Richtlinien-CSP – Authentifizierung
AllowAadPasswordReset
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Gibt an, ob die Kennwortzurücksetzung für Microsoft Entra Konten aktiviert ist.
Diese Richtlinie ermöglicht es dem Microsoft Entra Mandantenadministrator, das Feature zur Self-Service-Kennwortzurücksetzung auf dem Windows-Anmeldebildschirm zu aktivieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht zulässig |
| 1 | Zugelassen. |
AllowEAPCertSSO
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ❌ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1507 [10.0.10240] und höher |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
Ermöglicht einer zertifikatbasierten EAP-Authentifizierung für ein einmaliges Anmelden (Single Sign-On, SSO) den Zugriff auf interne Ressourcen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht zulässig |
| 1 | Zugelassen. |
AllowFastReconnect
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
Ermöglicht die schnelle Wiederherstellung der EAP-Verbindung, die für EAP-Methoden-TLS versucht wird. Der am stärksten eingeschränkte Wert ist 0.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht zulässig |
| 1 (Standard) | Zugelassen. |
AllowSecondaryAuthenticationDevice
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
Diese Richtlinie ermöglicht benutzern die Verwendung eines Begleitgeräts, z. B. eines Telefons, eines Fitnessbands oder eines IoT-Geräts, um sich bei einem Desktopcomputer anzumelden, auf dem Windows 10 ausgeführt wird. Das Begleitgerät bietet einen zweiten Authentifizierungsfaktor mit Windows Hello.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, können sich Benutzer mithilfe eines Begleitgeräts bei Windows Hello authentifizieren.
Wenn Sie diese Richtlinie deaktivieren, können Benutzer kein Begleitgerät verwenden, um sich bei Windows Hello zu authentifizieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht zulässig |
| 1 | Zugelassen. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| Anzeigename | Begleitgerät für die sekundäre Authentifizierung zulassen |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > Microsoft Secondary Authentication Factor |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| Registrierungswertname | AllowSecondaryAuthenticationDevice |
| ADMX-Dateiname | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Gibt eine Liste der Domänen an, die in Webanmeldungsszenarien auf die Webcam zugreifen dürfen.
Hinweis
Die Webanmeldung wird nur auf Microsoft Entra eingebundenen PCs unterstützt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ;) |
Beispiel:
Ihr organization mit "Contoso IDP" verbunden, und Ihr Webanmeldungsportal unter signinportal.contoso.com erfordert Zugriff auf die Webcam. Der Wert für diese Richtlinie sollte dann wie folgt sein:
contoso.com
ConfigureWebSignInAllowedUrls
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1803 [10.0.17134.2145] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Gibt eine Liste von URLs an, die in Szenarien mit webanmeldungsbasierter Authentifizierung navigierbar sind.
Diese Richtlinie gibt die Liste der Domänen an, auf die Benutzer in bestimmten Authentifizierungsszenarien zugreifen können. Zum Beispiel:
- Microsoft Entra ID PIN zurücksetzen
- Webanmeldungsszenarien für Windows-Geräte, in denen die Authentifizierung von Active Directory-Verbunddienste (AD FS) (AD FS) oder einem Drittanbieter für Verbundidentitätsanbieter erfolgt
Hinweis
Diese Richtlinie ist in Verbundumgebungen erforderlich, um die in CVE-2021-27092 beschriebene Sicherheitsanfälligkeit zu beheben.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ;) |
Beispiel:
Es wird erwartet, dass die PIN-Zurücksetzung ihres organization oder der Webanmeldeauthentifizierungsflow zu den folgenden beiden Domänen navigiert: accounts.contoso.com und signin.contoso.com. Der Wert für diese Richtlinie sollte dann wie folgt sein:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
Gibt an, ob neue Konten ohne Administratorrechte Microsoft Entra automatisch eine Verbindung mit vorab erstellten lokalen Kandidatenkonten herstellen sollen.
Diese Richtlinie ist für die Verwendung auf gemeinsam genutzten PCs vorgesehen, um eine schnelle erste Anmeldung für einen Benutzer zu ermöglichen. Dies funktioniert, indem neue Konten ohne Administratorrechte Microsoft Entra automatisch mit den vorkonfigurierten lokalen Kandidatenkonten verbunden werden.
Wichtig
Vorkonfigurierte lokale Kandidatenkonten sind alle lokalen Konten, die vorkonfiguriert oder auf dem Gerät hinzugefügt werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Das Feature verwendet standardmäßig die vorhandenen SKU- und Gerätefunktionen. |
| 1 | Aktiviert. Verbinden Sie neue Konten ohne Administratorrechte Microsoft Entra automatisch mit vorkonfigurierten lokalen Kandidatenkonten. |
| 2 | Deaktiviert. Verbinden Sie neue Microsoft Entra Konten ohne Administratorrechte nicht automatisch mit vorkonfigurierten lokalen Konten. |
EnablePasswordlessExperience
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 23H2 [10.0.22631.2506] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Gibt an, ob verbundene Benutzer auf Microsoft Entra eingebundenen Geräten eine kennwortlose Benutzeroberfläche unter Windows erhalten.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Das Feature verwendet standardmäßig die vorhandenen Editions- und Gerätefunktionen. |
| 1 | Aktiviert. Die Kennwortlose Benutzeroberfläche wird unter Windows aktiviert. |
| 2 | Deaktiviert. Die Kennwortlose Benutzeroberfläche wird unter Windows nicht aktiviert. |
EnableWebSignIn
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Gibt an, ob die webbasierte Anmeldung für die Anmeldung bei Windows zulässig ist.
Die Webanmeldung ist ein Anmeldeinformationsanbieter, der eine webbasierte Anmeldung auf Windows-Geräten ermöglicht. Ursprünglich in Windows 10 eingeführt und nur für den temporären Zugriffspass (Temporary Access Pass, TAP) unterstützt, wurden die Funktionen der Webanmeldung ab Windows 11 Version 22H2 mit KB5030310 erweitert. Weitere Informationen finden Sie unter Webanmeldung für Windows.
Hinweis
Die Webanmeldung wird nur auf Microsoft Entra eingebundenen PCs unterstützt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Das Feature verwendet standardmäßig die vorhandenen SKU- und Gerätefunktionen. |
| 1 | Aktiviert. Die Webanmeldung wird für die Anmeldung bei Windows aktiviert. |
| 2 | Deaktiviert. Die Webanmeldung wird nicht für die Anmeldung bei Windows aktiviert. |
PreferredAadTenantDomainName
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Gibt die bevorzugte Domäne unter den verfügbaren Domänen im Microsoft Entra Mandanten an.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Beispiel:
Ihr organization verwendet den Mandantendomänennamen@contoso.com. Der Wert für diese Richtlinie sollte dann wie folgt sein:
contoso.com
Für den Benutzer abby@constoso.comerfolgt eine Anmeldung mit abby im Feld benutzername anstelle von abby@contoso.com.
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für