Líneas base de seguridad de HoloLens 2
Importante
Algunas de las directivas que se usan en esta línea de base de seguridad se presentan en nuestra compilación Insider más reciente. Estas directivas solo funcionarán en los dispositivos actualizados a la última compilación de Insider.
En este artículo se enumeran y describen las distintas opciones de línea de base de seguridad que puede configurar en HoloLens 2 mediante proveedores de servicios de configuración (CSP). Como parte de la administración de dispositivos móviles mediante Microsoft Endpoint Manager (conocido formalmente como Microsoft Intune), use la siguiente configuración de línea de base de seguridad estándar o avanzada en función de las directivas y necesidades de la organización. Use esta configuración de línea de base de seguridad para ayudar a proteger los recursos de la organización.
- La configuración de línea de base de seguridad estándar se aplica a todos los tipos de usuarios independientemente del escenario de casos de uso y vertical del sector.
- La configuración de línea de base de seguridad avanzada es una configuración recomendada para los usuarios que tienen controles de seguridad estrictos de su entorno y requieren directivas de seguridad estrictas para los dispositivos usados en su entorno.
Esta configuración de línea de base de seguridad se basa en las directrices de procedimientos recomendados de Microsoft y la experiencia adquirida en la implementación y el soporte técnico de dispositivos HoloLens 2 a los clientes de diversos sectores.
Una vez que haya revisado la línea de base de seguridad y haya decidido usar la, ambas o partes, consulte cómo habilitar estas líneas base de seguridad
1. Configuración de línea de base de seguridad estándar
En las secciones siguientes se describe la configuración recomendada de cada CSP como parte del perfil de línea de base de seguridad estándar.
1.1 CSP de directivas
| nombre de directiva | valor | descripción |
|---|---|---|
| cuentas de |
||
| cuentas de /AllowMicrosoftAccountConnection | 0 : no permitido | Restrinja al usuario que use una cuenta de MSA para la autenticación y los servicios de conexión no relacionados con el correo electrónico. |
| de administración de aplicaciones de |
||
| ApplicationManagement/AllowAllTrustedApps | 0- Denegación explícita | Denegar explícitamente aplicaciones que no son de Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 : permitido | Permitir la actualización automática de aplicaciones desde Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0- Denegación explícita | Restrinja al usuario para desbloquear el modo de desarrollador, lo que permite al usuario instalar aplicaciones en el dispositivo desde un IDE. |
| |
||
| Browser/AllowCookies | 1 – Bloquear solo cookies de sitios web de terceros | Con esta directiva, puede configurar Microsoft Edge para bloquear solo cookies de terceros o bloquear todas las cookies. |
| Browser/AllowPasswordManager | 0 : no permitido | No permitir que Microsoft Edge use el administrador de contraseñas. |
| Browser/AllowSmartScreen | 1 – Activado | Activa SmartScreen de Windows Defender y evita que los usuarios lo desactiven. |
| de conectividad de |
||
| Connectivity/AllowUSBConnection | 0 : no permitido | Deshabilita la conexión USB entre el dispositivo y un equipo para sincronizar archivos con el dispositivo o para usar herramientas de desarrollo para implementar o depurar aplicaciones. |
| de bloqueo de dispositivo de |
||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 : no permitido | No permitir el retorno de inactivo sin PIN ni contraseña. |
| DeviceLock/AllowSimpleDevicePassword | 0 : bloqueado | Bloquear PIN o contraseñas como "1111" o "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 1: contraseña o PIN numérico requerido | Requerir contraseña o PIN alfanumérico. |
| DeviceLock/DevicePasswordEnabled | 0: habilitado | El bloqueo del dispositivo está habilitado. |
| DeviceLock/MaxInactivityTimeDeviceLock | Entero X donde 0 < X < 999 Valor recomendado: 3 | Especifica la cantidad máxima de tiempo (en minutos) permitida después de que el dispositivo esté inactivo, lo que hará que el dispositivo se convierta en PIN o contraseña bloqueado. |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - Solo dígitos | Número de tipos de elementos complejos (letras mayúsculas y minúsculas, números y puntuación) necesarios para un PIN seguro o contraseña. |
| DeviceLock/MinDevicePasswordLength | Entero X donde 4 < X < 16 para dispositivos clienteValor modificado: 8 | Especifica el número mínimo o caracteres necesarios en el PIN o la contraseña. |
| de inscripción de MDM | ||
| Experiencia/AllowManualMDMUnenrollment | 0 : no permitido | No permitir que el usuario elimine la cuenta de área de trabajo mediante el panel de control del área de trabajo. |
| Identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Número de días de la memoria caché que se va a validarRecommended: 7 días | Número de días que la caché de pertenencia a grupos de Microsoft Entra debe ser válida. |
| Power | ||
| power/DisplayOffTimeoutPluggedIn | Tiempo de inactividad en número de segundosRecommended valores: 60 segundos | Permite especificar el período de inactividad antes de que Windows desactive la pantalla. |
| configuración | ||
| configuración de /AllowVPN | 0 : no permitido | No permitir que el usuario cambie la configuración de VPN. |
| Settings/PageVisibilityList | Nombre abreviado de las páginas visibles para el usuario. Proporcionará una interfaz de usuario para seleccionar o anular la selección de los nombres de página. Consulte los comentarios de las páginas recomendadas para ocultar. | Permitir que solo se muestren las páginas enumeradas al usuario en la aplicación Configuración. |
| System | ||
| System/AllowStorageCard | 0 : no permitido | No se permite el uso de tarjetas SD y las unidades USB están deshabilitadas. Esta configuración no impide el acceso mediante programación a la tarjeta de almacenamiento. |
| actualizaciones de |
||
| Update/AllowUpdateService | 1 : permitido | Permitir el acceso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store. |
| Update/ManagePreviewBuilds | 0- Deshabilitar compilaciones en versión preliminar | No permitir la instalación de compilaciones en versión preliminar en el dispositivo. |
1.2 ClientCertificateInstall CSP
Se recomienda configurar este CSP como procedimiento recomendado, pero no hay recomendaciones para valores específicos para cada nodo de este CSP.
1.3 PassportForWork CSP
| nombre de nodo de |
valor | descripción |
|---|---|---|
| Id. de inquilino | tenantId | Identificador único global (GUID), sin llaves ( { , } ), que se usa como parte del aprovisionamiento y la administración de Windows Hello para empresas. |
| TenantId/Policies/UsePassportForWork | Verdadero | Establece Windows Hello para empresas como método para iniciar sesión en Windows. |
| TenantId/Policies/RequireSecurityDevice | Verdadero | Requiere un módulo de plataforma segura (TPM) para Windows Hello para empresas. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Los módulos de revisión 1.2 de TPM pueden usarse con Windows Hello para empresas. |
| TenantId/Policies/EnablePinRecovery | Falso | El secreto de recuperación de PIN no se crea ni almacena. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | El PIN se aprovisiona cuando el usuario inicia sesión, sin esperar una carga de certificado. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La longitud del PIN debe ser mayor o igual que este número. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La longitud del PIN debe ser menor o igual que este número. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | No permite el uso de caracteres especiales en el PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Permite el uso de dígitos en el PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Número de PIN anteriores que se pueden asociar a una cuenta de usuario que no se puede reutilizar. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Período de tiempo (en días) que se puede usar un PIN antes de que el sistema requiera que el usuario lo cambie. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Las aplicaciones no usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado. |
1.4 CSP RootCATrustedCertificates
Se recomienda configurar nodos Root, CA, TrustedPublisher y TrustedPeople en este CSP como procedimiento recomendado, pero no se recomienda en valores específicos para cada nodo de este CSP.
1.5 CSP tenantLockdown
| nombre de nodo de |
valor | descripción |
|---|---|---|
| RequireNetworkInOOBE | Verdadero | Cuando el dispositivo pasa por OOBE en el primer inicio de sesión o después de un restablecimiento, es necesario que el usuario elija una red antes de continuar. No hay ninguna opción "omitir por ahora". Esta opción garantiza que el dispositivo permanece enlazado al inquilino en caso de restablecimientos o borrados accidentales o intencionales. |
1.6 CSP de VPNv2
Se recomienda configurar este CSP como procedimiento recomendado, pero no tenemos recomendaciones para valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.
1.7 wiFi CSP
Se recomienda configurar este CSP como procedimiento recomendado, pero no tenemos recomendaciones para valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.
2 Configuración de línea de base de seguridad avanzada
En las secciones siguientes se describe la configuración recomendada de cada CSP como parte del perfil de línea de base de seguridad avanzada.
2.1 csp de directivas
| nombre de directiva | valor | descripción |
|---|---|---|
| cuentas de |
||
| cuentas de /AllowMicrosoftAccountConnection | 0 : no permitido | Restrinja al usuario que use una cuenta de MSA para la autenticación y los servicios de conexión no relacionados con el correo electrónico. |
| de administración de aplicaciones de |
||
| ApplicationManagement/AllowAllTrustedApps | 0- Denegación explícita | Denegar explícitamente aplicaciones que no son de Microsoft Store. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 : permitido | Permitir la actualización automática de aplicaciones desde Microsoft Store. |
| ApplicationManagement/AllowDeveloperUnlock | 0- Denegación explícita | Restrinja al usuario para desbloquear el modo de desarrollador, lo que permite al usuario instalar aplicaciones en el dispositivo desde un IDE. |
| de autenticación de |
||
| autenticación de /allowFastReconnect | 0 : no permitido | No permitir que EAP Fast Reconnect se intente para TLS del método EAP. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 : no permitido | Otros dispositivos no podrán detectar este dispositivo. |
| |
||
| Browser/AllowAutofill | 0: evitado/no permitido | Impedir que los usuarios usen la característica Autorrellenar para rellenar automáticamente los campos de formulario en Microsoft Edge. |
| Browser/AllowCookies | 1 – Bloquear solo cookies de sitios web de terceros | Bloquear solo cookies de sitios web de terceros. |
| Browser/AllowDoNotTrack | 0 - Nunca enviar información de seguimiento | Nunca envíe información de seguimiento. |
| Browser/AllowPasswordManager | 0 : no permitido | No permitir que Microsoft Edge use el administrador de contraseñas. |
| Browser/AllowPopups | 1 – Activar el bloqueador de elementos emergentes | Active El bloqueador de elementos emergentes impide que se abran las ventanas emergentes. |
| Browser/AllowSearchSuggestionsinAddressBar | 0: evitado/no permitido | Ocultar sugerencias de búsqueda en la barra de direcciones de Microsoft Edge. |
| Browser/AllowSmartScreen | 1 – Activado | Activa SmartScreen de Windows Defender y evita que los usuarios lo desactiven. |
| de conectividad de |
||
| Connectivity/AllowBluetooth | 0 – No permitir Bluetooth | El panel de control bluetooth está atenuado y el usuario no podrá activar Bluetooth. |
| Connectivity/AllowUSBConnection | 0 : no permitido | Deshabilita la conexión USB entre el dispositivo y un equipo para sincronizar archivos con el dispositivo o para usar herramientas de desarrollo para implementar o depurar aplicaciones. |
| de bloqueo de dispositivo de |
||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 : no permitido | No permitir el retorno de inactivo sin PIN ni contraseña. |
| DeviceLock/AllowSimpleDevicePassword | 0 : bloqueado | Bloquear PIN o contraseñas como "1111" o "1234". |
| DeviceLock/AlphanumericDevicePasswordRequired | 0: se requiere contraseña o PIN alfanumérico | Requerir contraseña o PIN alfanumérico. |
| DeviceLock/DevicePasswordEnabled | 0: habilitado | El bloqueo del dispositivo está habilitado. |
| DeviceLock/DevicePasswordHistory | Entero X donde 0 < X < valor 50Recommended: 15 | Especifica cuántas contraseñas se pueden almacenar en el historial que no se puede usar. |
| deviceLock/MaxDevicePasswordFailedAttempts | Un entero X donde 4 < X < 16 para dispositivos clienteValor modificado: 10 | Número de errores de autenticación permitidos antes de que se borre el dispositivo. |
| DeviceLock/MaxInactivityTimeDeviceLock | Entero X donde 0 < X < 999 Valor recomendado: 3 | Especifica la cantidad máxima de tiempo (en minutos) permitida después de que el dispositivo esté inactivo, lo que hará que el dispositivo se convierta en PIN o contraseña bloqueado. |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - Se requieren dígitos, letras minúsculas y letras mayúsculas | Número de tipos de elementos complejos (letras mayúsculas y minúsculas, números y puntuación) necesarios para un PIN seguro o contraseña. |
| DeviceLock/MinDevicePasswordLength | Un entero X donde 4 < X < 16 para dispositivos clienteValor modificado: 12 | Especifica el número mínimo o caracteres necesarios en el PIN o la contraseña. |
| de inscripción de MDM | ||
| Experiencia/AllowManualMDMUnenrollment | 0 : no permitido | No permitir que el usuario elimine la cuenta de área de trabajo mediante el panel de control del área de trabajo. |
| Identity | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | Número de días de la memoria caché que se va a validarRecommended: 7 días | Número de días que la caché de pertenencia a grupos de Microsoft Entra debe ser válida. |
| Power | ||
| power/DisplayOffTimeoutPluggedIn | Tiempo de inactividad en número de segundosRecommended valores: 60 segundos | Permite especificar el período de inactividad antes de que Windows desactive la pantalla. |
| privacidad | ||
|
Privacidad/LetAppsAccess AccountInfo |
2 - Forzar denegación | Deniega a las aplicaciones de Windows acceso a la información de la cuenta. |
|
Privacidad/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Windows | Las aplicaciones de Windows enumeradas pueden acceder a la información de la cuenta. |
|
Privacidad/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Windows | A las aplicaciones de Windows enumeradas se les deniega el acceso a la información de la cuenta. |
|
Privacidad/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Windows | El usuario puede controlar la configuración de privacidad de la información de la cuenta para las aplicaciones de Windows enumeradas. |
|
Privacidad/LetAppsAccess BackgroundSpatialPerception |
2 - Forzar denegación | Denegar a las aplicaciones de Windows el acceso al movimiento de la cabeza, las manos, los controladores de movimiento y otros objetos de seguimiento del usuario, mientras que las aplicaciones se ejecutan en segundo plano. |
|
Privacidad/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de la Tienda Windows | Las aplicaciones enumeradas pueden acceder a los movimientos del usuario mientras las aplicaciones se ejecutan en segundo plano. |
|
Privacidad/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de la Tienda Windows | Se deniega el acceso a los movimientos del usuario mientras las aplicaciones se ejecutan en segundo plano. |
|
Privacidad/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de la Tienda Windows | El usuario puede controlar la configuración de privacidad de los movimientos de usuario para las aplicaciones enumeradas. |
|
Privacidad/LetAppsAccess Microphone_ForceDenyTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Microsoft Store | Se deniega el acceso a las aplicaciones enumeradas al micrófono. |
|
Privacidad/LetAppsAccess Microphone_UserInControlOfTheseApps |
Lista de nombres de familia de paquetes delimitados por punto y coma de aplicaciones de Microsoft Store | El usuario puede controlar la configuración de privacidad del micrófono para las aplicaciones enumeradas. |
| Search | ||
| Search/AllowSearchToUseLocation | 0 : no permitido | No permitir que la búsqueda use la información de ubicación. |
| security | ||
| Security/AllowAddProvisioningPackage | 0 : no permitido | No permitir que el agente de configuración en tiempo de ejecución instale paquetes de aprovisionamiento. |
| configuración | ||
| configuración de /AllowVPN | 0 : no permitido | No permitir que el usuario cambie la configuración de VPN. |
| Settings/PageVisibilityList | Nombre abreviado de las páginas que son visibles para el usuarioEscribirá una interfaz de usuario para seleccionar o anular la selección de los nombres de página. Consulte los comentarios de las páginas recomendadas para ocultar. | Permitir que solo se muestren las páginas enumeradas al usuario en la aplicación Configuración. |
| System | ||
| System/AllowStorageCard | 0 : no permitido | No se permite el uso de tarjetas SD y las unidades USB están deshabilitadas. Esta configuración no impide el acceso mediante programación a la tarjeta de almacenamiento. |
| System/AllowTelemetry | 0 - No permitido | No permitir que el dispositivo envíe datos de telemetría de diagnóstico y uso, como Watson. |
| actualizaciones de |
||
| Update/AllowUpdateService | 1 : permitido | Permitir el acceso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store. |
| Update/ManagePreviewBuilds | 0- Deshabilitar compilaciones en versión preliminar | No permitir la instalación de compilaciones en versión preliminar en el dispositivo. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 : no permitido | No permitir la conexión a Wi-Fi fuera de las redes instaladas por el servidor MDM. |
2.2 de CSP accountManagement
| nombre de nodo de |
valor | descripción |
|---|---|---|
| UserProfileManagement/EnableProfileManager | Verdadero | Habilite la administración de la duración del perfil para escenarios de dispositivos compartidos o comunes. |
| UserProfileManagement/DeletePolicy | 2: eliminación tanto en el umbral de capacidad de almacenamiento como en el umbral de inactividad del perfil | Configura cuándo se eliminarán los perfiles. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | Comience a eliminar perfiles cuando la capacidad de almacenamiento disponible esté por debajo de este umbral, dado como porcentaje del almacenamiento total disponible para los perfiles. Los perfiles que han estado inactivos más largos se eliminarán primero. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | Detenga la eliminación de perfiles cuando la capacidad de almacenamiento disponible alcance este umbral, dado como porcentaje del almacenamiento total disponible para los perfiles. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | Comience a eliminar perfiles cuando no se hayan iniciado sesión durante el período especificado, dado como número de días. |
2.3 applicationControl CSP
| nombre de nodo de |
valor | descripción |
|---|---|---|
| Directivas/GUID de directiva | de identificador de directiva en el blob de directivas | Identificador de directiva en el blob de directiva. |
| Policies/Policy GUID/Policy | de blobs de directiva de |
Blob binario de directiva codificado en base64. |
2.4 ClientCertificateInstall CSP
Se recomienda configurar este CSP como procedimiento recomendado, pero no hay recomendaciones para valores específicos para cada nodo de este CSP.
2.5 PassportForWork CSP
| nombre de nodo de |
valor | descripción |
|---|---|---|
| Id. de inquilino | tenantId | Identificador único global (GUID), sin llaves ( { , } ), que se usa como parte del aprovisionamiento y la administración de Windows Hello para empresas. |
| TenantId/Policies/UsePassportForWork | Verdadero | Establece Windows Hello para empresas como método para iniciar sesión en Windows. |
| TenantId/Policies/RequireSecurityDevice | Verdadero | Requiere un módulo de plataforma segura (TPM) para Windows Hello para empresas. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | Falso | Los módulos de revisión 1.2 de TPM pueden usarse con Windows Hello para empresas. |
| TenantId/Policies/EnablePinRecovery | Falso | El secreto de recuperación de PIN no se creará ni almacenará. |
| TenantId/Policies/UseCertificateForOnPremAuth | Falso | El PIN se aprovisiona cuando el usuario inicia sesión, sin esperar una carga de certificado. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | La longitud del PIN debe ser mayor o igual que este número. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | La longitud del PIN debe ser menor o igual que este número. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | Los dígitos son obligatorios y no se permiten todos los demás conjuntos de caracteres. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | No permite el uso de caracteres especiales en el PIN. |
| TenantId/Policies/PINComplexity/Digits | 0 | Permite el uso de dígitos en el PIN. |
| TenantId/Policies/PINComplexity/History | 10 | Número de PIN anteriores que se pueden asociar a una cuenta de usuario que no se puede reutilizar. |
| TenantId/Policies/PINComplexity/Expiration | 90 | Período de tiempo (en días) que se puede usar un PIN antes de que el sistema requiera que el usuario lo cambie. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | Falso | Las aplicaciones no usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado. |
2.6 CSP RootCATrustedCertificates
Se recomienda configurar nodos Root, CA, TrustedPublisher y TrustedPeople en este CSP como procedimiento recomendado, pero no se recomienda en valores específicos para cada nodo de este CSP.
2.7 csp de TenantLockdown
| nombre de nodo de |
valor | descripción |
|---|---|---|
| RequireNetworkInOOBE | Verdadero | Cuando el dispositivo pasa por OOBE al iniciar sesión por primera vez o después de un restablecimiento, es necesario que el usuario elija una red antes de continuar. No hay ninguna opción "omitir por ahora". Esto garantiza que el dispositivo permanece enlazado al inquilino en caso de restablecimientos o borrados accidentales o intencionales. |
2.8 DE CSP DE VPNv2
Se recomienda configurar perfiles de VPN como procedimiento recomendado, pero no se recomiendan valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.
2.9 DE WIFi
Se recomienda configurar perfiles de WiFi como procedimiento recomendado, pero no se recomiendan valores específicos para cada nodo de este CSP. La mayoría de las opciones de configuración están relacionadas con el entorno del cliente.
Cómo habilitar estas líneas base de seguridad
- Revise la línea de base de seguridad y decida qué aplicar.
- Determine los grupos de Azure a los que asignará la línea base. (Más sobre usuarios y grupos)
- Cree la línea base.
Aquí se muestra cómo crear la línea base.
Muchas de las opciones de configuración se pueden agregar mediante el catálogo configuración, pero a veces puede haber una configuración que aún no se haya rellenado en el catálogo de configuración. En esos casos, usará una directiva personalizada o OMA-URI (Open Mobile Alliance : identificador uniforme de recursos). Empiece por buscar en el catálogo de configuración y, si no se encuentra, siga las instrucciones siguientes para crear una directiva personalizada a través de OMA-URI.
Catálogo de configuración
Inicie sesión en su cuenta en el centro de administración de MEM de .
- Vaya a Dispositivos - perfiles de configuración de> ->+Crear perfil. En Plataforma, seleccione Windows 10 y versiones posterioresy, en Tipo de perfil, seleccione Catálogo de configuración (versión preliminar).
- Cree un nombre para el perfil y seleccione el botón Siguiente
. - En la pantalla Configuración, seleccione + Agregar configuración.
Con el nombre de la directiva de la línea base anterior, puede buscar la directiva. El catálogo de configuración espaciará el nombre, por lo que para encontrar "Accounts/AllowMicrosoftAccountConnection" deberá buscar "Permitir conexión de cuenta Microsoft". Después de buscar, verá la lista de directivas reducidas a solo el CSP que tiene esta directiva. Seleccione Cuentas (o el CSP pertinente para lo que está buscando actualmente), una vez que haga, verá el resultado de la directiva a continuación. Active la casilla de la directiva.
Una vez hecho esto, el panel de la izquierda agregará la categoría CSP y la configuración que agregó. Desde aquí puede configurarlo desde la configuración predeterminada, a una más segura.
Puede seguir agregando varias configuraciones al mismo perfil, lo que facilitará la asignación a la vez.
Adición de directivas de OMA-URI personalizadas
Es posible que algunas directivas aún no estén disponibles en el catálogo de configuración. Para estas directivas, deberá crear un perfil de OMA-URI personalizado. Inicie sesión en su cuenta en centro de administración de MEM.
- Vaya a Dispositivos - perfiles de configuración de> ->+Crear perfil. En Plataforma, seleccione Windows 10 y versiones posterioresy, en Tipo de perfil, seleccione Plantillas y seleccione Custom.
- Cree un nombre para el perfil y seleccione el botón Siguiente
. - Seleccione el botón Agregar
.
Deberá rellenar algunos campos.
- Nombre, puede asignarle un nombre a todo lo que necesite relacionado con la directiva. Puede ser un nombre abreviado que se usa para reconocerlo.
- Descripción será más detalles que podría necesitar.
- El OMA-URI será la cadena de OMA-URI completa donde está la directiva. Ejemplo:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - El tipo de datos es el tipo de valor que acepta esta directiva. En este ejemplo se trata de un número comprendido entre 0 y 60, por lo que se seleccionó Integer.
- Una vez que seleccione el tipo de datos, podrá escribir o cargar el valor necesario en el campo.
Una vez hecho esto, la directiva se agrega a la ventana principal. Puede seguir agregando todas las directivas personalizadas a la misma configuración personalizada. Esto ayuda a reducir la administración de varias configuraciones de dispositivos y facilita la asignación.
