SecurityPolicy CSP
次の表は、Windows の適用性を示しています。
エディション | Windows 10 | Windows 11 |
---|---|---|
ホーム | はい | はい |
Pro | はい | はい |
Windows SE | いいえ | はい |
Business | はい | はい |
Enterprise | はい | はい |
Education | はい | はい |
SecurityPolicy 構成サービス プロバイダーは、WAP プッシュ、OMA クライアント プロビジョニング、OMA DM、サービス表示 (SI)、サービス読み込み (SL)、MMS のセキュリティ ポリシー設定を構成するために使用されます。
注
この構成サービス プロバイダーでは、ネットワーク構成アプリケーションからID_CAP_CSP_FOUNDATIONとID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIESの機能にアクセスする必要があります。
SecurityPolicy CSP の場合、ノードが既に存在しない限り、Replace コマンドを使用することはできません。
次の例は、OMA DM と OMA クライアント プロビジョニングの両方で使用される、SecurityPolicy 構成サービス プロバイダー管理オブジェクトをツリー形式で示しています。
./Vendor/MSFT
SecurityPolicy
----PolicyID
PolicyID セキュリティ ポリシー識別子を 10 進値として定義します。
次のセキュリティ ポリシーがサポートされています。
PolicyID: 4104 |16 進: 1008
- ポリシー名: TPS ポリシー
-
ポリシーの説明: この設定は、携帯電話会社に信頼されたプロビジョニング サーバー (TPS) SECROLE_OPERATOR_TPSロールを割り当てることができるかどうかを示します。
- 既定値: 1
- サポートされている値:
- 0: TPS ロールの割り当てが無効になっています。
- 1: TPS ロールの割り当てが有効になっており、携帯電話会社に割り当てることができます。
PolicyID: 4105 |Hex: 1009
- ポリシー名: メッセージ認証再試行ポリシー
-
ポリシーの説明: この設定では、ユーザーがワイヤレス アプリケーション プロトコル (WAP) PIN 署名付きメッセージの認証を試行できる最大回数を指定します。
- 既定値: 3
- サポートされる値: 0 から 256
PolicyID: 4108 |16 進数: 100c
- ポリシー名: サービス読み込みポリシー
-
ポリシーの説明: この設定は、SL メッセージを受け入れるセキュリティ ロールを指定することで、SL メッセージを受け入れるかどうかを示します。 SL メッセージは、新しいサービスまたはプロビジョニング XML をデバイスにダウンロードします。
- 既定値: 256 (SECROLE_KNOWN_PPG)
- サポートされる値: SECROLE_ANY_PUSH_SOURCE、SECROLE_KNOWN_PPG
PolicyID: 4109 |Hex:100d
- ポリシー名: サービス表示ポリシー
-
ポリシーの説明: この設定は、SI メッセージを受け入れるセキュリティ ロールを指定することで、SI メッセージを受け入れるかどうかを示します。 SI メッセージがデバイスに送信され、ユーザーに新しいサービス、サービスの更新、プロビジョニング サービスが通知されます。
- 既定値: 256 (SECROLE_KNOWN_PPG)
- サポートされる値: SECROLE_ANY_PUSH_SOURCE、SECROLE_KNOWN_PPG
PolicyID: 4111 |Hex:100f
- ポリシー名: OTA プロビジョニング ポリシー
-
ポリシーの説明: この設定は、PIN 署名された OMA クライアント プロビジョニング メッセージを処理するかどうかを決定します。 このポリシーの値は、ロール マスクを指定します。 メッセージにロール マスクに次のロールが少なくとも 1 つ含まれている場合、メッセージが処理されます。 正しく署名された OMA クライアント プロビジョニング メッセージが構成クライアントによって受け入れられるようにするには、4141、4142、および 4143 ポリシーで設定されているすべてのロールもこのポリシーで設定する必要があります。 たとえば、適切に署名された USERNETWPIN 署名済み OMA クライアント プロビジョニング メッセージがデバイスで受け入れられるようにするには、キャリアロック解除デバイスのポリシー 4143 が 4096 (SECROLE_ANY_PUSH_SOURCE) に設定されている場合、ポリシー 4111 にもSECROLE_ANY_PUSH_SOURCEロールが設定されている必要があります。
- 既定値: 384 (SECROLE_OPERATOR_TPS |SECROLE_KNOWN_PPG)
- サポートされる値: SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE、SECROLE_OPERATOR_TPS
PolicyID: 4113 |Hex:1011
- ポリシー名: WSP プッシュ ポリシー
-
ポリシーの説明: この設定は、WAP スタックからのワイヤレス セッション プロトコル (WSP) 通知をルーティングするかどうかを示します。
- 既定値: 1
- サポートされている値:
- 0: WSP 通知のルーティングは許可されません。
- 1: WSP 通知のルーティングが許可されます。
PolicyID: 4132 |Hex:1024
- ポリシー名: ネットワーク PIN 署名済み OTA プロビジョニング メッセージ ユーザー プロンプト ポリシー
-
ポリシーの説明: このポリシーは、純粋なネットワーク ピン署名付き OTA プロビジョニング メッセージを処理する前に、デバイスが UI にユーザーの確認を求めるかどうかを指定します。 プロンプトが表示されたら、ユーザーは OTA プロビジョニング メッセージを破棄できます。
- 既定値: 0
- サポートされている値:
- 0: デバイスは、OTA WAP プロビジョニング メッセージが純粋にネットワーク ピンで署名されている場合にユーザーの確認を取得するように UI を求めます。
- 1: ユーザー プロンプトはありません。
PolicyID: 4141 |Hex:102d
- ポリシー名: OMA CP NETWPIN ポリシー
-
ポリシーの説明: この設定は、OMA ネットワーク PIN 署名付きメッセージを受け入れるかどうかを決定します。 メッセージのロール マスクとポリシーのロール マスクは、AND 演算子を使用して結合されます。 結果が 0 でない場合、メッセージは受け入れられます。
- 既定値: 0
- サポートされる値: SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE、SECROLE_OPERATOR_TPS
PolicyID: 4142 |Hex:102e
- ポリシー名: OMA CP USERPIN ポリシー
-
ポリシーの説明: この設定は、OMA ユーザー PIN またはユーザー MAC 署名済みメッセージを受け入れるかどうかを決定します。 メッセージのロール マスクとポリシーのロール マスクは、AND 演算子を使用して結合されます。 結果が 0 でない場合、メッセージは受け入れられます。
- 既定値: 256
- サポートされる値: SECROLE_OPERATOR_TPS、SECROLE_ANY_PUSH_SOURCE、SECROLE_KNOWN_PPG
PolicyID: 4143 |Hex:102f
- ポリシー名: OMA CP USERNETWPIN ポリシー
-
ポリシーの説明: この設定は、OMA ユーザー ネットワーク PIN 署名済みメッセージを受け入れるかどうかを決定します。 メッセージのロール マスクとポリシーのロール マスクは、AND 演算子を使用して結合されます。 結果が 0 でない場合、メッセージは受け入れられます。
- 既定値: 256
- サポートされる値: SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE、SECROLE_OPERATOR_TPS
PolicyID: 4144 |Hex:1030
- ポリシー名: MMS メッセージ ポリシー
-
ポリシーの説明: この設定は、MMS メッセージを処理するかどうかを決定します。 このポリシーの値は、ロール マスクを指定します。 メッセージにロール マスク内のロールが少なくとも 1 つ含まれている場合は、メッセージが処理されます。
- 既定値: 256 (SECROLE_KNOWN_PPG)
- サポートされる値: SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE
注釈
セキュリティ ロールでは、デバイス リソースへのアクセスを許可または制限します。 セキュリティ ロールは、メッセージの配信元と、メッセージの署名方法に基づいています。 セキュリティ ポリシー XML ドキュメント内のメッセージに複数のロールを割り当てるには、割り当てるロールの 10 進値を組み合わせてください。 たとえば、SECROLE_KNOWN_PPGロールとSECROLE_OPERATOR_TPSロールの両方を割り当てるには、10 進値 384 (256 +128) を使用します。
次のセキュリティ ロールがサポートされています。
セキュリティ ロール | 10 進値 | 説明 |
---|---|---|
SECROLE_OPERATOR_TPS | 128 | 信頼されたプロビジョニング サーバー。 信頼されたプッシュ プロキシ ゲートウェイ (SECROLE_TRUSTED_PPG) によって認証 (SECROLE_PPG_AUTH) され、プッシュ イニシエーターの Uniform Resource Identifier (URI) がデバイス上の信頼されたプロビジョニング サーバー (TPS) の URI に対応する、プッシュ イニシエーターから送信される WAP メッセージに割り当てられます。 携帯電話会社は、このロールとSECROLE_OPERATOR ロールに同じアクセス許可が必要かどうかを判断できます。 |
SECROLE_KNOWN_PPG | 256 | 既知のプッシュ プロキシ ゲートウェイ。 このロールが割り当てられたメッセージは、デバイスがプッシュ プロキシ ゲートウェイへのアドレスを認識していることを示します。 |
SECROLE_ANY_PUSH_SOURCE | 4096 | プッシュ ルーター。 プッシュ ルーターによって受信されたメッセージは、このロールに割り当てられます。 |
OMA クライアント プロビジョニングの例
セキュリティ ポリシーの設定:
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm name="4141" value="0"/>
</characteristic>
<wap-provisioningdoc>
セキュリティ ポリシーのクエリ:
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm-query name="4141"/>
</characteristic>
<wap-provisioningdoc>
OMA DM の例
セキュリティ ポリシーの設定:
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Replace>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
セキュリティ ポリシーのクエリ:
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Microsoft カスタム要素
次の表に、この構成サービス プロバイダーが OMA クライアント プロビジョニングでサポートする Microsoft カスタム要素を示します。
要素 | 利用可能 |
---|---|
parm-query | はい |
noparm | はい、できます。 この要素を使用する場合、ポリシーは既定で 0 に設定されます (最も制限の厳しいポリシー値に対応)。 |