos recomendações para valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
2 Configurações avançadas de linha de base de segurança
As seções a seguir descrevem as configurações recomendadas de cada CSP como parte do perfil avançado de linha de base de segurança.
2.1 CSP de política
| Nome da Política | Valor | Descrição |
|---|---|---|
| Contas | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – Não permitido | Restrinja o usuário a usar uma conta MSA para serviços e autenticação de conexão não relacionadas a email. |
| Gerenciamento de aplicativo | ||
| ApplicationManagement/AllowAllTrustedApps | 0 – Negação explícita | Negar explicitamente aplicativos que não são da Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – Permitido | Permitir a atualização automática de aplicativos da Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0 – Negação explícita | Restrinja o usuário para desbloquear o modo de desenvolvedor, o que permite que o usuário instale aplicativos no dispositivo de um IDE. |
| Autenticação | ||
| Authentication/AllowFastReconnect | 0 – não permitido | Não permitir que a Reconexão Rápida do EAP seja tentada para o método EAP TLS. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – não permitido | Outros dispositivos não poderão detectar esse dispositivo. |
| Navegador | ||
| Browser/AllowAutofill | 0 – Impedido/não permitido | Impedir que os usuários usem o recurso preenchimento automático para preencher automaticamente os campos de formulário no Microsoft Edge. |
| Browser/AllowCookies | 1 – Bloquear somente cookies de sites de terceiros | Bloqueie apenas cookies de sites de terceiros. |
| Browser/AllowDoNotTrack | 0 – Nunca enviar informações de acompanhamento | Nunca envie informações de rastreamento. |
| Browser/AllowPasswordManager | 0 – não permitido | Não permitir que o Microsoft Edge use o gerenciador de senhas. |
| Browser/AllowPopups | 1 – Ativar o Bloqueador de Pop-ups | Ative o Bloqueador de Pop-ups impedindo a abertura de janelas pop-up. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – Impedido/não permitido | Ocultar sugestões de pesquisa na barra de endereços do Microsoft Edge. |
| Browser/AllowSmartScreen | 1 – Ativado | Ativa Windows Defender SmartScreen e impede que os usuários o desativem. |
| Conectividade | ||
| Connectivity/AllowBluetooth | 0 – Não permitir Bluetooth | O painel de controle bluetooth está esmaecido e o usuário não poderá ativar o Bluetooth. |
| Connectivity/AllowUSBConnection | 0 – não permitido | Desabilita a conexão USB entre o dispositivo e um computador para sincronizar arquivos com o dispositivo ou para usar ferramentas de desenvolvedor para implantar ou depurar aplicativos. |
| Bloqueio de dispositivo | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – não permitido | Não permitir o retorno de ocioso sem PIN ou senha. |
| DeviceLock/AllowSimpleDevicePassword | 0 – Bloqueado | Bloqueie PINs ou senhas como "1111" ou "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – Senha ou PIN alfanumérico necessário | Exigir senha ou PIN alfanumérico. |
| DeviceLock/DevicePasswordEnabled | 0 – Habilitado | O bloqueio do dispositivo está habilitado. |
| DeviceLock/DevicePasswordHistory | Um inteiro X em que 0 < X < 50Recommended value: 15 | Especifica quantas senhas podem ser armazenadas no histórico e não podem ser usadas. |
| DeviceLock/MaxDevicePasswordFailedAttempts | Um inteiro X em que 4 < X < 16 para dispositivos clienteRecomenda o valor: 10 | O número de falhas de autenticação permitidas antes que o dispositivo seja apagado. |
| DeviceLock/MaxInactivityTimeDeviceLock | Um inteiro X em que 0 < X < 999 Valor recomendado: 3 | Especifica a quantidade máxima de tempo (em minutos) permitida após o dispositivo ficar ocioso que fará com que o dispositivo se torne bloqueado por PIN ou senha. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 – São necessários dígitos, letras minúsculas e letras maiúsculas | O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessário para um PIN ou uma senha forte. |
| DeviceLock/MinDevicePasswordLength | Um inteiro X em que 4 < X < 16 para dispositivos clienteRecomenda o valor: 12 | Especifica o número mínimo ou os caracteres necessários no PIN ou na senha. |
| Registro de MDM | ||
| Experience/AllowManualMDMUnenrollment | 0 – não permitido | Não permitir que o usuário exclua a conta do local de trabalho usando o painel de controle do local de trabalho. |
| Identidade | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Número de dias em que o cache será validRecommended value: 7 dias | Número de dias em que o cache de associação de grupo Microsoft Entra deve ser válido. |
| Energia | ||
| Power/DisplayOffTimeoutPluggedIn | Tempo ocioso em número de segundosRecomendar valores: 60 segundos | Permite que você especifique o período de inatividade antes que o Windows desligue a tela. |
| Privacidade | ||
| Privacy/LetAppsAccess AccountInfo |
2 – Forçar negação | Nega acesso de aplicativos do Windows a informações da conta. |
| Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula de aplicativos do Windows | Os aplicativos listados do Windows têm permissão para acessar informações da conta. |
| Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula de aplicativos do Windows | Os aplicativos listados do Windows têm acesso negado às informações da conta. |
| Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula de aplicativos do Windows | O usuário é capaz de controlar a configuração de privacidade de informações da conta para os aplicativos listados do Windows. |
| Privacy/LetAppsAccess BackgroundSpatialPerception |
2 – Forçar negação | Negar acesso a aplicativos do Windows à movimentação da cabeça, mãos, controladores de movimento e outros objetos rastreados do usuário, enquanto os aplicativos estão em execução em segundo plano. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula de aplicativos da Windows Store | Os aplicativos listados têm permissão para acessar os movimentos do usuário enquanto os aplicativos estão em execução em segundo plano. |
| Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula de aplicativos da Windows Store | Os aplicativos listados têm acesso negado aos movimentos do usuário enquanto os aplicativos estão em execução em segundo plano. |
| Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula de aplicativos da Windows Store | O usuário é capaz de controlar a configuração de privacidade de movimentações do usuário para os aplicativos listados. |
| Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula dos aplicativos da Microsoft Store | Os aplicativos listados têm acesso negado ao microfone. |
| Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lista de nomes de família de pacotes delimitados por ponto e vírgula dos aplicativos da Microsoft Store | O usuário pode controlar a configuração de privacidade do microfone para os aplicativos listados. |
| Pesquisa | ||
| Search/AllowSearchToUseLocation | 0 – não permitido | Não permitir que a pesquisa use informações de localização. |
| Segurança | ||
| Security/AllowAddProvisioningPackage | 0 – não permitido | Não permitir que o agente de configuração de runtime instale pacotes de provisionamento. |
| Configurações | ||
| Settings/AllowVPN | 0 – não permitido | Não permitir que o usuário altere as configurações de VPN. |
| Settings/PageVisibilityList | Nome abreviado das páginas que estão visíveis para o usuárioServirão uma interface do usuário para selecionar ou desmarcar os nomes de página. Confira os comentários das páginas recomendadas a serem ocultadas. | Permitir que somente as páginas listadas sejam exibidas para o usuário no aplicativo Configurações. |
| System | ||
| System/AllowStorageCard | 0 – não permitido | O uso de cartão SD não é permitido e as unidades USB estão desabilitadas. Essa configuração não impede o acesso programático à cartão de armazenamento. |
| System/AllowTelemetry | 0 - Não permitido | Não permitir que o dispositivo envie dados de telemetria de diagnóstico e uso, como Watson. |
| Atualizações | ||
| Update/AllowUpdateService | 1 – Permitido | Permitir acesso ao Microsoft Update, ao WSUS (Windows Server Update Services) ou à Microsoft Store. |
| Update/ManagePreviewBuilds | 0 – Desabilitar compilações de visualização | Não permitir que builds de visualização sejam instalados no dispositivo. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – não permitido | Não permitir a conexão com Wi-Fi fora das redes instaladas pelo servidor MDM. |
2.2 AccountManagement CSP
| Nome do Nó | Valor | Descrição |
|---|---|---|
| UserProfileManagement/EnableProfileManager | True | Habilite o gerenciamento de tempo de vida do perfil para cenários de dispositivo compartilhados ou comuns. |
| UserProfileManagement/DeletionPolicy | 2 – exclusão no limite de capacidade de armazenamento e no limite de inatividade de perfil | Configura quando os perfis serão excluídos. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Comece a excluir perfis quando a capacidade de armazenamento disponível ficar abaixo desse limite, considerando a porcentagem do armazenamento total disponível para perfis. Os perfis que estiverem inativos por mais tempo serão excluídos primeiro. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Pare de excluir perfis quando a capacidade de armazenamento disponível for levada até esse limite, dado como porcentagem do armazenamento total disponível para perfis. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Comece a excluir perfis quando eles não tiverem sido conectados durante o período especificado, dado como número de dias. |
2.3 CSP ApplicationControl
| Nome do Nó | Valor | Descrição |
|---|---|---|
| Políticas/GUID de política | ID da política no blob de políticas | ID da política no blob de políticas. |
| Políticas/GUID de Política/Política | Blob de políticas | Blob binário de política codificado em base64. |
2.4 ClientCertificateInstall CSP
Recomendamos configurar esse CSP como uma melhor prática, mas não temos recomendações para valores específicos para cada nó neste CSP.
2.5 CSP PassportForWork
| Nome do Nó | Valor | Descrição |
|---|---|---|
| ID do locatário | TenantId | Um GUID (identificador global exclusivo), sem chaves ( { , } ), que é usado como parte de Windows Hello para Empresas provisionamento e gerenciamento. |
| TenantId/Policies/UsePassportForWork | True | Define Windows Hello para Empresas como um método para entrar no Windows. |
| TenantId/Policies/RequireSecurityDevice | True | Requer um TPM (Trusted Platform Module) para Windows Hello para Empresas. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Os módulos de revisão 1.2 do TPM têm permissão para serem usados com Windows Hello para Empresas. |
| TenantId/Policies/EnablePinRecovery | Falso | O segredo de recuperação de PIN não será criado nem armazenado. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | O PIN é provisionado quando o usuário faz logon, sem esperar por um conteúdo de certificado. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | O comprimento do PIN deve ser maior ou igual a esse número. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | O comprimento do PIN deve ser menor ou igual a esse número. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Dígitos são necessários e todos os outros conjuntos de caracteres não são permitidos. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | Não permite o uso de caracteres especiais no PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Permite o uso de dígitos no PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizado. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Período de tempo (em dias) que um PIN pode ser usado antes que o sistema exija que o usuário o altere. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Os aplicativos não usam certificados Windows Hello para Empresas como certificados de cartão inteligentes e fatores biométricos estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado. |
2.6 RootCATrustedCertificates CSP
Recomendamos configurar nós Raiz, AC, TrustedPublisher e TrustedPeople neste CSP como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP.
2.7 TenantLockdown CSP
| Nome do Nó | Valor | Descrição |
|---|---|---|
| RequireNetworkInOOBE | True | Quando o dispositivo passa pelo OOBE na primeira entrada ou após uma redefinição, o usuário é obrigado a escolher uma rede antes de continuar. Não há nenhuma opção "ignorar por enquanto". Isso garante que o dispositivo permaneça associado ao locatário em caso de redefinições ou apagamentos acidentais ou intencionais. |
2.8 VPNv2 CSP
Recomendamos configurar perfis VPN como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
2.9 WiFi CSP
Recomendamos configurar perfis WiFi como uma prática recomendada, mas não recomendamos valores específicos para cada nó neste CSP. A maioria das configurações está relacionada ao ambiente do cliente.
Como habilitar essas linhas base de segurança
- Examine a linha de base de segurança e decida o que aplicar.
- Determine os Grupos do Azure aos quais você atribuirá a linha de base. (Mais sobre usuários e grupos)
- Crie a linha de base.
Veja como criar a linha de base.
Muitas das configurações podem ser adicionadas usando o catálogo configurações, no entanto, às vezes, pode haver uma configuração que ainda não foi preenchida para o catálogo de Configurações. Nesses casos, você usará uma política Personalizada ou OMA-URI (Open Mobile Alliance – Uniform Resource Identifier). Comece examinando o catálogo configurações e, se não for encontrado, siga as instruções abaixo para criar uma política personalizada por meio do OMA-URI.
Catálogo de configurações
Faça logon em sua conta no centro de administração do MEM.
- Navegue até Dispositivos ->Perfis de configuração ->+Criar perfil. Em Plataforma, selecione Windows 10 e posterior e, para tipo de perfil, selecione Catálogo de configurações (versão prévia).
- Crie um nome para o perfil e selecione o botão Avançar .
- Na tela Configuração configurações, selecione + Adicionar configurações.
Usando o nome da política da linha de base acima, você pode pesquisar a política. O catálogo de configurações espaçará o nome, portanto, para localizar "Accounts/AllowMicrosoftAccountConnection", você precisará pesquisar "Permitir conexão de conta da Microsoft". Depois de pesquisar, você verá a lista de políticas reduzidas apenas ao CSP que tem essa política. Selecione Contas (ou o CSP relevante para o que você está pesquisando atualmente), depois de fazer isso, você verá o resultado da política abaixo. Marque a caixa para a política.
Depois de concluído, o painel à esquerda adicionará a categoria CSP e a configuração que você adicionou. A partir daqui, você pode configurá-lo da configuração padrão para mais uma segurança.
Você pode continuar adicionando várias configurações ao mesmo perfil, o que facilitará a atribuição de uma só vez.
Adicionando políticas personalizadas de OMA-URI
Algumas políticas ainda podem não estar disponíveis no catálogo configurações. Para essas políticas, você precisará criar um perfil OMA-URI personalizado. Faça logon em sua conta no centro de administração do MEM.
- Navegue até Dispositivos ->Perfis de configuração ->+Criar perfil. Em Plataforma, selecione Windows 10 e posterior e, para tipo de perfil, selecione Modelos e selecione Personalizado.
- Crie um nome para o perfil e selecione o botão Avançar .
- Selecione o botão Adicionar.
Você precisará preencher alguns campos.
- Nome, você pode nomeá-lo como qualquer coisa que precise relacionada à política. Esse pode ser um nome abreviado que você usa para reconhecê-lo.
- A descrição será mais detalhes de que você pode precisar.
- O OMA-URI será a cadeia de caracteres OMA-URI completa em que a política está. Exemplo:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - Tipo de dados é o tipo de valor que essa política aceita. Para este exemplo, é um número entre 0 e 60, portanto, Integer foi selecionado.
- Depois de selecionar o tipo de dados, você poderá gravar ou carregar o valor necessário no campo.
Depois de concluída, sua política é adicionada à janela main. Você pode continuar adicionando todas as suas políticas personalizadas à mesma configuração personalizada. Isso ajuda a reduzir o gerenciamento de várias configurações de dispositivo e facilita a atribuição.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de