HoloLens 2 보안 기준
중요하다
이 보안 기준에 사용되는 정책 중 일부는 최신 참가자 빌드도입되었습니다. 이러한 정책은 최신 참가자 빌드로 업데이트된 디바이스에서만 작동합니다.
이 문서에서는 CSP(구성 서비스 공급자)를 사용하여 HoloLens 2에서 구성할 수 있는 다양한 보안 기준 설정을 나열하고 설명합니다. Microsoft Endpoint Manager(공식적으로 Microsoft Intune이라고 함)를 사용하는 모바일 디바이스 관리의 일부로 조직 정책 및 요구 사항에 따라 다음 표준 또는 고급 보안 기준 설정을 사용합니다. 이러한 보안 기준 설정을 사용하여 조직 리소스를 보호합니다.
- 표준 보안 기준 설정은 사용 사례 시나리오 및 업계 수직에 관계없이 모든 유형의 사용자에게 적용됩니다.
- 고급 보안 기준 설정은 환경에 대한 엄격한 보안 제어가 있고 해당 환경에서 사용되는 디바이스에 대해 엄격한 보안 정책이 필요한 사용자에게 권장되는 설정입니다.
이러한 보안 기준 설정은 다양한 산업의 고객에게 HoloLens 2 디바이스를 배포하고 지원하는 데 얻은 Microsoft의 모범 사례 지침 및 경험을 기반으로 합니다.
보안 기준을 검토하고 둘 다 또는 일부를 사용하기로 결정한 후에는 이러한 보안 기준선을 사용하도록 설정하는 방법을
1. 표준 보안 기준 설정
다음 섹션에서는 표준 보안 기준 프로필의 일부로 각 CSP의 권장 설정을 설명합니다.
1.1 정책 CSP
| 정책 이름 | 값 | 설명 |
|---|---|---|
| 계정 | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 허용 안 됨 | 전자 메일이 아닌 연결 인증 및 서비스에 대해 사용자가 MSA 계정을 사용하도록 제한합니다. |
| 애플리케이션 관리 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 명시적 거부 | 비 Microsoft Store 앱을 명시적으로 거부합니다. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 허용됨 | Microsoft Store에서 앱의 자동 업데이트를 허용합니다. |
| applicationManagement/AllowDeveloperUnlock |
0 - 명시적 거부 | 사용자가 개발자 모드의 잠금을 해제하도록 제한하여 사용자가 IDE에서 디바이스에 앱을 설치할 수 있도록 합니다. |
| 브라우저 | ||
| Browser/AllowCookies | 1 – 타사 웹 사이트에서 쿠키만 차단 | 이 정책을 사용하면 타사 쿠키만 차단하거나 모든 쿠키를 차단하도록 Microsoft Edge를 구성할 수 있습니다. |
| Browser/AllowPasswordManager | 0 – 허용되지 않음 | 암호 관리자를 사용하도록 Microsoft Edge를 허용하지 않습니다. |
| Browser/AllowSmartScreen | 1 – 켜짐 | Windows Defender SmartScreen을 켜고 사용자가 해제하지 못하도록 합니다. |
| 연결 | ||
| 연결/AllowUSBConnection | 0 – 허용되지 않음 | 디바이스와 컴퓨터 간의 USB 연결을 사용하지 않도록 설정하여 디바이스와 파일을 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그합니다. |
| 디바이스 잠금 | ||
| DeviceLock/AllowIdleReturnWithoutPassword |
0 – 허용되지 않음 | PIN 또는 암호 없이 유휴 상태에서 반환을 허용하지 않습니다. |
| DeviceLock/AllowSimpleDevicePassword |
0 – 차단됨 | PIN 또는 암호(예: "1111" 또는 "1234")를 차단합니다. |
| deviceLock/AlphanumericDevicePasswordRequired |
1 – 암호 또는 숫자 PIN 필요 | 암호 또는 영숫자 PIN이 필요합니다. |
| DeviceLock/DevicePasswordEnabled |
0 – 사용 | 디바이스 잠금을 사용할 수 있습니다. |
| DeviceLock/MaxInactivityTimeDeviceLock |
0 < X < 999 권장 값인 정수 X: 3 | 디바이스가 유휴 상태일 때 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다. |
| deviceLock/MinDevicePasswordComplexCharacters |
1 - 숫자만 | 강력한 PIN 또는 암호에 필요한 복합 요소 형식(대문자 및 소문자, 숫자 및 문장 부호)의 수입니다. |
| deviceLock/MinDevicePasswordLength |
클라이언트 devicesRecommended 값에 대해 4 < X < 16인 정수 X: 8 | PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다. |
| MDM 등록 |
||
| Experience/AllowManualMDMUnenrollment | 0 – 허용되지 않음 | 사용자가 작업 공간 제어판을 사용하여 작업 공간 계정을 삭제하도록 허용하지 않습니다. |
| ID | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | validRecommended 값으로 캐시할 일 수: 7일 | Microsoft Entra 그룹 멤버 자격 캐시가 유효해야 하는 일 수입니다. |
| Power | ||
| power/DisplayOffTimeoutPluggedIn |
유휴 시간(초)입니다. 커밋된 값: 60초 | Windows에서 디스플레이를 해제하기 전에 비활성 기간을 지정할 수 있습니다. |
| 설정 | ||
| 설정/AllowVPN | 0 – 허용되지 않음 | 사용자가 VPN 설정을 변경할 수 없습니다. |
| 설정/PageVisibilityList | 사용자에게 표시되는 페이지의 단축된 이름입니다. 페이지 이름을 선택하거나 선택 취소하는 UI를 제공합니다. 숨길 권장 페이지에 대한 설명을 참조하세요. | 설정 앱에서 나열된 페이지만 사용자에게 표시하도록 허용합니다. |
| 시스템 | ||
| System/AllowStorageCard | 0 – 허용되지 않음 | SD 카드 사용은 허용되지 않으며 USB 드라이브는 사용할 수 없습니다. 이 설정은 스토리지 카드에 프로그래밍 방식으로 액세스하는 것을 방지하지 않습니다. |
| 업데이트 | ||
| Update/AllowUpdateService | 1 – 허용됨 | Microsoft Update, WSUS(Windows Server Update Services) 또는 Microsoft Store에 대한 액세스를 허용합니다. |
| Update/ManagePreviewBuilds | 0 - 미리 보기 빌드 사용 안 함 | 디바이스에 설치할 미리 보기 빌드를 허용하지 않습니다. |
1.2 ClientCertificateInstall CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다.
1.3 PassportForWork CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| 테넌트 ID | TenantId | 비즈니스용 Windows Hello 프로비저닝 및 관리의 일부로 사용되는 중괄호({ , })가 없는 GUID(Globally Unique Identifier)입니다. |
| TenantId/Policies/UsePassportForWork | 참 | 비즈니스용 Windows Hello를 Windows에 로그인하는 방법으로 설정합니다. |
| TenantId/Policies/RequireSecurityDevice | 참 | 비즈니스용 Windows Hello용 TPM(신뢰할 수 있는 플랫폼 모듈)이 필요합니다. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM 수정 버전 1.2 모듈은 비즈니스용 Windows Hello와 함께 사용할 수 있습니다. |
| TenantId/Policies/EnablePinRecovery | False | PIN 복구 비밀은 생성되거나 저장되지 않습니다. |
| TenantId/Policies/UseCertificateForOnPremAuth | False | PIN은 사용자가 인증서 페이로드를 기다리지 않고 로그인할 때 프로비전됩니다. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 길이는 이 숫자보다 크거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 길이는 이 숫자보다 작거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN에서 특수 문자를 사용할 수 없습니다. |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN에서 숫자를 사용할 수 있습니다. |
| TenantId/Policies/PINComplexity/History | 10 | 다시 사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN의 수입니다. |
| TenantId/Policies/PINComplexity/Expiration | 90 | 시스템에서 PIN을 변경하도록 요구하기 전에 PIN을 사용할 수 있는 기간(일)입니다. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자에게 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 메시지가 표시되면 생체 인식 요소를 사용할 수 있습니다. |
1.4 RootCATrustedCertificates CSP
이 CSP의 루트, CA, TrustedPublisher 및 TrustedPeople 노드를 구성하는 것이 가장 좋지만 이 CSP의 각 노드에 대한 특정 값에는 권장되지 않습니다.
1.5 TenantLockdown CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| RequireNetworkInOOBE | 참 | 디바이스가 처음 로그인하거나 재설정한 후 OOBE를 통과하면 계속하기 전에 사용자가 네트워크를 선택해야 합니다. "지금은 건너뛰기" 옵션이 없습니다. 이 옵션을 사용하면 실수로 또는 의도적인 재설정 또는 초기화 시 디바이스가 테넌트에 바인딩된 상태로 유지됩니다. |
1.6 VPNv2 CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
1.7 WiFi CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
2 고급 보안 기준 설정
다음 섹션에서는 고급 보안 기준 프로필의 일부로 각 CSP의 권장 설정을 설명합니다.
2.1 정책 CSP
| 정책 이름 | 값 | 설명 |
|---|---|---|
| 계정 | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 허용 안 됨 | 전자 메일이 아닌 연결 인증 및 서비스에 대해 사용자가 MSA 계정을 사용하도록 제한합니다. |
| 애플리케이션 관리 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 명시적 거부 | 비 Microsoft Store 앱을 명시적으로 거부합니다. |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 허용됨 | Microsoft Store에서 앱의 자동 업데이트를 허용합니다. |
| applicationManagement/AllowDeveloperUnlock |
0 - 명시적 거부 | 사용자가 개발자 모드의 잠금을 해제하도록 제한하여 사용자가 IDE에서 디바이스에 앱을 설치할 수 있도록 합니다. |
| 인증 | ||
| 인증/AllowFastReconnect | 0 – 허용되지 않음 | EAP 메서드 TLS에 대해 EAP Fast Reconnect가 시도되지 않도록 합니다. |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – 허용되지 않음 | 다른 디바이스는 이 디바이스를 검색할 수 없습니다. |
| 브라우저 | ||
| Browser/AllowAutofill | 0 – 방지/허용 안 됨 | 사용자가 자동 채우기 기능을 사용하여 Microsoft Edge의 양식 필드를 자동으로 채우는 것을 방지합니다. |
| Browser/AllowCookies | 1 – 타사 웹 사이트에서 쿠키만 차단 | 타사 웹 사이트에서 쿠키만 차단합니다. |
| Browser/AllowDoNotTrack | 0 - 추적 정보를 보내지 않습니다. | 추적 정보를 보내지 않습니다. |
| Browser/AllowPasswordManager | 0 – 허용되지 않음 | 암호 관리자를 사용하도록 Microsoft Edge를 허용하지 않습니다. |
| Browser/AllowPopups | 1 - 팝업 차단 켜기 | 팝업 차단을 켜면 팝업 창이 열리지 않습니다. |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – 방지/허용 안 됨 | Microsoft Edge의 주소 표시줄에서 검색 제안을 숨깁니다. |
| Browser/AllowSmartScreen | 1 – 켜짐 | Windows Defender SmartScreen을 켜고 사용자가 해제하지 못하도록 합니다. |
| 연결 | ||
| 연결/AllowBluetooth | 0 – Bluetooth 허용 불허 | Bluetooth 제어판이 회색으로 표시되고 사용자가 Bluetooth를 켤 수 없습니다. |
| 연결/AllowUSBConnection | 0 – 허용되지 않음 | 디바이스와 컴퓨터 간의 USB 연결을 사용하지 않도록 설정하여 디바이스와 파일을 동기화하거나 개발자 도구를 사용하여 애플리케이션을 배포하거나 디버그합니다. |
| 디바이스 잠금 | ||
| DeviceLock/AllowIdleReturnWithoutPassword |
0 – 허용되지 않음 | PIN 또는 암호 없이 유휴 상태에서 반환을 허용하지 않습니다. |
| DeviceLock/AllowSimpleDevicePassword |
0 – 차단됨 | PIN 또는 암호(예: "1111" 또는 "1234")를 차단합니다. |
| deviceLock/AlphanumericDevicePasswordRequired |
0 – 암호 또는 영숫자 PIN 필요 | 암호 또는 영숫자 PIN이 필요합니다. |
| DeviceLock/DevicePasswordEnabled |
0 – 사용 | 디바이스 잠금을 사용할 수 있습니다. |
| DeviceLock/DevicePasswordHistory |
0< X < 50Recommended 값: 15인 정수 X | 사용할 수 없는 기록에 저장할 수 있는 암호 수를 지정합니다. |
| deviceLock/MaxDevicePasswordFailedAttempts |
클라이언트 devicesRecommended 값에 대해 4< X < 16인 정수 X: 10 | 디바이스를 초기화하기 전에 허용되는 인증 실패 횟수입니다. |
| DeviceLock/MaxInactivityTimeDeviceLock |
0 < X < 999 권장 값인 정수 X: 3 | 디바이스가 유휴 상태일 때 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다. |
| deviceLock/MinDevicePasswordComplexCharacters |
3 - 숫자, 소문자 및 대문자가 필요합니다. | 강력한 PIN 또는 암호에 필요한 복합 요소 형식(대문자 및 소문자, 숫자 및 문장 부호)의 수입니다. |
| deviceLock/MinDevicePasswordLength |
클라이언트 devicesRecommended 값에 대해 4< X < 16인 정수 X: 12 | PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다. |
| MDM 등록 |
||
| Experience/AllowManualMDMUnenrollment | 0 – 허용되지 않음 | 사용자가 작업 공간 제어판을 사용하여 작업 공간 계정을 삭제하도록 허용하지 않습니다. |
| ID | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | validRecommended 값으로 캐시할 일 수: 7일 | Microsoft Entra 그룹 멤버 자격 캐시가 유효해야 하는 일 수입니다. |
| Power | ||
| power/DisplayOffTimeoutPluggedIn |
유휴 시간(초)입니다. 커밋된 값: 60초 | Windows에서 디스플레이를 해제하기 전에 비활성 기간을 지정할 수 있습니다. |
| 개인 정보 | ||
|
Privacy/LetAppsAccess accountInfo |
2 - 강제 거부 | 계정 정보에 대한 Windows 앱 액세스를 거부합니다. |
|
Privacy/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 Windows 앱은 계정 정보에 액세스할 수 있습니다. |
|
Privacy/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 Windows 앱은 계정 정보에 대한 액세스가 거부됩니다. |
|
Privacy/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 사용자는 나열된 Windows 앱에 대한 계정 정보 개인 정보 설정을 제어할 수 있습니다. |
|
Privacy/LetAppsAccess BackgroundSpatialPerception |
2 - 강제 거부 | 앱이 백그라운드에서 실행되는 동안 Windows 앱에서 사용자의 머리, 손, 동작 컨트롤러 및 기타 추적된 개체의 움직임에 대한 액세스를 거부합니다. |
|
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 앱은 앱이 백그라운드에서 실행되는 동안 사용자의 움직임에 액세스할 수 있습니다. |
|
Privacy/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 앱은 백그라운드에서 실행되는 동안 사용자의 움직임에 대한 액세스가 거부됩니다. |
|
Privacy/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows 스토어 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 사용자는 나열된 앱에 대한 사용자 이동 개인 정보 설정을 제어할 수 있습니다. |
|
Privacy/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 나열된 앱은 마이크에 대한 액세스가 거부됩니다. |
|
Privacy/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store 앱의 세미콜론으로 구분된 패키지 패밀리 이름 목록 | 사용자는 나열된 앱에 대한 마이크 개인 정보 설정을 제어할 수 있습니다. |
| 검색 | ||
| Search/AllowSearchToUseLocation | 0 – 허용되지 않음 | 위치 정보를 사용하도록 검색을 허용하지 않습니다. |
| 보안 | ||
| Security/AllowAddProvisioningPackage | 0 – 허용되지 않음 | 프로비저닝 패키지를 설치하도록 런타임 구성 에이전트를 허용하지 않습니다. |
| 설정 | ||
| 설정/AllowVPN | 0 – 허용되지 않음 | 사용자가 VPN 설정을 변경할 수 없습니다. |
| 설정/PageVisibilityList | userWill에 표시되는 페이지의 단축된 이름은 페이지 이름을 선택하거나 선택 취소하는 UI를 제공합니다. 숨길 권장 페이지에 대한 설명을 참조하세요. | 설정 앱에서 나열된 페이지만 사용자에게 표시하도록 허용합니다. |
| 시스템 | ||
| System/AllowStorageCard | 0 – 허용되지 않음 | SD 카드 사용은 허용되지 않으며 USB 드라이브는 사용할 수 없습니다. 이 설정은 스토리지 카드에 프로그래밍 방식으로 액세스하는 것을 방지하지 않습니다. |
| 시스템/AllowTelemetry | 0 - 허용되지 않음 | 디바이스에서 Watson과 같은 진단 및 사용량 원격 분석 데이터를 보낼 수 없습니다. |
| 업데이트 | ||
| Update/AllowUpdateService | 1 – 허용됨 | Microsoft Update, WSUS(Windows Server Update Services) 또는 Microsoft Store에 대한 액세스를 허용합니다. |
| Update/ManagePreviewBuilds | 0 - 미리 보기 빌드 사용 안 함 | 디바이스에 설치할 미리 보기 빌드를 허용하지 않습니다. |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration |
0 – 허용되지 않음 | MDM 서버 설치 네트워크 외부에서 Wi-Fi 연결을 허용하지 않습니다. |
2.2 AccountManagement CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| UserProfileManagement/EnableProfileManager | 참 | 공유 또는 공동 디바이스 시나리오에 대해 프로필 수명 관리를 사용하도록 설정합니다. |
| UserProfileManagement/DeletionPolicy | 2 - 스토리지 용량 임계값과 프로필 비활성 임계값 모두에서 삭제 | 프로필을 삭제할 시기를 구성합니다. |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | 사용 가능한 스토리지 용량이 이 임계값 아래로 떨어지면 프로필에 사용할 수 있는 총 스토리지의 백분율로 지정된 경우 프로필 삭제를 시작합니다. 가장 오랫동안 비활성 상태인 프로필은 먼저 삭제됩니다. |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | 사용 가능한 스토리지 용량이 이 임계값까지 올라가면 프로필에 사용할 수 있는 총 스토리지의 백분율로 지정된 경우 프로필 삭제를 중지합니다. |
| UserProfileManagement/ProfileInactivityThreshold | 30 | 지정된 기간 동안 프로필이 로그온되지 않은 경우 일 수로 지정된 프로필 삭제를 시작합니다. |
2.3 ApplicationControl CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| 정책/정책 GUID | 정책 Blob의 정책 ID | 정책 Blob의 정책 ID입니다. |
| 정책/정책 GUID/Policy | 정책 Blob | base64로 인코딩된 정책 이진 Blob입니다. |
2.4 ClientCertificateInstall CSP
이 CSP를 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값에 대한 권장 사항은 없습니다.
2.5 PassportForWork CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| 테넌트 ID | TenantId | 비즈니스용 Windows Hello 프로비저닝 및 관리의 일부로 사용되는 중괄호({ , })가 없는 GUID(Globally Unique Identifier)입니다. |
| TenantId/Policies/UsePassportForWork | 참 | 비즈니스용 Windows Hello를 Windows에 로그인하는 방법으로 설정합니다. |
| TenantId/Policies/RequireSecurityDevice | 참 | 비즈니스용 Windows Hello용 TPM(신뢰할 수 있는 플랫폼 모듈)이 필요합니다. |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | False | TPM 수정 버전 1.2 모듈은 비즈니스용 Windows Hello와 함께 사용할 수 있습니다. |
| TenantId/Policies/EnablePinRecovery | False | PIN 복구 비밀은 만들거나 저장되지 않습니다. |
| TenantId/Policies/UseCertificateForOnPremAuth | False | PIN은 사용자가 로그인할 때 인증서 페이로드를 기다리지 않고 프로비전됩니다. |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 길이는 이 숫자보다 크거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 길이는 이 숫자보다 작거나 같아야 합니다. |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 숫자가 필요하며 다른 모든 문자 집합은 허용되지 않습니다. |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN에서 특수 문자를 사용할 수 없습니다. |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN에서 숫자를 사용할 수 있습니다. |
| TenantId/Policies/PINComplexity/History | 10 | 다시 사용할 수 없는 사용자 계정에 연결할 수 있는 이전 PIN의 수입니다. |
| TenantId/Policies/PINComplexity/Expiration | 90 | 시스템에서 PIN을 변경하도록 요구하기 전에 PIN을 사용할 수 있는 기간(일)입니다. |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | False | 애플리케이션은 비즈니스용 Windows Hello 인증서를 스마트 카드 인증서로 사용하지 않으며, 사용자에게 인증서의 프라이빗 키 사용에 대한 권한을 부여하라는 메시지가 표시되면 생체 인식 요소를 사용할 수 있습니다. |
2.6 RootCATrustedCertificates CSP
이 CSP의 루트, CA, TrustedPublisher 및 TrustedPeople 노드를 구성하는 것이 가장 좋지만 이 CSP의 각 노드에 대한 특정 값에는 권장하지 않습니다.
2.7 TenantLockdown CSP
| 노드 이름 | 값 | 설명 |
|---|---|---|
| RequireNetworkInOOBE | 참 | 디바이스가 처음 로그인하거나 재설정한 후 OOBE를 통과하면 계속하기 전에 네트워크를 선택해야 합니다. "지금은 건너뛰기" 옵션이 없습니다. 이렇게 하면 우발적이거나 의도적인 재설정 또는 초기화 시 디바이스가 테넌트에 바인딩된 상태로 유지됩니다. |
2.8 VPNv2 CSP
VPN 프로필을 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
2.9 WiFi CSP
WiFi 프로필을 모범 사례로 구성하는 것이 좋지만 이 CSP의 각 노드에 대한 특정 값은 권장하지 않습니다. 대부분의 설정은 고객 환경과 관련이 있습니다.
이러한 보안 기본 줄을 사용하도록 설정하는 방법
- 보안 기준을 검토하고 적용할 내용을 결정합니다.
- 기준을 할당할 Azure 그룹을 결정합니다. (사용자 및 그룹에 대한 자세한 내용은)
- 기준을 만듭니다.
기준을 만드는 방법은 다음과 같습니다.
설정 카탈로그를 사용하여 많은 설정을 추가할 수 있지만 설정 카탈로그에 아직 채워지지 않은 설정이 있을 수 있습니다. 이러한 경우 사용자 지정 정책 또는 OMA-URI(Open Mobile Alliance - Uniform Resource Identifier)를 사용합니다. 먼저 설정 카탈로그를 살펴보고 찾을 수 없는 경우 OMA-URI를 통해 사용자 지정 정책을 만들기 위한 아래 지침을 따릅니다.
설정 카탈로그
MEM 관리 센터계정에 로그인합니다.
-
디바이스 ->구성 프로필 ->+프로필만들기로 이동합니다. 플랫폼의 경우 Windows 10 이상
선택하고 프로필 유형에 대해 설정 카탈로그(미리 보기) 선택합니다. - 프로필의 이름을 만들고 다음 단추를 선택합니다.
- 구성 설정 화면에서 + 설정 추가선택합니다.
위의 기준에서 정책의 이름을 사용하여 정책을 검색할 수 있습니다. 설정 카탈로그는 이름 간격을 지정하므로 "Accounts/AllowMicrosoftAccountConnection"을 찾으려면 "Microsoft 계정 연결 허용"을 검색해야 합니다. 검색한 후에는 정책 목록이 이 정책이 있는 CSP로 축소된 것을 볼 수 있습니다. 아래의 정책 결과가 표시되면 계정(또는 현재 검색 중인 항목과 관련된 CSP)를 선택합니다. 정책 확인란을 선택합니다.
완료되면 왼쪽의 패널에 CSP 범주와 추가한 설정이 추가됩니다. 여기에서 기본 설정에서 보안으로 구성할 수 있습니다.
동일한 프로필에 여러 구성을 계속 추가할 수 있으므로 한 번에 더 쉽게 할당할 수 있습니다.
사용자 지정 OMA-URI 정책 추가
일부 정책은 아직 설정 카탈로그에서 사용할 수 없습니다. 이러한 정책의 경우 사용자 지정 OMA-URI 프로필
-
디바이스 ->구성 프로필 ->+프로필만들기로 이동합니다. 플랫폼의 경우 Windows 10 이상
선택하고 프로필 유형에 대해 템플릿 선택하고 사용자 지정선택합니다. - 프로필의 이름을 만들고 다음 단추를 선택합니다.
- 추가 단추를 선택합니다.
몇 가지 필드를 입력해야 합니다.
- 이름을 지정하면 정책과 관련된 모든 항목의 이름을 지정할 수 있습니다. 이를 인식하는 데 사용하는 약식 이름일 수 있습니다.
- 자세한 내용은 필요할 수 있습니다.
- OMA-URI 정책이 있는 전체 OMA-URI 문자열입니다. 예:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - 데이터 형식은 이 정책이 허용하는 값의 형식입니다. 이 예제에서는 0에서 60 사이의 숫자이므로 정수를 선택했습니다.
- 데이터 형식을 선택하면 필드에 필요한 값을 쓰거나 업로드할 수 있습니다.
완료되면 정책이 주 창에 추가됩니다. 동일한 사용자 지정 구성에 모든 사용자 지정 정책을 계속 추가할 수 있습니다. 이렇게 하면 여러 디바이스 구성 관리를 줄이고 할당을 더 쉽게 수행할 수 있습니다.
