HoloLens 2 のセキュリティ ベースライン
大事な
このセキュリティ ベースラインで使用されるポリシーの一部は、最新の Insider ビルドで導入されています。 これらのポリシーは、最新の Insider ビルドに更新されたデバイスでのみ機能します。
この記事では、Configuration Service Providers (CSP) を使用して HoloLens 2 で構成できるさまざまなセキュリティ ベースライン設定の一覧と説明を示します。 Microsoft Endpoint Manager (正式には Microsoft Intune) を使用したモバイル デバイス管理の一環として、組織のポリシーとニーズに応じて、次の標準または高度なセキュリティ ベースライン設定を使用します。 これらのセキュリティ ベースライン設定を使用して、組織のリソースを保護します。
- 標準的なセキュリティ ベースライン設定は、ユース ケース シナリオや業界の業種に関係なく、すべての種類のユーザーに適用されます。
- セキュリティ ベースラインの詳細設定は、環境の厳密なセキュリティ制御を持ち、その環境で使用されるデバイスに対して厳格なセキュリティ ポリシーを必要とするユーザーに推奨される設定です。
これらのセキュリティ ベースライン設定は、さまざまな業界のお客様への HoloLens 2 デバイスの展開とサポートで得られた Microsoft のベスト プラクティス ガイドラインと経験に基づいています。
セキュリティ ベースラインを確認し、その両方または一部を使用することを決定したら、これらのセキュリティベースラインを有効にする方法 確認
1. 標準のセキュリティ ベースライン設定
次のセクションでは、標準のセキュリティ ベースライン プロファイルの一部として各 CSP の推奨設定について説明します。
1.1 ポリシー CSP
| ポリシー名の | 値の | 説明 |
|---|---|---|
| アカウントの | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 許可されていません | メールに関連しない接続認証とサービスに MSA アカウントを使用するようにユーザーを制限します。 |
| アプリケーション管理の | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 明示的な拒否 | Microsoft Store 以外のアプリを明示的に拒否します。 |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 許可 | Microsoft Store からのアプリの自動更新を許可します。 |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 明示的な拒否 | 開発者モードのロックを解除するようにユーザーを制限します。これにより、ユーザーは IDE からデバイスにアプリをインストールできます。 |
| ブラウザーの | ||
| ブラウザー/AllowCookies | 1 – 第三者のウェブサイトからのクッキーのみをブロックする | このポリシーを使用すると、サード パーティの Cookie のみをブロックするか、すべての Cookie をブロックするように Microsoft Edge を構成できます。 |
| Browser/AllowPasswordManager | 0 – 許可されていません | Microsoft Edge でパスワード マネージャーを使用できないようにします。 |
| Browser/AllowSmartScreen | 1 – オン | Windows Defender SmartScreen を有効にし、ユーザーが無効にできないようにします。 |
| 接続 | ||
| Connectivity/AllowUSBConnection | 0 – 許可されていません | デバイスとコンピューターの間の USB 接続を無効にして、ファイルをデバイスと同期するか、開発者ツールを使用してアプリケーションを展開またはデバッグします。 |
| デバイス ロックの | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – 許可されていません | PIN またはパスワードなしでアイドル状態からの復帰を禁止します。 |
| DeviceLock/AllowSimpleDevicePassword | 0 – ブロック | PIN またはパスワード ("1111" や "1234" など) をブロックします。 |
| DeviceLock/英数字DevicePasswordRequired | 1 – パスワードまたは数値 PIN が必要 | パスワードまたは英数字の PIN が必要です。 |
| DeviceLock/DevicePasswordEnabled | 0 – 有効 | デバイス ロックが有効になっています。 |
| DeviceLock/MaxInactivityTimeDeviceLock | 0 < X < 999 推奨値: 3 の整数 X | デバイスがアイドル状態になった後に許可される最大時間 (分単位) を指定します。これにより、デバイスが PIN またはパスワードロックされます。 |
| DeviceLock/MinDevicePasswordComplexCharacters | 1 - 数字のみ | 強力な PIN またはパスワードに必要な複合要素の種類 (大文字と小文字、数字、句読点) の数。 |
| DeviceLock/MinDevicePasswordLength | クライアント デバイスの場合、4 < X < 16 の整数 X:8 | PIN またはパスワードに必要な最小文字数を指定します。 |
| MDM 登録 の |
||
| Experience/AllowManualMDMUnenrollment | 0 – 許可されていません | ユーザーがワークプレース コントロール パネルを使用して職場アカウントを削除できないようにします。 |
| ID | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | キャッシュが validRecommended 値になる日数: 7 日 | Microsoft Entra グループ メンバーシップ キャッシュが有効である必要がある日数。 |
| 電源 の |
||
| Power/DisplayOffTimeoutPluggedIn の |
アイドル時間 (秒数): 60 秒 | Windows がディスプレイをオフにする前の非アクティブな期間を指定できます。 |
| 設定の | ||
| 設定/AllowVPN | 0 – 許可されていません | ユーザーが VPN 設定を変更できないようにします。 |
| 設定/PageVisibilityList | ユーザーに表示されるページの短縮名。 ページ名を選択または選択解除するための UI を提供します。 非表示にする推奨ページのコメントを参照してください。 | [設定] アプリで、表示されているページのみをユーザーに表示できるようにします。 |
| システム | ||
| System/AllowStorageCard | 0 – 許可されていません | SD カードの使用は許可されておらず、USB ドライブは無効になっています。 この設定では、ストレージ カードへのプログラムによるアクセスは禁止されません。 |
| 更新プログラムの | ||
| Update/AllowUpdateService | 1 – 許可 | Microsoft Update、Windows Server Update Services (WSUS)、または Microsoft Store へのアクセスを許可します。 |
| Update/ManagePreviewBuilds | 0 - プレビュー ビルドを無効にする | プレビュー ビルドをデバイスにインストールできないようにします。 |
1.2 ClientCertificateInstall CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP の各ノードの特定の値に関する推奨事項はありません。
1.3 PassportForWork CSP
| ノード名の | 値の | 説明 |
|---|---|---|
| テナント ID | TenantId | Windows Hello for Business のプロビジョニングと管理の一部として使用される、中かっこ ( { , } ) のないグローバル一意識別子 (GUID)。 |
| TenantId/Policies/UsePassportForWork | 真 | Windows にサインインするための方法として Windows Hello for Business を設定します。 |
| /Policies/RequireSecurityDeviceTenantId の |
真 | Windows Hello for Business 用のトラステッド プラットフォーム モジュール (TPM) が必要です。 |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | 偽 | TPM リビジョン 1.2 モジュールは、Windows Hello for Business で使用できます。 |
| /Policies/EnablePinRecoveryTenantId を |
偽 | PIN 回復シークレットは作成または格納されません。 |
| TenantId/Policies/UseCertificateForOnPremAuth | 偽 | PIN は、ユーザーがサインインするときに、証明書ペイロードを待たずにプロビジョニングされます。 |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN の長さは、この数値以上である必要があります。 |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN の長さは、この数値以下である必要があります。 |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN で特殊文字を使用することはできません。 |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN での数字の使用を許可します。 |
| TenantId/Policies/PINComplexity/History | 10 | 再利用できないユーザー アカウントに関連付けることができる過去の PIN の数。 |
| TenantId/Policies/PINComplexity/Expiration | 90 | PIN を使用できる期間 (日数) を指定すると、ユーザーは PIN を変更する必要があります。 |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | 偽 | アプリケーションでは Windows Hello for Business 証明書はスマート カード証明書として使用されません。また、ユーザーが証明書の秘密キーの使用を承認するように求められた場合は、生体認証要素を使用できます。 |
1.4 RootCATrustedCertificates CSP
ベスト プラクティスとして、この CSP のルート、CA、TrustedPublisher、TrustedPeople ノード
1.5 TenantLockdown CSP
| ノード名の | 値の | 説明 |
|---|---|---|
| RequireNetworkInOOBE | 真 | デバイスが最初のサインイン時またはリセット後に OOBE を通過する場合、ユーザーは先に進む前にネットワークを選択する必要があります。 "今すぐスキップ" オプションはありません。 このオプションを使用すると、偶発的または意図的なリセットやワイプが発生した場合でも、デバイスがテナントにバインドされたままになります。 |
1.6 VPNv2 CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP の各ノードの特定の値に関する推奨事項はありません。 ほとんどの設定は、お客様の環境に関連しています。
1.7 WiFi CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP の各ノードの特定の値に関する推奨事項はありません。 ほとんどの設定は、お客様の環境に関連しています。
2 セキュリティ ベースラインの詳細設定
次のセクションでは、高度なセキュリティ ベースライン プロファイルの一部として各 CSP の推奨設定について説明します。
2.1 ポリシー CSP
| ポリシー名の | 値の | 説明 |
|---|---|---|
| アカウントの | ||
| Accounts/AllowMicrosoftAccountConnection | 0 – 許可されていません | メールに関連しない接続認証とサービスに MSA アカウントを使用するようにユーザーを制限します。 |
| アプリケーション管理の | ||
| ApplicationManagement/AllowAllTrustedApps | 0 - 明示的な拒否 | Microsoft Store 以外のアプリを明示的に拒否します。 |
| ApplicationManagement/AllowAppStoreAutoUpdate | 1 – 許可 | Microsoft Store からのアプリの自動更新を許可します。 |
| ApplicationManagement/AllowDeveloperUnlock | 0 - 明示的な拒否 | 開発者モードのロックを解除するようにユーザーを制限します。これにより、ユーザーは IDE からデバイスにアプリをインストールできます。 |
| 認証 | ||
| 認証/AllowFastReconnect | 0 – 許可されていません | EAP メソッド TLS の EAP 高速再接続の試行を禁止します。 |
| Bluetooth | ||
| Bluetooth/AllowDiscoverableMode | 0 – 許可されていません | 他のデバイスはこのデバイスを検出できません。 |
| ブラウザーの | ||
| Browser/AllowAutofill | 0 – 禁止/許可されていません | ユーザーがオートフィル機能を使用して、Microsoft Edge のフォーム フィールドに自動的にデータを入力できないようにします。 |
| ブラウザー/AllowCookies | 1 – 第三者のウェブサイトからのクッキーのみをブロックする | 第三者の Web サイトからの Cookie のみをブロックします。 |
| Browser/AllowDoNotTrack | 0 - 追跡情報を送信しない | 追跡情報を送信しないでください。 |
| Browser/AllowPasswordManager | 0 – 許可されていません | Microsoft Edge でパスワード マネージャーを使用できないようにします。 |
| Browser/AllowPopups | 1 – ポップアップブロッカーをオンにする | ポップアップ ブロックをオンにすると、ポップアップ ウィンドウが開かなくなりました。 |
| Browser/AllowSearchSuggestionsinAddressBar | 0 – 禁止/許可されていません | Microsoft Edge のアドレス バーで検索候補を非表示にします。 |
| Browser/AllowSmartScreen | 1 – オン | Windows Defender SmartScreen を有効にし、ユーザーが無効にできないようにします。 |
| 接続 | ||
| 接続/AllowBluetooth | 0 – Bluetoothを禁止する | Bluetooth コントロール パネルが淡色表示され、ユーザーはBluetoothをオンにできなくなります。 |
| Connectivity/AllowUSBConnection | 0 – 許可されていません | デバイスとコンピューターの間の USB 接続を無効にして、ファイルをデバイスと同期するか、開発者ツールを使用してアプリケーションを展開またはデバッグします。 |
| デバイス ロックの | ||
| DeviceLock/AllowIdleReturnWithoutPassword | 0 – 許可されていません | PIN またはパスワードなしでアイドル状態からの復帰を禁止します。 |
| DeviceLock/AllowSimpleDevicePassword | 0 – ブロック | PIN またはパスワード ("1111" や "1234" など) をブロックします。 |
| DeviceLock/英数字DevicePasswordRequired | 0 – パスワードまたは英数字の PIN が必要 | パスワードまたは英数字の PIN が必要です。 |
| DeviceLock/DevicePasswordEnabled | 0 – 有効 | デバイス ロックが有効になっています。 |
| DeviceLock/DevicePasswordHistory | 0 < X < 50Recommended 値: 15 の整数 X | 使用できない履歴に格納できるパスワードの数を指定します。 |
| DeviceLock/MaxDevicePasswordFailedAttempts | 4 < X < 16 の整数 (クライアント デバイスの場合)Recommended 値: 10 | デバイスがワイプされるまでに許可される認証エラーの数。 |
| DeviceLock/MaxInactivityTimeDeviceLock | 0 < X < 999 推奨値: 3 の整数 X | デバイスがアイドル状態になった後に許可される最大時間 (分単位) を指定します。これにより、デバイスが PIN またはパスワードロックされます。 |
| DeviceLock/MinDevicePasswordComplexCharacters | 3 - 数字、小文字、大文字が必要です | 強力な PIN またはパスワードに必要な複合要素の種類 (大文字と小文字、数字、句読点) の数。 |
| DeviceLock/MinDevicePasswordLength | 4 < X < 16 (クライアント デバイスの場合) の整数 XRecommended 値: 12 | PIN またはパスワードに必要な最小文字数を指定します。 |
| MDM 登録 の |
||
| Experience/AllowManualMDMUnenrollment | 0 – 許可されていません | ユーザーがワークプレース コントロール パネルを使用して職場アカウントを削除できないようにします。 |
| ID | ||
| MixedReality/AADGroupMembershipCacheValidityInDays | キャッシュが validRecommended 値になる日数: 7 日 | Microsoft Entra グループ メンバーシップ キャッシュが有効である必要がある日数。 |
| 電源 の |
||
| Power/DisplayOffTimeoutPluggedIn の |
アイドル時間 (秒数): 60 秒 | Windows がディスプレイをオフにする前の非アクティブな期間を指定できます。 |
| プライバシー | ||
|
プライバシー/LetAppsAccess AccountInfo |
2 - 強制的に拒否する | アカウント情報への Windows アプリのアクセスを拒否します。 |
|
プライバシー/LetAppsAccess AccountInfo_ForceAllowTheseApps |
Windows アプリのセミコロンで区切られたパッケージ ファミリ名の一覧 | 一覧表示されている Windows アプリは、アカウント情報へのアクセスを許可されます。 |
|
プライバシー/LetAppsAccess AccountInfo_ForceDenyTheseApps |
Windows アプリのセミコロンで区切られたパッケージ ファミリ名の一覧 | 一覧表示された Windows アプリは、アカウント情報へのアクセスを拒否されます。 |
|
プライバシー/LetAppsAccess AccountInfo_UserInControlOfTheseApps |
Windows アプリのセミコロンで区切られたパッケージ ファミリ名の一覧 | ユーザーは、リストされている Windows アプリのアカウント情報のプライバシー設定を制御できます。 |
|
プライバシー/LetAppsAccess BackgroundSpatialPerception |
2 - 強制的に拒否する | アプリがバックグラウンドで実行されている間は、ユーザーの頭、手、モーション コントローラー、およびその他の追跡対象オブジェクトの移動に対する Windows アプリのアクセスを拒否します。 |
|
プライバシー/LetAppsAccess BackgroundSpatialPerception_ForceAllowTheseApps |
Windows ストア アプリのセミコロンで区切られたパッケージ ファミリ名の一覧 | 一覧表示されているアプリは、アプリがバックグラウンドで実行されている間、ユーザーの動きにアクセスできます。 |
|
プライバシー/LetAppsAccess BackgroundSpatialPerception_ForceDenyTheseApps |
Windows ストア アプリのセミコロンで区切られたパッケージ ファミリ名の一覧 | 一覧表示されているアプリは、アプリがバックグラウンドで実行されている間、ユーザーの動きへのアクセスが拒否されます。 |
|
プライバシー/LetAppsAccess sBackgroundSpatialPerception_UserInControlOfTheseApps |
Windows ストア アプリのセミコロンで区切られたパッケージ ファミリ名の一覧 | ユーザーは、リストされているアプリのユーザーの移動プライバシー設定を制御できます。 |
|
プライバシー/LetAppsAccess Microphone_ForceDenyTheseApps |
Microsoft Store Apps のセミコロン区切りパッケージ ファミリ名の一覧 | リストされているアプリは、マイクへのアクセスを拒否されます。 |
|
プライバシー/LetAppsAccess Microphone_UserInControlOfTheseApps |
Microsoft Store Apps のセミコロン区切りパッケージ ファミリ名の一覧 | ユーザーは、リストされているアプリのマイクのプライバシー設定を制御できます。 |
| 検索 | ||
| Search/AllowSearchToUseLocation | 0 – 許可されていません | 場所情報を使用する検索を禁止します。 |
| セキュリティ | ||
| Security/AllowAddProvisioningPackage | 0 – 許可されていません | ランタイム構成エージェントがプロビジョニング パッケージをインストールできないようにします。 |
| 設定の | ||
| 設定/AllowVPN | 0 – 許可されていません | ユーザーが VPN 設定を変更できないようにします。 |
| 設定/PageVisibilityList | userWill に表示されるページの短縮名は、ページ名を選択または選択解除するための UI を提供します。 非表示にする推奨ページのコメントを参照してください。 | [設定] アプリで、表示されているページのみをユーザーに表示できるようにします。 |
| システム | ||
| System/AllowStorageCard | 0 – 許可されていません | SD カードの使用は許可されておらず、USB ドライブは無効になっています。 この設定では、ストレージ カードへのプログラムによるアクセスは禁止されません。 |
| System/AllowTelemetry | 0 - 許可されていません | デバイスが Watson などの診断および使用状況テレメトリ データを送信できないようにします。 |
| 更新プログラムの | ||
| Update/AllowUpdateService | 1 – 許可 | Microsoft Update、Windows Server Update Services (WSUS)、または Microsoft Store へのアクセスを許可します。 |
| Update/ManagePreviewBuilds | 0 - プレビュー ビルドを無効にする | プレビュー ビルドをデバイスにインストールできないようにします。 |
| Wi-Fi | ||
| Wifi/AllowManualWiFiConfiguration | 0 – 許可されていません | MDM サーバーにインストールされているネットワークの外部の Wi-Fi への接続を禁止します。 |
2.2 AccountManagement CSP
| ノード名の | 値の | 説明 |
|---|---|---|
| UserProfileManagement/EnableProfileManager | 真 | 共有または共用デバイスのシナリオでプロファイルの有効期間管理を有効にします。 |
| UserProfileManagement/DeletionPolicy | 2 - ストレージ容量のしきい値とプロファイル非アクティブしきい値の両方で削除する | プロファイルを削除するタイミングを構成します。 |
| UserProfileManagement/StorageCapacityStartDeletion | 25% | 使用可能なストレージ容量がこのしきい値を下回った場合は、プロファイルの削除を開始します(プロファイルで使用可能なストレージの合計の割合として)。 最も長く非アクティブだったプロファイルは、最初に削除されます。 |
| UserProfileManagement/StorageCapacityStopDeletion | 50% | 使用可能なストレージ容量がこのしきい値に達した場合は、プロファイルの削除を停止します (プロファイルで使用可能なストレージの合計の割合として指定)。 |
| UserProfileManagement/ProfileInactivityThreshold | 30 | 指定した期間中にログオンしていないプロファイルの削除を開始します (日数を指定)。 |
2.3 ApplicationControl CSP
| ノード名の | 値の | 説明 |
|---|---|---|
| Policies/Policy GUID | ポリシー BLOB に ポリシー ID を |
ポリシー BLOB のポリシー ID。 |
| Policies/Policy GUID/Policy | ポリシー BLOB の |
base64 でエンコードされたポリシー バイナリ BLOB。 |
2.4 ClientCertificateInstall CSP
ベスト プラクティスとしてこの CSP を構成することをお勧めしますが、この CSP の各ノードの特定の値に関する推奨事項はありません。
2.5 PassportForWork CSP
| ノード名の | 値の | 説明 |
|---|---|---|
| テナント ID | TenantId | Windows Hello for Business のプロビジョニングと管理の一部として使用される、中かっこ ( { , } ) のないグローバル一意識別子 (GUID)。 |
| TenantId/Policies/UsePassportForWork | 真 | Windows にサインインするための方法として Windows Hello for Business を設定します。 |
| /Policies/RequireSecurityDeviceTenantId の |
真 | Windows Hello for Business 用のトラステッド プラットフォーム モジュール (TPM) が必要です。 |
| TenantId/Policies/ExcludeSecurityDevices/TPM12 | 偽 | TPM リビジョン 1.2 モジュールは、Windows Hello for Business で使用できます。 |
| /Policies/EnablePinRecoveryTenantId を |
偽 | PIN 回復シークレットは作成または格納されません。 |
| TenantId/Policies/UseCertificateForOnPremAuth | 偽 | PIN は、ユーザーがログインするときに、証明書ペイロードを待たずにプロビジョニングされます。 |
| TenantId/Policies/PINComplexity/MinimumPINLength | 6 | PIN の長さは、この数値以上である必要があります。 |
| TenantId/Policies/PINComplexity/MaximumPINLength | 6 | PIN の長さは、この数値以下である必要があります。 |
| TenantId/Policies/PINComplexity/UppercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
| TenantId/Policies/PINComplexity/LowercaseLetters | 2 | 数字は必須であり、他のすべての文字セットは使用できません。 |
| TenantId/Policies/PINComplexity/SpecialCharacters | 2 | PIN で特殊文字を使用することはできません。 |
| TenantId/Policies/PINComplexity/Digits | 0 | PIN での数字の使用を許可します。 |
| TenantId/Policies/PINComplexity/History | 10 | 再利用できないユーザー アカウントに関連付けることができる過去の PIN の数。 |
| TenantId/Policies/PINComplexity/Expiration | 90 | PIN を使用できる期間 (日数) を指定すると、ユーザーは PIN を変更する必要があります。 |
| TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates | 偽 | アプリケーションでは Windows Hello for Business 証明書はスマート カード証明書として使用されません。また、ユーザーが証明書の秘密キーの使用を承認するように求められた場合は、生体認証要素を使用できます。 |
2.6 RootCATrustedCertificates CSP
ベスト プラクティスとして、この CSP のルート、CA、TrustedPublisher、TrustedPeople ノード
2.7 TenantLockdown CSP
| ノード名の | 値の | 説明 |
|---|---|---|
| RequireNetworkInOOBE | 真 | デバイスが最初のサインイン時またはリセット後に OOBE を通過する場合、ユーザーは先に進む前にネットワークを選択する必要があります。 "今すぐスキップ" オプションはありません。 これにより、偶発的または意図的なリセットやワイプが発生した場合でも、デバイスはテナントにバインドされたままになります。 |
2.8 VPNv2 CSP
ベスト プラクティスとして VPN プロファイルを構成することをお勧めしますが、この CSP の各ノードに特定の値を設定することはお勧めしません。 ほとんどの設定は、お客様の環境に関連しています。
2.9 WiFi CSP
ベスト プラクティスとして WiFi プロファイルを構成することをお勧めしますが、この CSP の各ノードに固有の値はお勧めしません。 ほとんどの設定は、お客様の環境に関連しています。
これらのセキュリティベースラインを有効にする方法
- セキュリティ ベースラインを確認し、適用する内容を決定します。
- ベースラインを割り当てる Azure グループを決定します。 (ユーザーとグループのの詳細)
- ベースラインを作成します。
ベースラインを作成する方法を次に示します。
設定カタログを使用して設定の多くを追加できますが、設定カタログにまだ設定されていない設定がある場合があります。 そのような場合は、カスタム ポリシーまたは OMA-URI (Open Mobile Alliance - Uniform Resource Identifier) を使用します。 まず、[設定] カタログを調べることから始めます。見つからない場合は、OMA-URI を使用してカスタム ポリシーを作成するための以下の手順に従います。
設定カタログ
MEM 管理センターでアカウントにログインします。
- デバイス ->構成プロファイル ->+ プロファイルの作成に移動します。 [プラットフォーム] Windows 10 以降のを選択し、プロファイルの種類として [設定カタログ (プレビュー)を選択します。
- プロファイルの名前を作成し、[次へ] ボタン 選択。
- [構成設定] 画面で、[+ 設定追加] を選択します。
上記のベースラインのポリシーの名前を使用して、ポリシーを検索できます。 設定カタログでは名前が空白になるため、"Accounts/AllowMicrosoftAccountConnection" を見つけるには、"Microsoft アカウント接続を許可する" を検索する必要があります。 検索すると、ポリシーの一覧が、このポリシーを持つ CSP のみに縮小されます。 アカウント (または現在検索しているものに関連する CSP) を選択すると、以下のポリシー結果が表示されます。 ポリシーのチェック ボックスをオンにします。
完了すると、左側のパネルに CSP カテゴリと追加した設定が追加されます。 ここから、既定の設定からセキュリティで保護された設定に構成できます。
同じプロファイルに複数の構成を引き続き追加できるため、一度に割り当てやすくなります。
カスタム OMA-URI ポリシーの追加
一部のポリシーは、[設定] カタログではまだ使用できない場合があります。 これらのポリシーでは、カスタム OMA-URI プロファイルを作成
-
デバイス ->構成プロファイル ->+ プロファイルの作成に移動します。 [プラットフォーム] で、Windows 10 以降
を選択し、プロファイルの種類として [ テンプレート] を選択し、[カスタム選択します。 - プロファイルの名前を作成し、[次へ] ボタン 選択。
- [ の追加] ボタンを選択します。
いくつかのフィールドに入力する必要があります。
- 名前を付けます。ポリシーに関連して必要な名前を付ける場合があります。 これを認識するために使用する短縮名を指定できます。
- 必要に応じて、詳細な説明が表示されます。
- OMA-URI は、ポリシーが存在する完全な OMA-URI 文字列になります。 例:
./Vendor/MSFT/Policy/Config/MixedReality/AADGroupMembershipCacheValidityInDays - データ型は、このポリシーが受け入れる値の型です。 この例では、0 から 60 までの数値であるため、[整数] が選択されています。
- データ型を選択すると、フィールドに必要な値を書き出したり、アップロードしたりできるようになります。
完了すると、ポリシーがメイン ウィンドウに追加されます。 すべてのカスタム ポリシーを同じカスタム構成に引き続き追加できます。 これにより、複数のデバイス構成の管理を減らし、割り当てが容易になります。
