Condividi tramite


Baseline di sicurezza di HoloLens 2

Importante

Alcuni dei criteri usati in questa baseline di sicurezza sono introdotti nell'ultima build Insider. Questi criteri funzioneranno solo sui dispositivi aggiornati alla build più recente di Insider.

Questo articolo elenca e descrive le varie impostazioni della baseline di sicurezza che è possibile configurare in HoloLens 2 usando i provider di servizi di configurazione (CSP). Nell'ambito della gestione dei dispositivi mobili con Microsoft Endpoint Manager (formalmente noto come Microsoft Intune), usare le impostazioni standard o avanzate della baseline di sicurezza seguenti a seconda dei criteri e delle esigenze dell'organizzazione. Usare queste impostazioni della baseline di sicurezza per proteggere le risorse dell'organizzazione.

  • Le impostazioni della baseline di sicurezza standard sono applicabili a tutti i tipi di utenti indipendentemente dallo scenario del caso d'uso e dal settore verticale.
  • Le impostazioni avanzate della baseline di sicurezza sono impostazioni consigliate per gli utenti che hanno controlli di sicurezza rigorosi del proprio ambiente e richiedono criteri di sicurezza rigorosi per i dispositivi usati nel proprio ambiente.

Queste impostazioni della baseline di sicurezza sono basate sulle linee guida e sull'esperienza consigliate di Microsoft acquisite per la distribuzione e il supporto di dispositivi HoloLens 2 ai clienti in diversi settori.

Dopo aver esaminato la baseline di sicurezza e aver deciso di usare quella, entrambe o le parti, vedere come abilitare queste linee di base di sicurezza

1. Impostazioni della baseline di sicurezza standard

Le sezioni seguenti descrivono le impostazioni consigliate di ogni provider di servizi di configurazione come parte del profilo della baseline di sicurezza standard.

1.1 criteri CSP

nome criterio valore Descrizione
account
account /AllowMicrosoftAccountConnection 0 – Non consentito Limitare l'utente all'uso di un account del servizio gestito per l'autenticazione e i servizi di connessione non correlati alla posta elettronica.
di gestione delle applicazioni
ApplicationManagement/AllowAllTrustedApps 0 - Negazione esplicita Negare in modo esplicito le app non di Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Consentito Consenti l'aggiornamento automatico delle app da Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Negazione esplicita Limitare l'utente a sbloccare la modalità sviluppatore, che consente all'utente di installare le app nel dispositivo da un IDE.
Browser
Browser/AllowCookies 1 – Blocca solo i cookie da siti Web di terze parti Con questo criterio, è possibile configurare Microsoft Edge per bloccare solo i cookie di terze parti o bloccare tutti i cookie.
Browser/AllowPasswordManager 0 – Non consentito Non consentire a Microsoft Edge di usare il gestore delle password.
Browser/AllowSmartScreen 1 – Attivato Attiva Windows Defender SmartScreen e impedisce agli utenti di disattivarla.
connettività
connectivity/AllowUSBConnection 0 – Non consentito Disabilita la connessione USB tra il dispositivo e un computer per sincronizzare i file con il dispositivo o per usare gli strumenti di sviluppo per distribuire o eseguire il debug delle applicazioni.
blocco del dispositivo
DeviceLock/AllowIdleReturnWithoutPassword 0 – Non consentito Non consentire la restituzione da inattiva senza PIN o password.
DeviceLock/AllowSimpleDevicePassword 0 – Bloccato Bloccare PIN o password, ad esempio "1111" o "1234".
DeviceLock/AlphanumericDevicePasswordRequired 1 - Password o PIN numerico obbligatorio Richiedi pin alfanumerico o password.
DeviceLock/DevicePasswordEnabled 0 - Abilitato Il blocco del dispositivo è abilitato.
DeviceLock/MaxInactivityTimeDeviceLock Intero X in cui 0 < X < 999 Valore consigliato: 3 Specifica la quantità massima di tempo (in minuti) consentita dopo che il dispositivo è inattiva che causerà il blocco del PIN o della password del dispositivo.
DeviceLock/MinDevicePasswordComplexCharacters 1 - Solo cifre Numero di tipi di elemento complessi (lettere maiuscole e minuscole, numeri e punteggiatura) necessari per un PIN o una password complessa.
DeviceLock/MinDevicePasswordLength Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 8 Specifica il numero o i caratteri minimi richiesti nel PIN o nella password.
di registrazione MDM
Experience/AllowManualMDMUnenrollment 0 – Non consentito Non consentire all'utente di eliminare l'account aziendale usando il pannello di controllo dell'area di lavoro.
identity
MixedReality/AADGroupMembershipCacheValidityInDays Numero di giorni in cui la cache deve essere validaValore consigliato: 7 giorni Numero di giorni in cui deve essere valida la cache di appartenenza al gruppo Microsoft Entra.
Power
Power/DisplayOffTimeoutPluggedIn Tempo di inattività in numero di secondiRecommended values: 60 secs Consente di specificare il periodo di inattività prima che Windows spegni la visualizzazione.
Impostazioni
Impostazioni/AllowVPN 0 – Non consentito Non consentire all'utente di modificare le impostazioni VPN.
Impostazioni/PageVisibilityList Nome abbreviato delle pagine visibili all'utente. Fornirà un'interfaccia utente per selezionare o deselezionare i nomi delle pagine. Vedere i commenti per le pagine consigliate da nascondere. Consente di visualizzare solo le pagine elencate all'utente nell'app Impostazioni.
system
system/AllowStorageCard 0 – Non consentito L'uso della scheda SD non è consentito e le unità USB sono disabilitate. Questa impostazione non impedisce l'accesso a livello di codice alla scheda di archiviazione.
aggiornamenti di
Update/AllowUpdateService 1 – Consentito Consentire l'accesso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store.
Update/ManagePreviewBuilds 0 - Disabilitare le build di anteprima Non consentire l'installazione delle build di anteprima nel dispositivo.

1.2 ClientCertificateInstallare CSP

È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP.

1.3 PassportForWork CSP

nome nodo valore Descrizione
Tenant ID TenantId Identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione di Windows Hello for Business.
TenantId/Policies/UsePassportForWork Vero Imposta Windows Hello for Business come metodo per l'accesso a Windows.
TenantId/Policies/RequireSecurityDevice Vero Richiede un modulo TPM (Trusted Platform Module) per Windows Hello for Business.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Falso I moduli della revisione 1.2 di TPM possono essere usati con Windows Hello for Business.
TenantId/Policies/EnablePinRecovery Falso Il segreto di ripristino PIN non viene creato o archiviato.
TenantId/Policies/UseCertificateForOnPremAuth Falso Viene effettuato il provisioning del PIN quando l'utente esegue l'accesso, senza attendere un payload del certificato.
TenantId/Policies/PINComplexity/MinimumPINLength 6 La lunghezza del PIN deve essere maggiore o uguale a questo numero.
TenantId/Policies/PINComplexity/MaximumPINLength 6 La lunghezza del PIN deve essere minore o uguale a questo numero.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Non consente l'uso di caratteri speciali nel PIN.
TenantId/Policies/PINComplexity/Digits 0 Consente l'uso di cifre nel PIN.
TenantId/Policies/PINComplexity/History 10 Numero di PIN passati che possono essere associati a un account utente che non possono essere riutilizzati.
TenantId/Policies/PINComplexity/Expiration 90 Periodo di tempo (in giorni) che un PIN può essere usato prima che il sistema richieda all'utente di modificarlo.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Falso Le applicazioni non usano i certificati di Windows Hello for Business come certificati smart card e i fattori biometrici sono disponibili quando viene chiesto a un utente di autorizzare l'uso della chiave privata del certificato.

1.4 CSP RootCATrustedCertificates

È consigliabile configurare nodi Radice, CA, TrustedPublisher e TrustedPeople in questo CSP come procedura consigliata, ma non è consigliabile usare valori specifici per ogni nodo in questo CSP.

1.5 CSP TenantLockdown

nome nodo valore Descrizione
RequireNetworkInOOBE Vero Quando il dispositivo passa attraverso la Configurazione guidata al primo accesso o dopo una reimpostazione, l'utente deve scegliere una rete prima di procedere. Non esiste un'opzione "ignora per il momento". Questa opzione garantisce che il dispositivo rimanga associato al tenant in caso di reimpostazioni o cancellazione accidentali o intenzionali.

1.6 CSP VPNv2

È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.

1.7 CSP WiFi

È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.

2 Impostazioni avanzate della baseline di sicurezza

Le sezioni seguenti descrivono le impostazioni consigliate di ogni provider di servizi di configurazione come parte del profilo della baseline di sicurezza avanzata.

2.1 criteri CSP

nome criterio valore Descrizione
account
account /AllowMicrosoftAccountConnection 0 – Non consentito Limitare l'utente all'uso di un account del servizio gestito per l'autenticazione e i servizi di connessione non correlati alla posta elettronica.
di gestione delle applicazioni
ApplicationManagement/AllowAllTrustedApps 0 - Negazione esplicita Negare in modo esplicito le app non di Microsoft Store.
ApplicationManagement/AllowAppStoreAutoUpdate 1 – Consentito Consenti l'aggiornamento automatico delle app da Microsoft Store.
ApplicationManagement/AllowDeveloperUnlock 0 - Negazione esplicita Limitare l'utente a sbloccare la modalità sviluppatore, che consente all'utente di installare le app nel dispositivo da un IDE.
di autenticazione di
autenticazione /AllowFastReconnect 0 – Non consentito Non consentire la riconnessione rapida EAP per il metodo EAP TLS.
Bluetooth
Bluetooth/AllowDiscoverableMode 0 – Non consentito Altri dispositivi non saranno in grado di rilevare questo dispositivo.
Browser
Browser/AllowAutofill 0 – Impedito/non consentito Impedire agli utenti di usare la funzionalità riempimento automatico per popolare automaticamente i campi del modulo in Microsoft Edge.
Browser/AllowCookies 1 – Blocca solo i cookie da siti Web di terze parti Blocca solo i cookie da siti Web di terze parti.
Browser/AllowDoNotTrack 0 - Non inviare mai informazioni di rilevamento Non inviare mai informazioni di rilevamento.
Browser/AllowPasswordManager 0 – Non consentito Non consentire a Microsoft Edge di usare il gestore delle password.
Browser/AllowPopups 1 – Attiva blocco popup Attivare Blocco popup che impedisce l'apertura delle finestre popup.
Browser/AllowSearchSuggestionsinAddressBar 0 – Impedito/non consentito Nascondere i suggerimenti di ricerca nella barra degli indirizzi di Microsoft Edge.
Browser/AllowSmartScreen 1 – Attivato Attiva Windows Defender SmartScreen e impedisce agli utenti di disattivarla.
connettività
connettività/AllowBluetooth 0 - Non consentire il Bluetooth Il pannello di controllo Bluetooth è disattivato e l'utente non sarà in grado di attivare Bluetooth.
connectivity/AllowUSBConnection 0 – Non consentito Disabilita la connessione USB tra il dispositivo e un computer per sincronizzare i file con il dispositivo o per usare gli strumenti di sviluppo per distribuire o eseguire il debug delle applicazioni.
blocco del dispositivo
DeviceLock/AllowIdleReturnWithoutPassword 0 – Non consentito Non consentire la restituzione da inattiva senza PIN o password.
DeviceLock/AllowSimpleDevicePassword 0 – Bloccato Bloccare PIN o password, ad esempio "1111" o "1234".
DeviceLock/AlphanumericDevicePasswordRequired 0- Password o PIN alfanumerico obbligatorio Richiedi pin alfanumerico o password.
DeviceLock/DevicePasswordEnabled 0 - Abilitato Il blocco del dispositivo è abilitato.
DeviceLock/DevicePasswordHistory Intero X in cui 0 < X < valore 50Recommended: 15 Specifica il numero di password che possono essere archiviate nella cronologia che non possono essere usate.
DeviceLock/MaxDevicePasswordFailedAttempts Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 10 Numero di errori di autenticazione consentiti prima che il dispositivo venga cancellato.
DeviceLock/MaxInactivityTimeDeviceLock Intero X in cui 0 < X < 999 Valore consigliato: 3 Specifica la quantità massima di tempo (in minuti) consentita dopo che il dispositivo è inattiva che causerà il blocco del PIN o della password del dispositivo.
DeviceLock/MinDevicePasswordComplexCharacters 3 - Sono necessarie cifre, lettere minuscole e lettere maiuscole Numero di tipi di elemento complessi (lettere maiuscole e minuscole, numeri e punteggiatura) necessari per un PIN o una password complessa.
DeviceLock/MinDevicePasswordLength Intero X in cui 4 < X < 16 per i dispositivi clientValorecommended: 12 Specifica il numero o i caratteri minimi richiesti nel PIN o nella password.
di registrazione MDM
Experience/AllowManualMDMUnenrollment 0 – Non consentito Non consentire all'utente di eliminare l'account aziendale usando il pannello di controllo dell'area di lavoro.
identity
MixedReality/AADGroupMembershipCacheValidityInDays Numero di giorni in cui la cache deve essere validaValore consigliato: 7 giorni Numero di giorni in cui deve essere valida la cache di appartenenza al gruppo Microsoft Entra.
Power
Power/DisplayOffTimeoutPluggedIn Tempo di inattività in numero di secondiRecommended values: 60 secs Consente di specificare il periodo di inattività prima che Windows spegni la visualizzazione.
privacy
Privacy/LetAppsAccess
AccountInfo
2 - Forza nega Nega l'accesso alle app di Windows alle informazioni sull'account.
Privacy/LetAppsAccess
AccountInfo_ForceAllowTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Le app di Windows elencate sono autorizzate ad accedere alle informazioni sull'account.
Privacy/LetAppsAccess
AccountInfo_ForceDenyTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Le app di Windows elencate vengono negate l'accesso alle informazioni sull'account.
Privacy/LetAppsAccess
AccountInfo_UserInControlOfTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows L'utente è in grado di controllare l'impostazione di privacy delle informazioni sull'account per le app di Windows elencate.
Privacy/LetAppsAccess
backgroundSpatialPerception
2 - Forza nega Negare alle app di Windows l'accesso allo spostamento della testa, delle mani, dei controller del movimento e di altri oggetti rilevati, mentre le app sono in esecuzione in background.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceAllowTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store Le app elencate sono autorizzate ad accedere agli spostamenti dell'utente mentre le app sono in esecuzione in background.
Privacy/LetAppsAccess
BackgroundSpatialPerception_ForceDenyTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store Le app elencate vengono negate l'accesso agli spostamenti dell'utente mentre le app sono in esecuzione in background.
Privacy/LetAppsAccess
sBackgroundSpatialPerception_UserInControlOfTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Windows Store L'utente è in grado di controllare l'impostazione di privacy degli spostamenti utente per le app elencate.
Privacy/LetAppsAccess
Microphone_ForceDenyTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Microsoft Store Le app elencate vengono negate l'accesso al microfono.
Privacy/LetAppsAccess
Microphone_UserInControlOfTheseApps
Elenco di nomi di famiglia di pacchetti delimitati da punti e virgola delle app di Microsoft Store L'utente è in grado di controllare l'impostazione della privacy del microfono per le app elencate.
ricerca
Search/AllowSearchToUseLocation 0 – Non consentito Non consentire la ricerca per usare le informazioni sulla posizione.
security
Security/AllowAddProvisioningPackage 0 – Non consentito Non consentire all'agente di configurazione di runtime di installare i pacchetti di provisioning.
Impostazioni
Impostazioni/AllowVPN 0 – Non consentito Non consentire all'utente di modificare le impostazioni VPN.
Impostazioni/PageVisibilityList Il nome abbreviato delle pagine visibili all'utente Fornisce un'interfaccia utente per selezionare o deselezionare i nomi delle pagine. Vedere i commenti per le pagine consigliate da nascondere. Consente di visualizzare solo le pagine elencate all'utente nell'app Impostazioni.
system
system/AllowStorageCard 0 – Non consentito L'uso della scheda SD non è consentito e le unità USB sono disabilitate. Questa impostazione non impedisce l'accesso a livello di codice alla scheda di archiviazione.
system/AllowTelemetry 0 - Non consentito Non consentire al dispositivo di inviare dati di telemetria di diagnostica e utilizzo, ad esempio Watson.
aggiornamenti di
Update/AllowUpdateService 1 – Consentito Consentire l'accesso a Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store.
Update/ManagePreviewBuilds 0 - Disabilitare le build di anteprima Non consentire l'installazione delle build di anteprima nel dispositivo.
Wi-Fi
Wifi/AllowManualWiFiConfiguration 0 – Non consentito Non consentire la connessione a Wi-Fi all'esterno delle reti installate dal server MDM.

2.2 CSP AccountManagement

nome nodo valore Descrizione
UserProfileManagement/EnableProfileManager Vero Abilitare la gestione della durata del profilo per scenari di dispositivi condivisi o comuni.
UserProfileManagement/DeletionPolicy 2 : eliminazione sia alla soglia di capacità di archiviazione che alla soglia di inattività del profilo Configura quando i profili verranno eliminati.
UserProfileManagement/StorageCapacityStartDeletion 25% Iniziare a eliminare i profili quando la capacità di archiviazione disponibile scende al di sotto di questa soglia, data come percentuale dello spazio di archiviazione totale disponibile per i profili. I profili che sono stati inattivi verranno eliminati per primi.
UserProfileManagement/StorageCapacityStopDeletion 50% Interrompere l'eliminazione dei profili quando la capacità di archiviazione disponibile viene visualizzata fino a questa soglia, data la percentuale di spazio di archiviazione totale disponibile per i profili.
UserProfileManagement/ProfileInactivityThreshold 30 Iniziare a eliminare i profili quando non sono stati connessi durante il periodo specificato, dato come numero di giorni.

2.3 CSP ApplicationControl

nome nodo valore Descrizione
CRITERI/GUID dei criteri id criterio nel BLOB dei criteri ID criterio nel BLOB dei criteri.
Criteri/ GUID dei criteri/Policy BLOB dei criteri di BLOB binario dei criteri codificato in Base64.

2.4 ClientCertificateInstallare CSP

È consigliabile configurare questo provider di servizi di configurazione come procedura consigliata, ma non sono disponibili raccomandazioni per valori specifici per ogni nodo in questo CSP.

2.5 PassportForWork CSP

nome nodo valore Descrizione
Tenant ID TenantId Identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione di Windows Hello for Business.
TenantId/Policies/UsePassportForWork Vero Imposta Windows Hello for Business come metodo per l'accesso a Windows.
TenantId/Policies/RequireSecurityDevice Vero Richiede un modulo TPM (Trusted Platform Module) per Windows Hello for Business.
TenantId/Policies/ExcludeSecurityDevices/TPM12 Falso I moduli della revisione 1.2 di TPM possono essere usati con Windows Hello for Business.
TenantId/Policies/EnablePinRecovery Falso Il segreto di ripristino PIN non verrà creato o archiviato.
TenantId/Policies/UseCertificateForOnPremAuth Falso Viene effettuato il provisioning del PIN quando l'utente accede, senza attendere un payload del certificato.
TenantId/Policies/PINComplexity/MinimumPINLength 6 La lunghezza del PIN deve essere maggiore o uguale a questo numero.
TenantId/Policies/PINComplexity/MaximumPINLength 6 La lunghezza del PIN deve essere minore o uguale a questo numero.
TenantId/Policies/PINComplexity/UppercaseLetters 2 Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti.
TenantId/Policies/PINComplexity/LowercaseLetters 2 Le cifre sono obbligatorie e tutti gli altri set di caratteri non sono consentiti.
TenantId/Policies/PINComplexity/SpecialCharacters 2 Non consente l'uso di caratteri speciali nel PIN.
TenantId/Policies/PINComplexity/Digits 0 Consente l'uso di cifre nel PIN.
TenantId/Policies/PINComplexity/History 10 Numero di PIN passati che possono essere associati a un account utente che non possono essere riutilizzati.
TenantId/Policies/PINComplexity/Expiration 90 Periodo di tempo (in giorni) che un PIN può essere usato prima che il sistema richieda all'utente di modificarlo.
TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates Falso Le applicazioni non usano i certificati di Windows Hello for Business come certificati smart card e i fattori biometrici sono disponibili quando viene chiesto a un utente di autorizzare l'uso della chiave privata del certificato.

2.6 CSP RootCATrustedCertificates

È consigliabile configurare nodi Radice, CA, TrustedPublisher e TrustedPeople in questo CSP come procedura consigliata, ma non è consigliabile usare valori specifici per ogni nodo in questo CSP.

2.7 TenantLockdown CSP

nome nodo valore Descrizione
RequireNetworkInOOBE Vero Quando il dispositivo passa attraverso la Configurazione guidata al primo accesso o dopo una reimpostazione, l'utente deve scegliere una rete prima di procedere. Non esiste un'opzione "ignora per il momento". In questo modo il dispositivo rimane associato al tenant in caso di reimpostazioni o cancellazione accidentali o intenzionali.

2.8 CSP VPNv2

È consigliabile configurare i profili VPN come procedura consigliata, ma non consigliare valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.

2.9 CSP WiFi

È consigliabile configurare i profili WiFi come procedura consigliata, ma non consigliare valori specifici per ogni nodo in questo CSP. La maggior parte delle impostazioni è correlata all'ambiente del cliente.

Come abilitare queste linee di base di sicurezza

  1. Esaminare la baseline di sicurezza e decidere cosa applicare.
  2. Determinare i gruppi di Azure a cui si assegnerà la baseline. (Altre informazioni su utenti e gruppi)
  3. Creare la linea di base.

Ecco come creare la linea di base.

Molte delle impostazioni possono essere aggiunte usando il catalogo Impostazioni, ma a volte potrebbe esserci un'impostazione che non è ancora stata popolata nel catalogo Impostazioni. In questi casi si useranno criteri personalizzati o OMA-URI (Open Mobile Alliance - Uniform Resource Identifier). Per iniziare, esaminare il catalogo delle impostazioni e, se non è stato trovato, seguire le istruzioni seguenti per la creazione di un criterio personalizzato tramite URI OMA.

Catalogo delle impostazioni

Accedere all'account nell'interfaccia di amministrazione MEM.

  1. Passare a Dispositivi - profili di configurazione> ->+Crea profilo. Per Piattaforma selezionare Windows 10 e versioni successivee per tipo di profilo selezionare Catalogo impostazioni (anteprima).
  2. Creare un nome per il profilo e selezionare il pulsante Avanti.
  3. Nella schermata Impostazioni di configurazione selezionare + Aggiungi impostazioni.

Usando il nome dei criteri della baseline precedente, è possibile cercare i criteri. Il catalogo delle impostazioni spazierà il nome, quindi per trovare "Accounts/AllowMicrosoftAccountConnection" sarà necessario cercare "Consenti connessione account Microsoft". Dopo la ricerca, verrà visualizzato l'elenco dei criteri ridotti solo al provider di servizi di configurazione con questo criterio. Selezionare Account (o il CSP pertinente a ciò che si sta cercando), dopo aver visualizzato il risultato del criterio seguente. Selezionare la casella relativa ai criteri.

Screenshot dell'opzione di selezione delle impostazioni.

Al termine, il pannello a sinistra aggiungerà la categoria CSP e l'impostazione aggiunta. Da qui è possibile configurarlo dall'impostazione predefinita a un'impostazione più sicura.

Screenshot del catalogo delle impostazioni.

È possibile continuare ad aggiungere più configurazioni allo stesso profilo, semplificando l'assegnazione contemporaneamente.

Aggiunta di criteri di OMA-URI personalizzati

Alcuni criteri potrebbero non essere ancora disponibili nel catalogo Impostazioni. Per questi criteri, è necessario creare un profilo di OMA-URI personalizzato. Accedere all'account nell'interfaccia di amministrazione MEM.

  1. Passare a Dispositivi - profili di configurazione> ->+Crea profilo. In Piattaforma selezionare Windows 10 e versioni successivee per tipo di profilo selezionare Modelli e selezionare personalizzato.
  2. Creare un nome per il profilo e selezionare il pulsante Avanti.
  3. Selezionare il pulsante aggiungi .

È necessario compilare alcuni campi.

  • Nome, è possibile denominarlo qualsiasi elemento correlato al criterio. Può trattarsi di un nome abbreviato usato per riconoscerlo.
  • La descrizione sarà più dettagliata.
  • Il OMA-URI sarà la stringa OMA-URI completa in cui si trova il criterio. Esempio: ./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays
  • Il tipo di dati è il tipo di valore accettato da questo criterio. Per questo esempio è un numero compreso tra 0 e 60, quindi è stato selezionato Integer.
  • Dopo aver selezionato il tipo di dati, sarà possibile scrivere o caricare il valore necessario nel campo.

Screenshot della configurazione di OMA-URI.

Al termine, i criteri vengono aggiunti alla finestra principale. È possibile continuare ad aggiungere tutti i criteri personalizzati alla stessa configurazione personalizzata. In questo modo è possibile ridurre la gestione di più configurazioni dei dispositivi e semplificare l'assegnazione.

Screenshot della configurazione di OMA-URI.