CSP de política - DeviceLock


Políticas do DeviceLock

DeviceLock/AllowIdleReturnWithoutPassword
DeviceLock/AllowSimpleDevicePassword
DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
DeviceLock/AlphanumericDevicePasswordRequired
DeviceLock/DevicePasswordEnabled
DeviceLock/DevicePasswordExpiration
DeviceLock/DevicePasswordHistory
DeviceLock/EnforceLockScreenAndLogonImage
DeviceLock/MaxDevicePasswordFailedAttempts
DeviceLock/MaxInactivityTimeDeviceLock
DeviceLock/MinDevicePasswordComplexCharacters
DeviceLock/MinDevicePasswordLength
DeviceLock/MinimumPasswordAge
DeviceLock/PreventEnablingLockScreenCamera
DeviceLock/PreventLockScreenSlideShow

DeviceLock/AllowIdleReturnWithoutPassword

Edição Windows 10 Windows 11
Home Não Não
Pro Não Não
Negócios Não Não
Enterprise Não Não
Educação Não Não

Escopo:

  • Dispositivo

Observação

Atualmente, essa política é suportada apenas no HoloLens 2, HoloLens (1ª geração) Commercial Suite e HoloLens (1ª geração) Development Edition.

Especifica se o usuário deve inserir um PIN ou senha quando o dispositivo for retomado de um estado ocioso.

Observação

Essa política deve ser empacotada em um comando Atômico.

A lista a seguir mostra os valores com suporte:

  • 0 – Não permitido.
  • 1 (padrão) – Permitido.

DeviceLock/AllowSimpleDevicePassword

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica se PINs ou senhas como "1111" ou "1234" são permitidas. Para a área de trabalho, ele também controla o uso de senhas com imagem.

Observação

Essa política deve ser empacotada em um comando Atômico.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) – Bloqueado
  • 1 – Permitido

DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

A lista a seguir mostra os valores com suporte:

  • 0 – Não permitido.
  • 1 (padrão) – Permitido.

DeviceLock/AlphanumericDevicePasswordRequired

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Determina o tipo de PIN necessário. Essa política só se aplica se a política DeviceLock/DevicePasswordEnabled estiver definida como 0 (obrigatório).

Observação

Essa política deve ser empacotada em um comando Atômico.

Sempre use o comando Substituir em vez de Adicionar para essa política no Windows para edições da área de trabalho (Home, Pro, Enterprise e Education).

Observação

Se AlphanumericDevicePasswordRequired estiver definido como 1 ou 2, MinDevicePasswordLength = 0 e MinDevicePasswordComplexCharacters = 1.

Se AlphanumericDevicePasswordRequired estiver definido como 0, minDevicePasswordLength = 4 e MinDevicePasswordComplexCharacters = 2.

A lista a seguir mostra os valores com suporte:

  • 0 – Senha ou PIN alfanumérico necessário.
  • 1 – Senha ou PIN numérico necessário.
  • 2 (padrão) – Senha, PIN numérico ou PIN alfanumérico necessário.

DeviceLock/DevicePasswordEnabled

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica se o bloqueio de dispositivo está habilitado.

Observação

Essa política deve ser empacotada em um comando Atômico.

Sempre use o comando Substituir em vez de Adicionar para essa política em Windows para edições da área de trabalho.

Importante

A configuração DevicePasswordEnabled deve ser definida como 0 (a senha do dispositivo está habilitada) para que as seguintes configurações de política entre em vigor:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters  

Importante

Se DevicePasswordEnabled estiver definido como 0 (a senha do dispositivo está habilitada), as seguintes políticas serão definidas:

  • MinDevicePasswordLength está definido como 4
  • MinDevicePasswordComplexCharacters está definido como 1

Se DevicePasswordEnabled estiver definido como 1 (a senha do dispositivo está desabilitada), as seguintes políticas do DeviceLock serão definidas como 0:

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

Importante

DevicePasswordEnabled não deve ser definido como Habilitado (0) quando o WMI é usado para definir as políticas do EAS DeviceLock, já que ele é Habilitado por padrão no CSP de política para fazer a recompatibilidade com Windows 8.x. Se DevicePasswordEnabled estiver definido como Enabled(0), o CSP de Política retornará um erro informando que DevicePasswordEnabled já existe. Windows 8.x não suporta a política DevicePassword. Ao desabilitar DevicePasswordEnabled (1), essa deve ser a única política definida do grupo DeviceLock de políticas listadas abaixo:

  • DevicePasswordEnabled é a política pai do seguinte:
    • AllowSimpleDevicePassword
    • MinDevicePasswordLength
    • AlphanumericDevicePasswordRequired
    • MinDevicePasswordComplexCharacters
    • DevicePasswordExpiration
    • DevicePasswordHistory
    • MaxDevicePasswordFailedAttempts
    • MaxInactivityTimeDeviceLock

A lista a seguir mostra os valores com suporte:

  • 0 (padrão) – Habilitado
  • 1 – Desabilitado

DeviceLock/DevicePasswordExpiration

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica quando a senha expira (em dias).

Observação

Essa política deve ser empacotada em um comando Atômico.

Se todos os valores de política = 0 e 0; caso contrário, o valor da política Min é o valor mais seguro.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.

A lista a seguir mostra os valores com suporte:

  • Um inteiro X onde 0 < = X < = 730.
  • 0 (padrão) - As senhas não expiram.

DeviceLock/DevicePasswordHistory

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica quantas senhas podem ser armazenadas no histórico que não podem ser usadas.

Observação

Essa política deve ser empacotada em um comando Atômico.

O valor inclui a senha atual do usuário. Isso significa que, com uma configuração de 1, o usuário não pode reutilizar sua senha atual ao escolher uma nova senha, enquanto uma configuração de 5 significa que um usuário não pode definir sua nova senha para sua senha atual ou qualquer uma de suas quatro senhas anteriores.

O valor máximo da política é o mais restrito.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.

A lista a seguir mostra os valores com suporte:

  • Um inteiro X onde 0 < = X < = 50.
  • 0 (padrão)

DeviceLock/EnforceLockScreenAndLogonImage

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica a tela de bloqueio padrão e a imagem de logon mostrada quando nenhum usuário está assinado. Ele também define a imagem especificada para todos os usuários, que substitui a imagem padrão. A mesma imagem é usada para as telas de bloqueio e logon. Os usuários não poderão alterar essa imagem.

Observação

Essa política só é imposta em Windows 10 Enterprise e edições education e não tem suporte em Windows 10 Home e Pro.

Tipo de valor é uma cadeia de caracteres, que é o filepath de imagem completa e o nome do arquivo.


DeviceLock/MaxDevicePasswordFailedAttempts

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

O número de falhas de autenticação permitidas antes que o dispositivo seja apagado. Um valor 0 desabilita a funcionalidade de apagar dispositivos.

Observação

Essa política deve ser empacotada em um comando Atômico.

Em um dispositivo cliente, quando o usuário atinge o valor definido por esta política, ele não é apagado. Em vez disso, a área de trabalho é colocada no modo de recuperação do BitLocker, o que torna os dados inacessíveis, mas recuperáveis. Se o BitLocker não estiver habilitado, a política não poderá ser imposta.

Antes de atingir o limite de tentativas com falha, o usuário é enviado para a tela de bloqueio e avisado que mais tentativas com falha bloquearão seu computador. Quando o usuário atinge o limite, o dispositivo reinicia automaticamente e mostra a página de recuperação do BitLocker. Esta página solicita ao usuário a chave de recuperação BitLocker.

O valor mais seguro será 0 se todos os valores de política = 0; caso contrário, o valor da política Min é o valor mais seguro.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.

A lista a seguir mostra os valores com suporte:

  • Um inteiro X onde 4 < = X < = 16 para dispositivos cliente.
  • 0 (padrão) - O dispositivo nunca é apagado depois que um PIN ou senha incorreto é inserido.

DeviceLock/MaxInactivityTimeDeviceLock

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica a quantidade máxima de tempo (em minutos) permitida após o dispositivo ficar ocioso que fará com que o dispositivo se torne PIN ou senha bloqueada. Os usuários podem selecionar qualquer valor de tempo limite existente menor do que o tempo máximo especificado no Configurações aplicativo.

No HoloLens, esse tempo de tempo é controlado pelo tempo de tempo de sono do sistema do dispositivo, independentemente do valor definido por essa política.

Observação

Essa política deve ser empacotada em um comando Atômico.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.

A lista a seguir mostra os valores com suporte:

  • Um inteiro X onde 0 < = X < = 999.
  • 0 (padrão) - Nenhum tempo de tempo é definido.

DeviceLock/MinDevicePasswordComplexCharacters

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou senha forte.

Observação

Essa política deve ser empacotada em um comando Atômico.

Sempre use o comando Substituir em vez de Adicionar para essa política em Windows para edições da área de trabalho.

O PIN impõe o seguinte comportamento para dispositivos cliente:

  • 1 - Somente dígitos
  • 2 - Dígitos e letras minúsculas são necessários
  • 3 - Dígitos, letras minúsculas e letras maiúsculas são necessárias. Não há suporte em contas de domínio e contas de domínio da Microsoft da área de trabalho.
  • 4 - Dígitos, letras minúsculas, letras maiúsculas e caracteres especiais são necessários. Não há suporte na área de trabalho ou HoloLens.

O valor padrão é 1. A lista a seguir mostra os valores suportados e os valores reais imposto:

Tipo de conta Valores com suporte Valores reais imposto
Contas locais 1,2,3 3
Contas da Microsoft 1,2 <p2
Contas de domínio Sem suporte Sem suporte

Valores imposto para contas locais e da Microsoft:

  • As contas locais suportam valores de 1, 2 e 3, no entanto, elas sempre impõem um valor 3.

  • As senhas para contas locais devem atender aos seguintes requisitos mínimos:

    • Não contém o nome da conta ou partes do nome completo do usuário que excedam dois caracteres consecutivos

    • Ter pelo menos seis caracteres de comprimento

    • Contém caracteres de três das quatro categorias a seguir:

      • Caracteres maiúsculas em inglês (A a Z)
      • Caracteres minúsculos em inglês (a a z)
      • Base 10 dígitos (0 a 9)
      • Caracteres especiais (!, $, #, %, etc.)

A imposição de políticas para contas da Microsoft acontece no servidor, e o servidor requer um comprimento de senha de 8 e uma complexidade de 2. Um valor de complexidade de 3 ou 4 não é compatível e definir esse valor no servidor torna as contas da Microsoft incompatíveis.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Policy Engine Overview and KB article.


DeviceLock/MinDevicePasswordLength

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Especifica o número mínimo ou os caracteres necessários no PIN ou senha.

Observação

Essa política deve ser empacotada em um comando Atômico.

Sempre use o comando Substituir em vez de Adicionar para essa política em Windows para edições da área de trabalho.

O valor máximo da política é o mais restrito.

Para obter informações adicionais sobre essa política, consulte Exchange ActiveSync Policy Engine Overview and KB article.

A lista a seguir mostra os valores com suporte:

  • Um inteiro X onde 4 < = X < = 16 para dispositivos cliente. No entanto, as contas locais sempre imporão um comprimento mínimo de senha de 6.
  • Não imposto.
  • O valor padrão é 4 para dispositivos cliente.

O exemplo a seguir mostra como definir o comprimento mínimo da senha como 4 caracteres.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

DeviceLock/MinimumPasswordAge

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa configuração de segurança determina o período de tempo (em dias) que uma senha deve ser usada para que o usuário possa alterá-la. Você pode definir um valor entre 1 e 998 dias ou permitir alterações imediatamente definindo o número de dias como 0.

A idade mínima da senha deve ser menor que a idade máxima da senha, a menos que a idade máxima da senha seja definida como 0, indicando que as senhas nunca expiram. Se a idade máxima da senha for definida como 0, a idade mínima da senha poderá ser definida como qualquer valor entre 0 e 998.

Configure a idade mínima da senha para ter mais de 0 se quiser que o histórico de senhas seja efetivo. Sem uma idade mínima de senha, os usuários podem passar por senhas repetidamente até chegar a um antigo favorito. A configuração padrão não segue essa recomendação, para que um administrador possa especificar uma senha para um usuário e, em seguida, exigir que o usuário altere a senha definida pelo administrador quando o usuário fizer logo depois. Se o histórico da senha estiver definido como 0, o usuário não precisa escolher uma nova senha. Por esse motivo, Impor histórico de senhas é definido como 1 por padrão.

Informações da GP:

  • Nome amigável da GP: Idade mínima da senha
  • Caminho da POLÍTICA: Windows Configurações/Segurança Configurações/Políticas de Conta/Política de Senha

DeviceLock/PreventEnablingLockScreenCamera

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Desabilita a opção de alternância da câmera de tela de bloqueio no computador Configurações e impede que uma câmera seja invocada na tela de bloqueio.

Por padrão, os usuários podem habilitar a invocação de uma câmera disponível na tela de bloqueio.

Se você habilitar essa configuração, os usuários não poderão mais habilitar ou desabilitar o acesso à câmera de tela de bloqueio no computador Configurações e a câmera não poderá ser invocada na tela de bloqueio.

Dica

Esta é uma política com suporte ADMX e requer um formato SyncML especial para habilitar ou desabilitar. Para obter detalhes, consulte Understanding ADMX-backed policies.

Você deve especificar o tipo de dados no SyncML como < Format > chr < /Format > . Para um exemplo syncML, consulte Enabling a policy.

A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar CDATA se seu MDM for compatível com ele. Para obter mais informações, consulte CDATA Sections.

Informações do ADMX:

  • Nome amigável da GP: Impedir a habilitação da câmera de tela de bloqueio
  • Nome da GP: CPL_Personalization_NoLockScreenCamera
  • Caminho da Política de Grupo: Painel de Controle/Personalização
  • Nome do arquivo ADMX da GP: ControlPanelDisplay.admx

DeviceLock/PreventLockScreenSlideShow

Edição Windows 10 Windows 11
Home Sim Sim
Pro Sim Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Desabilita as configurações de apresentação de slides de tela de bloqueio no computador Configurações e impede que uma apresentação de slides seja torda na tela de bloqueio.

Por padrão, os usuários podem habilitar uma apresentação de slides que será executado após bloquear o computador.

Se você habilitar essa configuração, os usuários não poderão mais modificar as configurações da apresentação de slides no computador Configurações e nenhuma apresentação de slides será ativada.

Dica

Esta é uma política com suporte ADMX e requer um formato SyncML especial para habilitar ou desabilitar. Para obter detalhes, consulte Understanding ADMX-backed policies.

Você deve especificar o tipo de dados no SyncML como < Format > chr < /Format > . Para um exemplo syncML, consulte Enabling a policy.

A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar CDATA se seu MDM for compatível com ele. Para obter mais informações, consulte CDATA Sections.

Informações do ADMX:

  • Nome amigável da GP: Impedir a habilitação da apresentação de slides de tela de bloqueio
  • Nome da GP: CPL_Personalization_NoLockScreenSlideshow
  • Caminho da Política de Grupo: Painel de Controle/Personalização
  • Nome do arquivo ADMX da GP: ControlPanelDisplay.admx