Freigeben über


HoloLens 2-Sicherheitsbaselines

Wichtig

Einige der In diesem Sicherheitsgrundplan verwendeten Richtlinien werden in unserem neuesten Insider-Buildeingeführt. Diese Richtlinien funktionieren nur auf Geräten, die auf den neuesten Insider-Build aktualisiert werden.

In diesem Artikel werden die verschiedenen Sicherheitsgrundwerte aufgeführt und beschrieben, die Sie für HoloLens 2 mithilfe von Konfigurationsdienstanbietern (Configuration Service Providers, CSP) konfigurieren können. Verwenden Sie als Teil Der Verwaltung mobiler Geräte mithilfe von Microsoft Endpoint Manager (formal als Microsoft Intune bezeichnet) die folgenden Standard- oder erweiterten Sicherheitsgrundwerte je nach Ihren Organisationsrichtlinien und -anforderungen. Verwenden Sie diese Sicherheitsgrundwerteeinstellungen, um Ihre Organisationsressourcen zu schützen.

  • Standardeinstellungen für Sicherheitsgrundwerte gelten für alle Arten von Benutzern, unabhängig vom Anwendungsfallszenario und branchenweit.
  • Erweiterte Sicherheitsgrundwerteeinstellungen werden für Benutzer empfohlen, die strenge Sicherheitskontrollen ihrer Umgebung haben und strenge Sicherheitsrichtlinien für Geräte erfordern, die in ihrer Umgebung verwendet werden.

Diese Sicherheitsgrundwerte basieren auf den Best Practice-Richtlinien und Erfahrungen von Microsoft bei der Bereitstellung und Unterstützung von HoloLens 2-Geräten für Kunden in verschiedenen Branchen.

Nachdem Sie den Sicherheitsgrundwert überprüft und beschlossen haben, die Sicherheitsbasislinien zu verwenden, lesen Sie , wie sie diese Sicherheitsbasislinien

1. Standardeinstellungen für Sicherheitsgrundwerte

In den folgenden Abschnitten werden die empfohlenen Einstellungen jedes CSP als Teil des Standardmäßigen Sicherheitsbaselineprofils beschrieben.

1.1 Richtlinien-CSP-

Richtlinienname Wert Beschreibung
Konten
Accounts/AllowMicrosoftAccountConnection 0 – Nicht zulässig Beschränken Sie den Benutzer auf die Verwendung eines MSA-Kontos für nicht E-Mail-bezogene Verbindungsauthentifizierung und -dienste.
Anwendungsverwaltung
ApplicationManagement/AllowAllTrustedApps 0 – Explizite Ablehnung Nicht microsoft Store-Apps explizit verweigern.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Zulässig Automatisches Aktualisieren von Apps aus dem Microsoft Store zulassen.
ApplicationManagement/AllowDeveloperUnlock 0 – Explizite Ablehnung Beschränken Sie den Benutzer auf das Entsperren des Entwicklermodus, sodass der Benutzer Apps auf dem Gerät über eine IDE installieren kann.
Browser-
Browser/AllowCookies 1 – Nur Cookies von Websites Dritter blockieren Mit dieser Richtlinie können Sie Microsoft Edge so konfigurieren, dass nur Drittanbietercookies blockiert oder alle Cookies blockiert werden.
Browser/AllowPasswordManager 0 – Nicht zulässig Zulassen, dass Microsoft Edge den Kennwort-Manager verwendet.
Browser/AllowSmartScreen- 1 – Aktiviert Aktiviert Windows Defender SmartScreen und verhindert, dass Benutzer sie deaktivieren.
Konnektivitäts-
Connectivity/AllowUSBConnection 0 – Nicht zulässig Deaktiviert die USB-Verbindung zwischen dem Gerät und einem Computer, um Dateien mit dem Gerät zu synchronisieren oder Entwicklertools zum Bereitstellen oder Debuggen von Anwendungen zu verwenden.
Gerätesperr-
DeviceLock/AllowIdleReturnWithoutPassword- 0 – Nicht zulässig Die Rückgabe vom Leerlauf ohne PIN oder Kennwort nicht zulassen.
DeviceLock/AllowSimpleDevicePassword- 0 – Blockiert Blockieren von PINs oder Kennwörtern wie "1111" oder "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 – Kennwort oder numerische PIN erforderlich Kennwort oder alphanumerische PIN erforderlich.
DeviceLock/DevicePasswordEnabled- 0 – Aktiviert Die Gerätesperre ist aktiviert.
DeviceLock/MaxInactivityTimeDeviceLock- Eine ganze Zahl X, wobei 0 < X < 999 Empfohlener Wert: 3 Gibt die maximale Zeitdauer (in Minuten) an, die nach dem Leerlauf des Geräts zulässig ist, was dazu führt, dass das Gerät PIN oder Kennwort gesperrt wird.
DeviceLock/MinDevicePasswordComplexCharacters 1 – Nur Ziffern Die Anzahl komplexer Elementtypen (Groß- und Kleinbuchstaben, Zahlen und Interpunktion), die für eine sichere PIN oder ein sicheres Kennwort erforderlich sind.
DeviceLock/MinDevicePasswordLength Eine ganze Zahl X, wobei 4 < X < 16 für ClientgeräteRecommended-Wert: 8 Gibt die Mindestanzahl oder Zeichen an, die in der PIN oder dem Kennwort erforderlich sind.
MDM-Registrierung
Experience/AllowManualMDMUnenrollment 0 – Nicht zulässig Der Benutzer kann das Arbeitsplatzkonto über die Systemsteuerung des Arbeitsplatzes löschen.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Anzahl der Tage, für die der Cache gültig sein soll: 7 Tage Die Anzahl der Tage, die der Cache der Microsoft Entra-Gruppenmitgliedschaft gültig sein sollte.
Power
Power/DisplayOffTimeoutPluggedIn Leerlaufzeit in Der Anzahl der SekundenWerte: 60 Sek. Ermöglicht es Ihnen, den Zeitraum der Inaktivität anzugeben, bevor Windows die Anzeige deaktiviert.
Einstellungen
Einstellungen/AllowVPN 0 – Nicht zulässig Zulassen, dass der Benutzer VPN-Einstellungen ändert.
Einstellungen/PageVisibilityList- Gekürzter Name der Seiten, die für den Benutzer sichtbar sind. Stellt eine Benutzeroberfläche bereit, um die Seitennamen auszuwählen oder aufzuheben. Sehen Sie sich Kommentare an, um empfohlene Seiten auszublenden. Zulassen, dass dem Benutzer in der Einstellungs-App nur aufgelistete Seiten angezeigt werden.
System-
System/AllowStorageCard- 0 – Nicht zulässig Die Verwendung von SD-Karten ist nicht zulässig, und USB-Laufwerke sind deaktiviert. Diese Einstellung verhindert nicht den programmgesteuerten Zugriff auf die Speicherkarte.
Updates
Update/AllowUpdateService- 1 – Zulässig Zugriff auf Microsoft Update, Windows Server Update Services (WSUS) oder Microsoft Store zulassen.
Update/ManagePreviewBuilds 0 – Vorschaubuilds deaktivieren Zulassen, dass Vorschaubuilds auf dem Gerät installiert werden.

1.2 ClientCertificateInstall CSP-

Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, jedoch keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP zu haben.

1.3 PassportForWork CSP-

Knotenname Wert Beschreibung
Mandanten-ID TenantId- Eine GUID (Globally Unique Identifier), ohne geschweifte Klammern ( { , } ), die als Teil der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird.
TenantId/Policies/UsePassportForWork STIMMT Legt Windows Hello for Business als Methode für die Anmeldung bei Windows fest.
TenantId/Policies/RequireSecurityDevice STIMMT Erfordert ein Trusted Platform Module (TPM) für Windows Hello for Business.
TenantId/Policies/ExcludeSecurityDevices/TPM12 FALSCH TPM Revision 1.2-Module dürfen mit Windows Hello for Business verwendet werden.
TenantId/Policies/EnablePinRecovery FALSCH Der geheime PIN-Wiederherstellungsschlüssel wird nicht erstellt oder gespeichert.
TenantId/Policies/UseCertificateForOnPremAuth FALSCH DIE PIN wird bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Die PIN-Länge muss größer oder gleich dieser Zahl sein.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Die PIN-Länge muss kleiner oder gleich dieser Zahl sein.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Lässt die Verwendung von Sonderzeichen in der PIN nicht zu.
TenantId/Policies/PINComplexity/Digits 0 Ermöglicht die Verwendung von Ziffern in der PIN.
TenantId/Policies/PINComplexity/History 10 Anzahl der vergangenen PINs, die einem Benutzerkonto zugeordnet werden können, das nicht wiederverwendet werden kann.
TenantId/Policies/PINComplexity/Expiration 90 Zeitraum (in Tagen), in dem eine PIN verwendet werden kann, bevor das System erfordert, dass der Benutzer sie ändern muss.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates FALSCH Anwendungen verwenden keine Windows Hello for Business-Zertifikate als Smartcardzertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.

1.4 RootCATrustedCertificates CSP-

Es wird empfohlen, Stamm-, Ca-, TrustedPublisher- und TrustedPeople- Knoten in diesem CSP als bewährte Methode zu konfigurieren, empfiehlt sich jedoch nicht für bestimmte Werte für jeden Knoten in diesem CSP.

1.5 TenantLockdown CSP-

Knotenname Wert Beschreibung
RequireNetworkInOOBE STIMMT Wenn das Gerät die Windows-Willkommensseite bei der ersten Anmeldung oder nach dem Zurücksetzen durchläuft, muss der Benutzer ein Netzwerk auswählen, bevor er fortfahren kann. Es gibt keine Option "Jetzt überspringen". Mit dieser Option wird sichergestellt, dass das Gerät bei versehentlichen oder absichtlichen Zurücksetzungen oder Zurücksetzungen an den Mandanten gebunden bleibt.

1.6 VPNv2 CSP-

Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, es gibt jedoch keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.

1.7 WLAN-CSP-

Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, es gibt jedoch keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.

2 Erweiterte Sicherheitsgrundwerteeinstellungen

In den folgenden Abschnitten werden die empfohlenen Einstellungen jedes CSP als Teil des Advanced Security Baseline-Profils beschrieben.

2.1 Richtlinien-CSP-

Richtlinienname Wert Beschreibung
Konten
Accounts/AllowMicrosoftAccountConnection 0 – Nicht zulässig Beschränken Sie den Benutzer auf die Verwendung eines MSA-Kontos für nicht E-Mail-bezogene Verbindungsauthentifizierung und -dienste.
Anwendungsverwaltung
ApplicationManagement/AllowAllTrustedApps 0 – Explizite Ablehnung Nicht-Microsoft Store-Apps explizit verweigern.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Zulässig Automatisches Aktualisieren von Apps aus dem Microsoft Store zulassen.
ApplicationManagement/AllowDeveloperUnlock 0 – Explizite Ablehnung Beschränken Sie den Benutzer auf das Entsperren des Entwicklermodus, sodass der Benutzer Apps auf dem Gerät über eine IDE installieren kann.
Authentifizierung
Authentication/AllowFastReconnect 0 – Nicht zulässig Verhindern, dass EAP Fast Reconnect für EAP-Methode TLS versucht wird.
Bluetooth-
Bluetooth/AllowDiscoverableMode- 0 – Nicht zulässig Andere Geräte können dieses Gerät nicht erkennen.
Browser-
Browser/AllowAutofill 0 – Verhindert/nicht zulässig Verhindern, dass Benutzer das Feature "AutoAusfüllen" verwenden, um die Formularfelder in Microsoft Edge automatisch aufzufüllen.
Browser/AllowCookies 1 – Nur Cookies von Websites Dritter blockieren Blockieren Sie nur Cookies von Websites Dritter.
Browser/AllowDoNotTrack- 0 – Nie Nachverfolgungsinformationen senden Senden Sie keine Nachverfolgungsinformationen.
Browser/AllowPasswordManager 0 – Nicht zulässig Zulassen, dass Microsoft Edge den Kennwort-Manager verwendet.
Browser/AllowPopups 1 – Aktivieren des Popupblockers Aktivieren Sie den Popupblocker, der das Öffnen von Popupfenstern beendet.
Browser/AllowSearchSuggestionsinAddressBar 0 – Verhindert/nicht zulässig Blenden Sie Suchvorschläge in der Adressleiste von Microsoft Edge aus.
Browser/AllowSmartScreen- 1 – Aktiviert Aktiviert Windows Defender SmartScreen und verhindert, dass Benutzer sie deaktivieren.
Konnektivitäts-
Connectivity/AllowBluetooth 0 – Bluetooth nicht zulassen Die Bluetooth-Systemsteuerung ist abgeblentet, und der Benutzer kann Bluetooth nicht aktivieren.
Connectivity/AllowUSBConnection 0 – Nicht zulässig Deaktiviert die USB-Verbindung zwischen dem Gerät und einem Computer, um Dateien mit dem Gerät zu synchronisieren oder Entwicklertools zum Bereitstellen oder Debuggen von Anwendungen zu verwenden.
Gerätesperr-
DeviceLock/AllowIdleReturnWithoutPassword- 0 – Nicht zulässig Die Rückgabe vom Leerlauf ohne PIN oder Kennwort nicht zulassen.
DeviceLock/AllowSimpleDevicePassword- 0 – Blockiert Blockieren von PINs oder Kennwörtern wie "1111" oder "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0 – Kennwort oder alphanumerische PIN erforderlich Kennwort oder alphanumerische PIN erforderlich.
DeviceLock/DevicePasswordEnabled- 0 – Aktiviert Die Gerätesperre ist aktiviert.
DeviceLock/DevicePasswordHistory Eine ganze Zahl X, wobei 0 < X < 50Recommended-Wert: 15 Gibt an, wie viele Kennwörter im Verlauf gespeichert werden können, die nicht verwendet werden können.
DeviceLock/MaxDevicePasswordFailedAttempts Eine ganze Zahl X, wobei 4 < X < 16 für ClientgeräteRecommended-Wert: 10 Die Anzahl der zulässigen Authentifizierungsfehler, bevor das Gerät zurückgesetzt wird.
DeviceLock/MaxInactivityTimeDeviceLock- Eine ganze Zahl X, wobei 0 < X < 999 Empfohlener Wert: 3 Gibt die maximale Zeitdauer (in Minuten) an, die nach dem Leerlauf des Geräts zulässig ist, was dazu führt, dass das Gerät PIN oder Kennwort gesperrt wird.
DeviceLock/MinDevicePasswordComplexCharacters 3 – Ziffern, Kleinbuchstaben und Großbuchstaben sind erforderlich. Die Anzahl komplexer Elementtypen (Groß- und Kleinbuchstaben, Zahlen und Interpunktion), die für eine sichere PIN oder ein sicheres Kennwort erforderlich sind.
DeviceLock/MinDevicePasswordLength Eine ganze Zahl X, wobei 4 < X < 16 für ClientgeräteRecommended-Wert: 12 Gibt die Mindestanzahl oder Zeichen an, die in der PIN oder dem Kennwort erforderlich sind.
MDM-Registrierung
Experience/AllowManualMDMUnenrollment 0 – Nicht zulässig Der Benutzer kann das Arbeitsplatzkonto über die Systemsteuerung des Arbeitsplatzes löschen.
Identity
MixedReality/AADGroupMembershipCacheValidityInDays Anzahl der Tage, für die der Cache gültig sein soll: 7 Tage Die Anzahl der Tage, die der Cache der Microsoft Entra-Gruppenmitgliedschaft gültig sein sollte.
Power
Power/DisplayOffTimeoutPluggedIn Leerlaufzeit in Der Anzahl der SekundenWerte: 60 Sek. Ermöglicht es Ihnen, den Zeitraum der Inaktivität anzugeben, bevor Windows die Anzeige deaktiviert.
Datenschutz-
Privacy/LetAppsAccess
AccountInfo-
2 – Erzwingungsverweigerung Verweigert den Zugriff von Windows-Apps auf Kontoinformationen.
Privacy/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows-Apps Aufgeführte Windows-Apps dürfen auf Kontoinformationen zugreifen.
Privacy/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows-Apps Die aufgeführten Windows-Apps werden dem Zugriff auf Kontoinformationen verweigert.
Privacy/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows-Apps Der Benutzer kann die Datenschutzeinstellung für Kontoinformationen für die aufgeführten Windows-Apps steuern.
Privacy/LetAppsAccess
BackgroundSpatialPerception-
2 – Erzwingungsverweigerung Verweigern Sie Windows-Apps den Zugriff auf die Bewegung des Kopfes, der Hände, der Bewegungscontroller und anderer nachverfolgter Objekte, während die Apps im Hintergrund ausgeführt werden.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows Store-Apps Aufgeführte Apps können auf die Bewegungen des Benutzers zugreifen, während die Apps im Hintergrund ausgeführt werden.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows Store-Apps Aufgelistete Apps werden dem Zugriff auf die Bewegungen des Benutzers verweigert, während die Apps im Hintergrund ausgeführt werden.
Privacy/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Windows Store-Apps Der Benutzer kann die Datenschutzeinstellung für die aufgelisteten Apps steuern.
Privacy/LetAppsAccess
Microphone_ForceDenyTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Microsoft Store-Apps Aufgeführte Apps werden dem Zugriff auf das Mikrofon verweigert.
Privacy/LetAppsAccess
Microphone_UserInControlOfTheseApps
Liste der durch Semikolons getrennten Paketfamiliennamen von Microsoft Store-Apps Der Benutzer kann die Datenschutzeinstellung für das Mikrofon für die aufgeführten Apps steuern.
Such-
Search/AllowSearchToUseLocation 0 – Nicht zulässig Die Suche kann keine Standortinformationen verwenden.
Sicherheits-
Security/AllowAddProvisioningPackage 0 – Nicht zulässig Der Laufzeitkonfigurations-Agent kann Bereitstellungspakete nicht installieren.
Einstellungen
Einstellungen/AllowVPN 0 – Nicht zulässig Zulassen, dass der Benutzer VPN-Einstellungen ändert.
Einstellungen/PageVisibilityList- Gekürzter Name der Für den Benutzer sichtbaren SeitenWillen stellen eine Benutzeroberfläche bereit, um die Seitennamen auszuwählen oder aufzuheben. Sehen Sie sich Kommentare an, um empfohlene Seiten auszublenden. Zulassen, dass dem Benutzer in der Einstellungs-App nur aufgelistete Seiten angezeigt werden.
System-
System/AllowStorageCard- 0 – Nicht zulässig Die Verwendung von SD-Karten ist nicht zulässig, und USB-Laufwerke sind deaktiviert. Diese Einstellung verhindert nicht den programmgesteuerten Zugriff auf die Speicherkarte.
System/AllowTelemetry 0 - Nicht zulässig Das Senden von Diagnose- und Nutzungs-Telemetriedaten, z. B. Watson, ist nicht zulässig.
Updates
Update/AllowUpdateService- 1 – Zulässig Zugriff auf Microsoft Update, Windows Server Update Services (WSUS) oder Microsoft Store zulassen.
Update/ManagePreviewBuilds 0 – Vorschaubuilds deaktivieren Zulassen, dass Vorschaubuilds auf dem Gerät installiert werden.
WLAN-
Wifi/AllowManualWiFiConfiguration 0 – Nicht zulässig Die Verbindung mit Wi-Fi außerhalb der installierten MDM-Netzwerke kann nicht zugelassen werden.

2.2 AccountManagement CSP-

Knotenname Wert Beschreibung
UserProfileManagement/EnableProfileManager STIMMT Aktivieren Sie die Profillebensdauerverwaltung für freigegebene oder kommunale Geräteszenarien.
UserProfileManagement/DeletionPolicy 2 – Löschen sowohl beim Schwellenwert für die Speicherkapazität als auch beim Profilinaktivitätsschwellenwert Konfiguriert, wann Profile gelöscht werden.
UserProfileManagement/StorageCapacityStartDeletion 25% Beginnen Sie mit dem Löschen von Profilen, wenn die verfügbare Speicherkapazität unter diesen Schwellenwert fällt, da der Gesamtspeicher für Profile verfügbar ist. Profile, die am längsten inaktiv waren, werden zuerst gelöscht.
UserProfileManagement/StorageCapacityStopDeletion 50% Beenden Sie das Löschen von Profilen, wenn die verfügbare Speicherkapazität bis zu diesem Schwellenwert angezeigt wird, da der Gesamtspeicher für Profile als Prozent des gesamtspeichers verfügbar ist.
UserProfileManagement/ProfileInactivityThreshold 30 Beginnen Sie mit dem Löschen von Profilen, wenn sie während des angegebenen Zeitraums nicht angemeldet wurden, angegeben als Anzahl von Tagen.

2.3 ApplicationControl CSP-

Knotenname Wert Beschreibung
Richtlinien/Richtlinien-GUID Richtlinien-ID im Richtlinienblob Richtlinien-ID im Richtlinien-BLOB.
Richtlinien/Richtlinien-GUID/Policy Richtlinien-BLOB- In Base64 codierte binäres Richtlinienblob.

2.4 ClientCertificateInstall CSP-

Es wird empfohlen, diesen CSP als bewährte Methode zu konfigurieren, jedoch keine Empfehlungen für bestimmte Werte für jeden Knoten in diesem CSP zu haben.

2.5 PassportForWork CSP-

Knotenname Wert Beschreibung
Mandanten-ID TenantId- Eine GUID (Globally Unique Identifier), ohne geschweifte Klammern ( { , } ), die als Teil der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird.
TenantId/Policies/UsePassportForWork STIMMT Legt Windows Hello for Business als Methode für die Anmeldung bei Windows fest.
TenantId/Policies/RequireSecurityDevice STIMMT Erfordert ein Trusted Platform Module (TPM) für Windows Hello for Business.
TenantId/Policies/ExcludeSecurityDevices/TPM12 FALSCH TPM Revision 1.2-Module dürfen mit Windows Hello for Business verwendet werden.
TenantId/Policies/EnablePinRecovery FALSCH Der geheime PIN-Wiederherstellungsschlüssel wird nicht erstellt oder gespeichert.
TenantId/Policies/UseCertificateForOnPremAuth FALSCH DIE PIN wird bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten.
TenantId/Policies/PINComplexity/MinimumPINLength 6 Die PIN-Länge muss größer oder gleich dieser Zahl sein.
TenantId/Policies/PINComplexity/MaximumPINLength 6 Die PIN-Länge muss kleiner oder gleich dieser Zahl sein.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Ziffern sind erforderlich, und alle anderen Zeichensätze sind nicht zulässig.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Lässt die Verwendung von Sonderzeichen in der PIN nicht zu.
TenantId/Policies/PINComplexity/Digits 0 Ermöglicht die Verwendung von Ziffern in der PIN.
TenantId/Policies/PINComplexity/History 10 Anzahl der vergangenen PINs, die einem Benutzerkonto zugeordnet werden können, das nicht wiederverwendet werden kann.
TenantId/Policies/PINComplexity/Expiration 90 Zeitraum (in Tagen), in dem eine PIN verwendet werden kann, bevor das System erfordert, dass der Benutzer sie ändern muss.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates FALSCH Anwendungen verwenden keine Windows Hello for Business-Zertifikate als Smartcardzertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.

2.6 RootCATrustedCertificates CSP-

Es wird empfohlen, Stamm-, Zertifizierungsstellen-, TrustedPublisher- und TrustedPeople- Knoten in diesem CSP als bewährte Methode zu konfigurieren, aber nicht für bestimmte Werte für jeden Knoten in diesem CSP empfehlen.

2.7 TenantLockdown CSP-

Knotenname Wert Beschreibung
RequireNetworkInOOBE STIMMT Wenn das Gerät die Windows-Willkommensseite bei der ersten Anmeldung oder nach dem Zurücksetzen durchläuft, muss der Benutzer ein Netzwerk auswählen, bevor er fortfahren kann. Es gibt keine Option "Jetzt überspringen". Dadurch wird sichergestellt, dass das Gerät bei versehentlichen oder absichtlichen Resets oder Wipes an den Mandanten gebunden bleibt.

2.8 VPNv2 CSP-

Wir empfehlen, VPN-Profile als bewährte Methode zu konfigurieren, empfehlen jedoch keine spezifischen Werte für jeden Knoten in diesem CSP. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.

2.9 WLAN-CSP-

Wir empfehlen die Konfiguration von WLAN-Profilen als bewährte Methode, empfehlen jedoch keine spezifischen Werte für jeden Knoten in diesem CSP. Die meisten Einstellungen beziehen sich auf die Kundenumgebung.

Aktivieren dieser Sicherheitsbasislinien

  1. Überprüfen Sie die Sicherheitsgrundwerte, und entscheiden Sie, was angewendet werden soll.
  2. Bestimmen Sie die Azure-Gruppen, denen Sie den Basisplan zuweisen. (Mehr zu Benutzern und Gruppen)
  3. Erstellen Sie den Basisplan.

Hier erfahren Sie, wie Sie den Basisplan erstellen.

Viele der Einstellungen können mithilfe des Einstellungskatalogs hinzugefügt werden, es kann jedoch manchmal eine Einstellung geben, die noch nicht im Einstellungskatalog aufgefüllt wurde. In diesen Fällen verwenden Sie eine benutzerdefinierte Richtlinie oder OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Suchen Sie zunächst im Einstellungskatalog, und wenn sie nicht gefunden wird, folgen Sie den nachstehenden Anweisungen zum Erstellen einer benutzerdefinierten Richtlinie über OMA-URI.

Einstellungskatalog

Melden Sie sich im MEM Admin Centerbei Ihrem Konto an.

  1. Navigieren Sie zu Geräte ->Konfigurationsprofile ->+Profil erstellen. Wählen Sie für Plattform Windows 10 und höheraus, und wählen Sie für den Profiltyp Einstellungskatalog (Vorschau)aus.
  2. Erstellen Sie einen Namen für das Profil, und wählen Sie die Schaltfläche Weiter aus.
  3. Wählen Sie auf dem Bildschirm "Konfigurationseinstellungen" + Einstellungen hinzufügenaus.

Mithilfe des Namens der Richtlinie aus dem oben genannten Basisplan können Sie nach der Richtlinie suchen. Der Einstellungskatalog weist den Namen auf. Um "Accounts/AllowMicrosoftAccountConnection" zu finden, müssen Sie nach "Microsoft-Kontoverbindung zulassen" suchen. Nach der Suche wird die Liste der Richtlinien angezeigt, die auf den CSP reduziert sind, der diese Richtlinie enthält. Wählen Sie Konten (oder den relevanten CSP für die aktuelle Suche) aus, sobald das Richtlinienergebnis unten angezeigt wird. Aktivieren Sie das Kontrollkästchen für die Richtlinie.

Screenshot der Einstellungsauswahloption.

Sobald Sie fertig sind, fügt das Panel auf der linken Seite die CSP-Kategorie und die Von Ihnen hinzugefügte Einstellung hinzu. Von hier aus können Sie sie von der Standardeinstellung auf eine sicherere Einstellung konfigurieren.

Screenshot des Einstellungskatalogs.

Sie können weiterhin mehrere Konfigurationen zum selben Profil hinzufügen, wodurch die Zuweisung auf einmal vereinfacht wird.

Hinzufügen von benutzerdefinierten OMA-URI-Richtlinien

Einige Richtlinien sind möglicherweise noch nicht im Einstellungskatalog verfügbar. Für diese Richtlinien müssen Sie ein benutzerdefiniertes OMA-URI Profilerstellen. Melden Sie sich beim MEM Admin Centerbei Ihrem Konto an.

  1. Navigieren Sie zu Geräte ->Konfigurationsprofile ->+Profil erstellen. Wählen Sie für Plattform Windows 10 und höheraus, und wählen Sie für den Profiltyp Vorlagen aus, und wählen Sie benutzerdefinierteaus.
  2. Erstellen Sie einen Namen für das Profil, und wählen Sie die Schaltfläche Weiter aus.
  3. Wählen Sie die Schaltfläche Hinzufügen aus.

Sie müssen einige Felder ausfüllen.

  • Name, Sie können alles benennen, was Sie im Zusammenhang mit der Richtlinie benötigen. Dies kann ein Kurzname sein, den Sie zum Erkennen verwenden.
  • Die Beschreibung enthält weitere Details, die Sie möglicherweise benötigen.
  • Die OMA-URI ist die vollständige OMA-URI Zeichenfolge, in der sich die Richtlinie befindet. Beispiel: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Der Datentyp ist der Typ des Werts, den diese Richtlinie akzeptiert. In diesem Beispiel handelt es sich um eine Zahl zwischen 0 und 60, sodass "Ganze Zahl" ausgewählt wurde.
  • Nachdem Sie den Datentyp ausgewählt haben, können Sie den erforderlichen Wert in das Feld schreiben oder hochladen.

Screenshot der Konfiguration von OMA-URI.

Sobald Sie fertig sind, wird Ihre Richtlinie dem Hauptfenster hinzugefügt. Sie können weiterhin alle benutzerdefinierten Richtlinien zur gleichen benutzerdefinierten Konfiguration hinzufügen. Dadurch können Sie die Verwaltung mehrerer Gerätekonfigurationen reduzieren und die Zuweisung vereinfachen.

Screenshot der konfiguration OMA-URI.