CSP de Política – Autenticação
Políticas de autenticação
- Authentication/AllowAadPasswordReset
- Authentication/AllowEAPCertSSO
- Authentication/AllowFastReconnect
- Authentication/AllowFidoDeviceSignon
- Authentication/AllowSecondaryAuthenticationDevice
- Authentication/ConfigureWebSignInAllowedUrls
- Authentication/ConfigureWebcamAccessDomainNames
- Authentication/EnableFastFirstSignIn
- Authentication/EnableWebSignIn
- Authentication/PreferredAadTenantDomainName
Authentication/AllowAadPasswordReset
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se a redefinição de senha está habilitada para Azure Active Directory contas. Essa política permite que os administradores Azure AD locatários habilitem o recurso de redefinição de senha de autoatendimento na tela Windows logon.
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – Não permitido.
- 1 - Permitido.
Authentication/AllowEAPCertSSO
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Usuário
Permite que uma autenticação baseada em certificado do EAP para um SSO (logon único) acesse recursos internos.
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
Authentication/AllowFastReconnect
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Permite a tentativa de reconexão rápida EAP para TLS do método EAP.
Valor de restrição máxima é 0.
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
Authentication/AllowFidoDeviceSignon
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Com suporte na próxima versão. Especifica se o dispositivo FIDO (Fast Identity Online) pode ser usado para fazer logon. Essa política habilita o Windows de credenciais de logon do FIDO 2.0
Tipo de valor é número inteiro.
Aqui está um cenário de exemplo: na Contoso, há muitos dispositivos e quiosques compartilhados que os funcionários usam ao longo do dia, por exemplo, os funcionários usam até 20 dispositivos diferentes. Para minimizar a perda na produtividade quando os funcionários precisam entrar com o nome de usuário e a senha toda vez que escolhem um dispositivo, o administrador de TI implanta a política CSP e Authentication/AllowFidoDeviceSignon do SharePC em dispositivos compartilhados. O administrador de TI provisiona e distribui dispositivos FIDO 2.0 para os funcionários, o que permite que eles se autentiquem em vários dispositivos compartilhados e PCs.
A lista a seguir mostra os valores com suporte:
- 0 - Não permitir. O provedor de credenciais do dispositivo FIDO desabilitado.
- 1 - Permitir. O provedor de credenciais do dispositivo FIDO está habilitado e permite o uso de dispositivos FIDO para entrar Windows.
Authentication/AllowSecondaryAuthenticationDevice
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Permite que os dispositivos de autenticação secundários funcionem com Windows.
O padrão dessa política deve estar ativado para dispositivos de consumidor (definidos como dispositivo conectado à conta local ou da Microsoft) e desativado para dispositivos empresariais (como ingressado no domínio de nuvem, ingressado no domínio de nuvem em um ambiente somente local, ingressado no domínio de nuvem em um ambiente híbrido e BYOD).
Na próxima versão principal do Windows 10, o padrão dessa política para dispositivos de consumidor será alterado para desativado. Essa alteração afetará apenas os usuários que ainda não configuraram um dispositivo de autenticação secundário.
Informações do ADMX:
- Nome amigável da POLÍTICA de Grupo: Permitir dispositivo complementar para autenticação secundária
- Nome da Política de Grupo: MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice
- Caminho da Política de Grupo: Windows componentes/Fator de Autenticação Secundária da Microsoft
- Nome do arquivo ADMX da GP: DeviceCredential.admx
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 - Permitido.
Authentication/ConfigureWebSignInAllowedUrls
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica Azure Active Directory lista de domínios que podem ser navegados em cenários de dispositivo de Windows de pin e de entrada na Web em que Windows autenticação é tratada pelo AD FS ou por um provedor de identidade federado de terceiros. Observe que essa política é necessária em ambientes federados como uma mitigação para a vulnerabilidade descrita em CVE-2021-27092.
Exemplo : se a redefinição de PIN da sua organização ou o fluxo de autenticação de entrada na Web for esperado para navegar para dois domínios, accounts.contoso.com e signin.contoso.com, o valor da política deverá ser "accounts.contoso.com;signin.contoso.com".
Authentication/ConfigureWebcamAccessDomainNames
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica a lista de nomes de domínio que têm permissão para acessar a webcam em web sign-in Windows de entrada do dispositivo.
A entrada na Web só é compatível com Azure AD computadores ingressados.
Exemplo: se sua organização federar para "Contoso IDP" e seu portal de entrada na Web em "signinportal.contoso.com" exigir acesso à webcam, o valor da política deverá ser "contoso.com".
Authentication/EnableFastFirstSignIn
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Aviso
O recurso de Entrada na Web está apenas no modo de visualização privada e não significa ou é recomendado para fins de produção. Esta configuração não é suportada no momento.
Essa política destina-se ao uso em computadores compartilhados para habilitar uma experiência de primeira conexão rápida para um usuário. Ele funciona conectando automaticamente novas contas de Azure Active Directory (Azure AD) não administradores às contas locais candidatas pré-configuradas.
Importante
Contas locais candidatas pré-configuradas são contas locais (pré-configuradas ou adicionadas) em seu dispositivo.
Tipo de valor é número inteiro. Valores com suporte:
- 0 – (padrão) O recurso usa como padrão os recursos existentes de SKU e dispositivo.
- 1- Habilitado. Conectar automaticamente novas contas não administrativas Azure AD contas locais candidatas pré-configuradas
- 2 - Desabilitado. Não conecte automaticamente novas contas não administrativas Azure AD contas locais pré-configuradas
Authentication/EnableWebSignIn
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Aviso
O recurso de Entrada na Web está apenas no modo de visualização privada e não significa ou é recomendado para fins de produção. Esta configuração não é suportada no momento.
A "Entrada na Web" é uma nova maneira de entrar em um Windows computador. Ele habilita Windows logon para novas credenciais Azure AD, como a Passagem de Acesso Temporária.
Observação
A entrada na Web só é compatível com Azure AD computadores ingressados.
Tipo de valor é número inteiro. Valores com suporte:
- 0 – (padrão) O recurso usa como padrão os recursos existentes de SKU e dispositivo.
- 1- Habilitado. O Provedor de Credenciais da Web será habilitado para uma entrada.
- 2 - Desabilitado. O Provedor de Credenciais da Web não será habilitado para uma entrada.
Authentication/PreferredAadTenantDomainName
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica o domínio preferencial entre os domínios disponíveis no Azure AD locatário.
Exemplo: se sua organização estiver usando o nome de domínio de locatário "@contoso.com", o valor da política deverá ser "contoso.com". Para o usuário "abby@constoso.com", uma entrada é feita usando "abby" no campo nome de usuário em vez de "abby@contoso.com".
Tipo de valor é cadeia de caracteres.
Comentários
Submeter e ver comentários