HoloLens 2 安全性基準
重要
此安全性基準中使用的一些原則會在我們最新的 測試人員組建中引進。 這些原則只會在更新至最新測試人員組建的裝置上運作。
本文列出並說明您可以使用組態服務提供者 (CSP) 在 HoloLens 2 上設定的各種安全性基準設定。 在行動裝置管理中使用 Microsoft 端點管理員 (正式稱為 Microsoft Intune),根據您的組織原則和需求,使用下列標準或進階安全性基準設定。 使用這些安全性基準設定來協助保護您的組織資源。
- 標準安全性基準設定適用於所有類型的使用者,不論使用案例和產業垂直。
- 對於對其環境具有嚴格安全性控制的使用者,建議使用進階安全性基準設定,並針對其環境中所使用的裝置要求嚴格的安全策略。
這些安全性基準設定是以Microsoft部署及支援 HoloLens 2 裝置給不同產業客戶的最佳做法指導方針和經驗為基礎。
檢閱安全性基準並決定使用這兩個或部分之後,請查看 如何啟用這些安全性基底線
1.標準安全性基準設定
下列各節說明每個 CSP 的建議設定,做為標準安全性基準配置檔的一部分。
1.1 原則 CSP
| 原則名稱 | 值 | 描述 |
|---|---|---|
| 帳戶 | ||
| 帳戶/AllowMicrosoftAccountConnection | 0 – 不允許 | 限制使用者使用 MSA 帳戶進行非電子郵件相關的連線驗證和服務。 |
| 應用程式管理 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 明確拒絕 | 明確拒絕非Microsoft市集應用程式。 |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 允許 | 允許從 Microsoft Store 自動更新應用程式。 |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 明確拒絕 | 限制使用者解除鎖定開發人員模式,讓使用者可從IDE在裝置上安裝應用程式。 |
| Browser | ||
| Browser/AllowCookies | 1 – 僅封鎖來自第三方網站的 Cookie | 使用此原則,您可以將 Microsoft Edge 設定為只封鎖第三方 Cookie 或封鎖所有 Cookie。 |
| Browser/AllowPasswordManager | 0 – 不允許 | 不允許Microsoft Edge 使用密碼管理員。 |
| Browser/AllowSmartScreen | 1 – 已開啟 | 開啟 Windows Defender SmartScreen,並防止使用者將其關閉。 |
| 連線能力 | ||
| Connectivity/AllowUSBConnection | 0 – 不允許 | 停用裝置與電腦之間的 USB 連線,以與裝置同步處理檔案,或使用開發人員工具來部署或偵錯應用程式。 |
| 裝置鎖定 | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – 不允許 | 不允許在沒有 PIN 或密碼的情況下從閑置中返回。 |
| DeviceLock/AllowSimpleDevicePassword | 0 – 已封鎖 | 封鎖 PIN 或密碼,例如 「1111」 或 「1234」。。 |
| DeviceLock/AlphanumericDevicePasswordRequired | 1 – 需要密碼或數位 PIN | 需要密碼或英數位元 PIN。 |
| DeviceLock/DevicePasswordEnabled | 0 – 已啟用 | 已啟用裝置鎖定。 |
| DeviceLock/MaxInactivityTimeDeviceLock | 整數 X,其中 0 < X < 999 建議值:3 | 指定裝置閑置后允許的時間上限(以分鐘為單位),導致裝置變成 PIN 或密碼鎖定。 |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - 僅限數位 | 強式 PIN 或密碼所需的複雜元素類型數目(大寫和小寫字母、數位和標點符號)。 |
| DeviceLock/MinDevicePasswordLength | 整數 X,其中用戶端裝置的 4 < X < 16 建議值:8 | 指定 PIN 或密碼中所需的最小數位或字元。 |
| MDM 註冊 | ||
| Experience/AllowManualMDMUnenrollment | 0 – 不允許 | 不允許使用者使用工作場所控制面板刪除工作場所帳戶。 |
| 身分識別 | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | 快取為 validRecommended 值的天數:7 天 | Microsoft Entra 群組成員資格快取應該有效的天數。 |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | 以秒數為單位的空閒時間Recommended 值:60 秒 | 可讓您指定 Windows 關閉顯示器之前閒置的期間。 |
| 設定 | ||
| 設定/AllowVPN | 0 – 不允許 | 不允許使用者變更 VPN 設定。 |
| Settings/PageVisibilityList | 用戶可看見的頁面名稱縮短。 將提供UI來選取或取消選取頁面名稱。 請參閱建議頁面的批注以隱藏。 | 只允許在 [設定] 應用程式中向用戶顯示列出的頁面。 |
| 系統 | ||
| System/AllowStorageCard | 0 – 不允許 | 不允許使用 SD 記憶卡,並停用 USB 磁碟驅動器。 此設定不會防止以程式設計方式存取儲存卡。 |
| 更新 | ||
| Update/AllowUpdateService | 1 – 允許 | 允許存取 Microsoft Update、Windows Server Update Services (WSUS), 或 Microsoft Store。 |
| Update/ManagePreviewBuilds | 0 - 停用預覽組建 | 不允許在裝置上安裝預覽組建。 |
1.2 ClientCertificateInstall CSP
建議您將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,都沒有任何特定值的建議。
1.3 PassportForWork CSP
| 節點名稱 | 值 | 描述 |
|---|---|---|
| 租用戶標識碼 | TenantId | 全域唯一標識碼 (GUID),不含大括弧 ({ , } ),做為 Windows Hello 企業版布建和管理的一部分。 |
| TenantId/Policies/UsePassportForWork | 真 | 將 Windows Hello 企業版設定為登入 Windows 的方法。 |
| TenantId/Policies/RequireSecurityDevice | 真 | 需要適用於 Windows Hello 企業版的信任平台模組 (TPM)。 |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | 假 | TPM 修訂 1.2 模組可搭配 Windows Hello 企業版使用。 |
| TenantId/Policies/EnablePinRecovery | 假 | 不會建立或儲存 PIN 修復密碼。 |
| TenantId/Policies/UseCertificateForOnPremAuth | 假 | 當使用者登入時,會布建 PIN,而不需要等待憑證承載。 |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 長度必須大於或等於這個數位。 |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 長度必須小於或等於這個數位。 |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 數位是必要的,而且不允許所有其他字元集。 |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 數位是必要的,而且不允許所有其他字元集。 |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | 不允許在 PIN 中使用特殊字元。 |
| TenantId/Policies/PINComplexity/Digits | 0 | 允許在 PIN 中使用數位。 |
| TenantId/Policies/PINComplexity/History | 10 | 與無法重複使用的用戶帳戶相關聯的過去 PIN 數目。 |
| TenantId/Policies/PINComplexity/Expiration | 90 | 在系統要求使用者變更 PIN 之前,可以使用 PIN 的期間(以天為單位)。 |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | 假 | 當要求使用者授權使用憑證的私鑰時,應用程式不會使用 Windows Hello 企業版憑證作為智慧卡憑證,且生物特徵辨識因素可供使用。 |
1.4 RootCATrustedCertificates CSP
我們建議將此 CSP 中的 根、CA、TrustedPublisher 和 TrustedPeople 節點設定為最佳做法,但不建議在此 CSP 中每個節點的特定值。
1.5 TenantLockdown CSP
| 節點名稱 | 值 | 描述 |
|---|---|---|
| RequireNetworkInOOBE | 真 | 當裝置在第一次登入或重設之後通過 OOBE 時,用戶必須先選擇網路再繼續。 目前沒有 [略過] 選項。 此選項可確保裝置在意外或刻意重設或抹除時仍會系結至租使用者。 |
1.6 VPNv2 CSP
我們建議將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,我們並沒有特定值的建議。 大部分的設定都與客戶環境相關。
1.7 WiFi CSP
我們建議將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,我們並沒有特定值的建議。 大部分的設定都與客戶環境相關。
2 進階安全性基準設定
下列各節說明每個 CSP 的建議設定,做為進階安全性基準配置檔的一部分。
2.1 原則 CSP
| 原則名稱 | 值 | 描述 |
|---|---|---|
| 帳戶 | ||
| 帳戶/AllowMicrosoftAccountConnection | 0 – 不允許 | 限制使用者使用 MSA 帳戶進行非電子郵件相關的連線驗證和服務。 |
| 應用程式管理 | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 明確拒絕 | 明確拒絕非Microsoft市集應用程式。 |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 允許 | 允許從 Microsoft Store 自動更新應用程式。 |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 明確拒絕 | 限制使用者解除鎖定開發人員模式,讓使用者可從IDE在裝置上安裝應用程式。 |
| 驗證 | ||
| Authentication/AllowFastReconnect | 0 – 不允許 | 不允許嘗試 EAP 方法 TLS 的 EAP 快速重新連線。 |
| 藍牙 | ||
| 藍牙/AllowDiscoverableMode | 0 – 不允許 | 其他裝置將無法偵測到此裝置。 |
| Browser | ||
| Browser/AllowAutofill | 0 – 禁止/不允許 | 防止使用者使用自動填入功能自動填入 Microsoft Edge 中的表單域。 |
| Browser/AllowCookies | 1 – 僅封鎖來自第三方網站的 Cookie | 僅封鎖來自第三方網站的 Cookie。 |
| Browser/AllowDoNotTrack | 0 - 永不傳送追蹤資訊 | 永遠不要傳送追蹤資訊。 |
| Browser/AllowPasswordManager | 0 – 不允許 | 不允許Microsoft Edge 使用密碼管理員。 |
| Browser/AllowPopups | 1 – 開啟快顯封鎖程式 | 開啟快顯封鎖程式,停止彈出窗口開啟。 |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – 禁止/不允許 | 在 Microsoft Edge 的網址列中隱藏搜尋建議。 |
| Browser/AllowSmartScreen | 1 – 已開啟 | 開啟 Windows Defender SmartScreen,並防止使用者將其關閉。 |
| 連線能力 | ||
| Connectivity/AllowBluetooth | 0 – 不允許藍牙 | 藍牙控制面板呈現灰色,用戶將無法開啟藍牙。 |
| Connectivity/AllowUSBConnection | 0 – 不允許 | 停用裝置與電腦之間的 USB 連線,以與裝置同步處理檔案,或使用開發人員工具來部署或偵錯應用程式。 |
| 裝置鎖定 | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – 不允許 | 不允許在沒有 PIN 或密碼的情況下從閑置中返回。 |
| DeviceLock/AllowSimpleDevicePassword | 0 – 已封鎖 | 封鎖 PIN 或密碼,例如 「1111」 或 「1234」。。 |
| DeviceLock/AlphanumericDevicePasswordRequired | 0 – 需要密碼或英數位元 PIN | 需要密碼或英數位元 PIN。 |
| DeviceLock/DevicePasswordEnabled | 0 – 已啟用 | 已啟用裝置鎖定。 |
| DeviceLock/DevicePasswordHistory | 整數 X,其中 0 < X < 50Recommended 值:15 | 指定在無法使用的歷程記錄中可以儲存多少個密碼。 |
| DeviceLock/MaxDevicePasswordFailedAttempts | 整數 X,其中用戶端裝置的 4 < X < 16 建議值:10 | 抹除裝置之前允許的驗證失敗數目。 |
| DeviceLock/MaxInactivityTimeDeviceLock | 整數 X,其中 0 < X < 999 建議值:3 | 指定裝置閑置后允許的時間上限(以分鐘為單位),導致裝置變成 PIN 或密碼鎖定。 |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - 需要數位、小寫字母和大寫字母 | 強式 PIN 或密碼所需的複雜元素類型數目(大寫和小寫字母、數位和標點符號)。 |
| DeviceLock/MinDevicePasswordLength | 整數 X,其中用戶端裝置的 4 < X < 16 建議值:12 | 指定 PIN 或密碼中所需的最小數位或字元。 |
| MDM 註冊 | ||
| Experience/AllowManualMDMUnenrollment | 0 – 不允許 | 不允許使用者使用工作場所控制面板刪除工作場所帳戶。 |
| 身分識別 | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | 快取為 validRecommended 值的天數:7 天 | Microsoft Entra 群組成員資格快取應該有效的天數。 |
| Power | ||
| Power/DisplayOffTimeoutPluggedIn | 以秒數為單位的空閒時間Recommended 值:60 秒 | 可讓您指定 Windows 關閉顯示器之前閒置的期間。 |
| 隱私權 | ||
|
隱私權/LetAppsAccess AccountInfo |
2 - 強制拒絕 | 拒絕 Windows 應用程式存取帳戶資訊。 |
|
隱私權/LetAppsAccess AccountInfo_ForceAllowTheseApps |
以分號分隔的 Windows 應用程式套件系列名稱清單 | 列出的 Windows 應用程式允許存取帳戶資訊。 |
|
隱私權/LetAppsAccess AccountInfo_ForceDenyTheseApps |
以分號分隔的 Windows 應用程式套件系列名稱清單 | 列出的 Windows 應用程式拒絕存取帳戶資訊。 |
|
隱私權/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
以分號分隔的 Windows 應用程式套件系列名稱清單 | 用戶能夠控制列出的 Windows 應用程式的帳戶資訊隱私權設定。 |
|
隱私權/LetAppsAccess BackgroundSpatialPerception |
2 - 強制拒絕 | 拒絕 Windows 應用程式在背景中執行時,存取使用者頭部、手部、運動控制器和其他追蹤對象的移動。 |
|
隱私權/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows 市集應用程式的分號分隔套件系列名稱清單 | 在背景中執行應用程式時,允許列出的應用程式存取用戶的移動。 |
|
隱私權/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows 市集應用程式的分號分隔套件系列名稱清單 | 當應用程式在背景中執行時,列出的應用程式會拒絕存取用戶的移動。 |
|
隱私權/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows 市集應用程式的分號分隔套件系列名稱清單 | 用戶能夠控制所列應用程式的用戶移動隱私權設定。 |
|
隱私權/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store Apps 的分號分隔套件系列名稱清單 | 列出的應用程式拒絕存取麥克風。 |
|
隱私權/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store Apps 的分號分隔套件系列名稱清單 | 用戶能夠控制所列應用程式的麥克風隱私權設定。 |
| 搜尋 | ||
| Search/AllowSearchToUseLocation | 0 – 不允許 | 不允許搜尋使用位置資訊。 |
| 安全性 | ||
| Security/AllowAddProvisioningPackage | 0 – 不允許 | 不允許運行時間設定代理程式安裝布建套件。 |
| 設定 | ||
| 設定/AllowVPN | 0 – 不允許 | 不允許使用者變更 VPN 設定。 |
| Settings/PageVisibilityList | 用戶可看見之頁面的縮短名稱會提供UI來選取或取消選取頁面名稱。 請參閱建議頁面的批注以隱藏。 | 只允許在 [設定] 應用程式中向用戶顯示列出的頁面。 |
| 系統 | ||
| System/AllowStorageCard | 0 – 不允許 | 不允許使用 SD 記憶卡,並停用 USB 磁碟驅動器。 此設定不會防止以程式設計方式存取儲存卡。 |
| System/AllowTelemetry | 0 - 不允許 | 不允許裝置傳送診斷和使用遙測數據,例如 Watson。 |
| 更新 | ||
| Update/AllowUpdateService | 1 – 允許 | 允許存取 Microsoft Update、Windows Server Update Services (WSUS), 或 Microsoft Store。 |
| Update/ManagePreviewBuilds | 0 - 停用預覽組建 | 不允許在裝置上安裝預覽組建。 |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – 不允許 | 不允許連線到 MDM 伺服器安裝網路外部 Wi-Fi。 |
2.2 AccountManagement CSP
| 節點名稱 | 值 | 描述 |
|---|---|---|
| UserProfileManagement/EnableProfileManager | 真 | 啟用共用或公用裝置案例的配置檔存留期管理。 |
| UserProfileManagement/DeletionPolicy | 2 - 在記憶體容量閾值和配置檔無活動閾值刪除 | 設定何時刪除配置檔。 |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | 當可用的記憶體容量低於此閾值時,請開始刪除配置檔,指定為設定檔可用記憶體總數的百分比。 一開始會刪除非使用中最長的配置檔。 |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | 當可用的記憶體容量達到此閾值時,請停止刪除配置檔,指定為設定檔可用記憶體總數的百分比。 |
| UserProfileManagement/ProfileInactivityThreshold | 30 | 在指定的期間內未登入設定檔時,開始刪除配置檔,指定為天數。 |
2.3 ApplicationControl CSP
| 節點名稱 | 值 | 描述 |
|---|---|---|
| 原則/原則 GUID | 原則 Blob 中的 原則標識碼 | 原則 Blob 中的原則標識碼。 |
| 原則/原則 GUID/Policy | 原則 Blob | 以base64編碼的原則二進位 Blob。 |
2.4 ClientCertificateInstall CSP
建議您將此 CSP 設定為最佳做法,但對於此 CSP 中的每個節點,都沒有任何特定值的建議。
2.5 PassportForWork CSP
| 節點名稱 | 值 | 描述 |
|---|---|---|
| 租用戶標識碼 | TenantId | 全域唯一標識碼 (GUID),不含大括弧 ({ , } ),做為 Windows Hello 企業版布建和管理的一部分。 |
| TenantId/Policies/UsePassportForWork | 真 | 將 Windows Hello 企業版設定為登入 Windows 的方法。 |
| TenantId/Policies/RequireSecurityDevice | 真 | 需要適用於 Windows Hello 企業版的信任平台模組 (TPM)。 |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | 假 | TPM 修訂 1.2 模組可搭配 Windows Hello 企業版使用。 |
| TenantId/Policies/EnablePinRecovery | 假 | 不會建立或儲存 PIN 修復密碼。 |
| TenantId/Policies/UseCertificateForOnPremAuth | 假 | 當使用者登入時,會布建 PIN,而不需要等待憑證承載。 |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN 長度必須大於或等於這個數位。 |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN 長度必須小於或等於這個數位。 |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 數位是必要的,而且不允許所有其他字元集。 |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 數位是必要的,而且不允許所有其他字元集。 |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | 不允許在 PIN 中使用特殊字元。 |
| TenantId/Policies/PINComplexity/Digits | 0 | 允許在 PIN 中使用數位。 |
| TenantId/Policies/PINComplexity/History | 10 | 與無法重複使用的用戶帳戶相關聯的過去 PIN 數目。 |
| TenantId/Policies/PINComplexity/Expiration | 90 | 在系統要求使用者變更 PIN 之前,可以使用 PIN 的期間(以天為單位)。 |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | 假 | 當要求使用者授權使用憑證的私鑰時,應用程式不會使用 Windows Hello 企業版憑證作為智慧卡憑證,且生物特徵辨識因素可供使用。 |
2.6 RootCATrustedCertificates CSP
建議您將此 CSP 中的每個節點設定 根、CA、TrustedPublisher 和 TrustedPeople 節點作為最佳做法,但不建議在此 CSP 中每個節點的特定值上。
2.7 TenantLockdown CSP
| 節點名稱 | 值 | 描述 |
|---|---|---|
| RequireNetworkInOOBE | 真 | 當裝置在第一次登入或重設之後通過 OOBE 時,用戶必須先選擇網路,才能繼續。 目前沒有 [略過] 選項。 這可確保裝置在意外或刻意重設或抹除時仍會系結至租使用者。 |
2.8 VPNv2 CSP
建議您將 VPN 設定檔設定為最佳做法,但不建議此 CSP 中的每個節點使用特定值。 大部分的設定都與客戶環境相關。
2.9 WiFi CSP
建議您將WiFi設定檔設定為最佳做法,但不建議此 CSP 中的每個節點使用特定值。 大部分的設定都與客戶環境相關。
如何啟用這些安全性基底線
- 檢閱安全性基準,並決定要套用的內容。
- 決定您要指派基準的 Azure 群組。 (更多關於使用者和群組)
- 建立基準。
以下說明如何建立基準。
許多設定都可以使用 [設定] 目錄來新增,不過有時可能會有尚未填入 [設定] 目錄的設定。 在這些情況下,您將使用自定義原則,或 OMA-URI(開放行動聯盟 - 統一資源標識符)。 從查看 [設定] 目錄開始,如果找不到,請遵循下列指示,透過 OMA-URI 建立自定義原則。
設定目錄
- 瀏覽至 裝置 ->組態設定檔 ->+建立設定檔。 針對 [平臺],選取 [Windows 10 和更新版本],然後針對配置檔類型選取 [設定目錄 [預覽]。
- 建立配置檔的名稱,然後選取 [下一步] 按鈕
。 - 在 [組態設定] 畫面上,選取 [+ 新增設定。
使用上述基準的原則名稱,您可以搜尋原則。 設定目錄會縮小名稱的空間,因此若要尋找「Accounts/AllowMicrosoftAccountConnection」,您必須搜尋「允許Microsoft帳戶連線」。 搜尋之後,您會看到原則清單縮減為只有具有此原則的 CSP。 選取 [帳戶](或與您目前搜尋的項目相關的 CSP),一旦您看到下列原則結果。 核取原則的方塊。
完成後,左側的面板將會新增 CSP 類別,以及您新增的設定。 您可以從這裡將它從預設設定設定設定為更安全的設定。
您可以繼續將多個組態新增至相同的配置檔,這可讓您更輕鬆地一次指派。
新增自定義 OMA-URI 原則
某些原則可能尚未在 [設定] 目錄中提供。 針對這些原則,您必須 建立自訂 OMA-URI 設定檔。在 MEM 系統管理中心登入您的帳戶,。
- 瀏覽至 裝置 ->組態設定檔 ->+建立設定檔。 針對 [平臺],選取 [Windows 10 和更新版本],然後針對配置檔類型選取 [範本],然後選取 [[自定義]。
- 建立配置檔的名稱,然後選取 [下一步] 按鈕
。 - 選取 [新增] 按鈕
。
您必須填寫幾個欄位。
- 名稱,您可以將它命名為與原則相關的任何專案。 這可以是您用來辨識它的速記名稱。
- 描述將會是您可能需要的更多詳細數據。
- OMA-URI 會是原則所在之完整 OMA-URI 字串。 範例:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - 數據類型是此原則所接受的值類型。 在此範例中,它是介於 0 到 60 之間的數位,因此已選取 Integer。
- 選取資料類型之後,您將能夠寫出或上傳欄位中所需的值。
完成後,您的原則就會新增至主視窗。 您可以繼續將所有自訂原則新增至相同的自定義組態。 這有助於減少管理多個裝置組態,並讓指派更容易。
