CSP de política – DeviceLock
Políticas do DeviceLock
- DeviceLock/AllowIdleReturnWithoutPassword
- DeviceLock/AllowSimpleDevicePassword
- DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
- DeviceLock/AlphanumericDevicePasswordRequired
- DeviceLock/DevicePasswordEnabled
- DeviceLock/DevicePasswordExpiration
- DeviceLock/DevicePasswordHistory
- DeviceLock/EnforceLockScreenAndLogonImage
- DeviceLock/MaxDevicePasswordFailedAttempts
- DeviceLock/MaxInactivityTimeDeviceLock
- DeviceLock/MinDevicePasswordComplexCharacters
- DeviceLock/MinDevicePasswordLength
- DeviceLock/MinimumPasswordAge
- DeviceLock/PreventEnablingLockScreenCamera
- DeviceLock/PreventLockScreenSlideShow
Importante
O CSP do DeviceLock utiliza o Exchange ActiveSync De política. Quando as regras de complexidade e comprimento de senha são aplicadas, todas as contas de usuário e administrador local são marcadas para alterar sua senha na próxima entrada para garantir que os requisitos de complexidade sejam atendidos. Para obter mais informações, consulte Tamanho e complexidade da senha compatíveis com tipos de conta.
DeviceLock/AllowIdleReturnWithoutPassword
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Não | Não |
| Windows SE | Não | Não |
| Negócios | Não | Não |
| Enterprise | Não | Não |
| Educação | Não | Não |
- Dispositivo
Observação
Atualmente, essa política tem suporte apenas no HoloLens 2, HoloLens (1ª geração) Commercial Suite e HoloLens (1ª geração) Development Edition.
Especifica se o usuário deve inserir um PIN ou senha quando o dispositivo é retomado de um estado ocioso.
Observação
Essa política deve ser encapsulada em um comando Atomic.
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
DeviceLock/AllowSimpleDevicePassword
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se PINs ou senhas como "1111" ou "1234" são permitidas. Para a área de trabalho, ele também controla o uso de senhas com imagem.
Observação
Essa política deve ser encapsulada em um comando Atomic.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – Bloqueado
- 1 – Permitido
DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
A lista a seguir mostra os valores com suporte:
- 0 – Não permitido.
- 1 (padrão) – Permitido.
DeviceLock/AlphanumericDevicePasswordRequired
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Determina o tipo de PIN necessário. Essa política só se aplicará se a política DeviceLock/DevicePasswordEnabled estiver definida como 0 (obrigatório).
Observação
Essa política deve ser encapsulada em um comando Atomic.
Sempre use o comando Substituir em vez de Adicionar para essa política no Windows para edições desktop (Home, Pro, Enterprise e Education).
Observação
Se AlphanumericDevicePasswordRequired for definido como 1 ou 2, MinDevicePasswordLength = 0 e MinDevicePasswordComplexCharacters = 1.
Se AlphanumericDevicePasswordRequired for definido como 0, MinDevicePasswordLength = 4 e MinDevicePasswordComplexCharacters = 2.
A lista a seguir mostra os valores com suporte:
- 0 – Senha ou PIN alfanumérico necessário.
- 1 – Senha ou PIN numérico necessário.
- 2 (padrão) – Senha, PIN numérico ou PIN alfanumérico necessário.
DeviceLock/DevicePasswordEnabled
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica se o bloqueio de dispositivo está habilitado.
Observação
Essa política deve ser encapsulada em um comando Atomic.
Sempre use o comando Substituir em vez de Adicionar para esta política no Windows para edições da área de trabalho.
Importante
A configuração DevicePasswordEnabled deve ser definida como 0 (a senha do dispositivo está habilitada) para que as seguintes configurações de política entre em vigor:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
Importante
Se DevicePasswordEnabled for definido como 0 (a senha do dispositivo está habilitada), as seguintes políticas serão definidas:
- MinDevicePasswordLength está definido como 4
- MinDevicePasswordComplexCharacters está definido como 1
Se DevicePasswordEnabled for definido como 1 (a senha do dispositivo está desabilitada), as seguintes políticas do DeviceLock serão definidas como 0:
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
Importante
DevicePasswordEnabled não deve ser definido como Habilitado (0) quando o WMI é usado para definir as políticas do DeviceLock do EAS, considerando que ele está habilitado por padrão no CSP de política para fazer a compatibilidade com Windows 8.x. Se DevicePasswordEnabled estiver definido como Enabled(0), o CSP de Política retornará um erro informando que DevicePasswordEnabled já existe. Windows 8.x não era compatível com a política DevicePassword. Ao desabilitar DevicePasswordEnabled (1), essa deve ser a única política definida do grupo de políticas DeviceLock listadas abaixo:
- DevicePasswordEnabled é a política pai do seguinte:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
A lista a seguir mostra os valores com suporte:
- 0 (padrão) – Habilitado
- 1 – Desabilitado
DeviceLock/DevicePasswordExpiration
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica quando a senha expira (em dias).
Observação
Essa política deve ser encapsulada em um comando Atomic.
Se todos os valores de política = 0, então 0; caso contrário, o valor mínimo da política será o valor mais seguro.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.
A lista a seguir mostra os valores com suporte:
- Um inteiro X em que 0 <= X <= 730.
- 0 (padrão) – As senhas não expiram.
DeviceLock/DevicePasswordHistory
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica quantas senhas podem ser armazenadas no histórico que não podem ser usadas.
Observação
Essa política deve ser encapsulada em um comando Atomic.
O valor inclui a senha atual do usuário. Esse valor indica que, com uma configuração de 1, o usuário não pode reutilizar sua senha atual ao escolher uma nova senha, enquanto uma configuração de 5 significa que um usuário não pode definir sua nova senha para sua senha atual ou qualquer uma de suas quatro senhas anteriores.
O valor máximo da política é o mais restrito.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.
A lista a seguir mostra os valores com suporte:
- Um inteiro X em que 0 <= X <= 50.
- 0 (padrão)
DeviceLock/EnforceLockScreenAndLogonImage
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica a tela de bloqueio padrão e a imagem de entrada mostrada quando nenhum usuário está conectado. Ele também define a imagem especificada para todos os usuários, que substitui a imagem padrão. A mesma imagem é usada para as telas de bloqueio e de entrada. Os usuários não poderão alterar essa imagem.
Observação
Essa política só é imposta nas edições Windows 10 Enterprise e Education e não tem suporte no Windows 10 Home e Pro.
O tipo de valor é uma cadeia de caracteres, que é o filepath de imagem completa e o nome do arquivo.
DeviceLock/MaxDevicePasswordFailedAttempts
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
O número de falhas de autenticação permitidas antes que o dispositivo seja apagado. Um valor 0 desabilita a funcionalidade de apagamento de dispositivo.
Observação
Essa política deve ser encapsulada em um comando Atomic.
Em um dispositivo cliente, quando o usuário atinge o valor definido por essa política, ele não é apagado. Em vez disso, a área de trabalho é colocada no modo de recuperação do BitLocker, o que torna os dados inacessíveis, mas recuperáveis. Se o BitLocker não estiver habilitado, a política não poderá ser imposta.
Antes de atingir o limite de tentativas com falha, o usuário é enviado para a tela de bloqueio e avisado que mais tentativas com falha bloquearão o computador. Quando o usuário atinge o limite, o dispositivo é reinicializado automaticamente e mostra a página de recuperação do BitLocker. Esta página solicita ao usuário a chave de recuperação do BitLocker.
O valor mais seguro será 0 se todos os valores de política = 0; caso contrário, o valor mínimo da política será o valor mais seguro.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.
A lista a seguir mostra os valores com suporte:
- Um inteiro X em que 4 <= X <= 16 para dispositivos cliente.
- 0 (padrão) – o dispositivo nunca é apagado depois que um PIN ou senha incorreto é inserido.
DeviceLock/MaxInactivityTimeDeviceLock
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica a quantidade máxima de tempo (em minutos) permitida após o dispositivo ficar ocioso, o que fará com que o dispositivo se torne PIN ou senha bloqueada. Os usuários podem selecionar qualquer valor de tempo limite existente menor que o tempo máximo especificado no Configurações aplicativo.
No HoloLens, esse tempo limite é controlado pelo tempo limite de sono do sistema do dispositivo, independentemente do valor definido por essa política.
Observação
Essa política deve ser encapsulada em um comando Atomic.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync Visão geral do Mecanismo de Política.
A lista a seguir mostra os valores com suporte:
- Um inteiro X em que 0 <= X <= 999.
- 0 (padrão) – nenhum tempo limite é definido.
DeviceLock/MinDevicePasswordComplexCharacters
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou senha forte.
Observação
Essa política deve ser encapsulada em um comando Atomic.
Sempre use o comando Substituir em vez de Adicionar para esta política no Windows para edições da área de trabalho.
O PIN impõe o seguinte comportamento para dispositivos cliente:
- 1 - Somente dígitos
- 2 - Dígitos e letras minúsculas são necessários
- 3 - Dígitos, letras minúsculas e letras maiúsculas são necessários. Sem suporte em contas de área de trabalho da Microsoft e contas de domínio.
- 4 – Dígitos, letras minúsculas, letras maiúsculas e caracteres especiais são necessários. Sem suporte na área de trabalho ou HoloLens.
O valor padrão é 1. A lista a seguir mostra os valores com suporte e os valores impostos reais:
| Tipo de Conta | Valores com suporte | Valores reais impostos |
|---|---|---|
| Contas locais | 1,2,3 | 3 |
| Contas da Microsoft | 1,2 | <p2 |
| Contas de domínio | Sem suporte | Sem suporte |
Valores impostos para contas locais e da Microsoft:
As contas locais dão suporte a valores de 1, 2 e 3, no entanto, elas sempre impõem um valor de 3.
As senhas para contas locais devem atender aos seguintes requisitos mínimos:
Não contém o nome da conta do usuário ou partes do nome completo do usuário que excedem dois caracteres consecutivos
Ter pelo menos seis caracteres de comprimento
Contêm caracteres de três das quatro categorias a seguir:
- Caracteres maiúsculos em inglês (A a Z)
- Caracteres minúsculos em inglês (a a z)
- Base de 10 dígitos (0 a 9)
- Caracteres especiais (!, $, #, %, etc.)
A imposição de políticas para contas da Microsoft ocorre no servidor e o servidor requer um comprimento de senha de 8 e uma complexidade de 2. Não há suporte para um valor de complexidade de 3 ou 4 e definir esse valor no servidor torna as contas da Microsoft incompatíveis.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync visão geral do mecanismo de política e artigo de KB.
DeviceLock/MinDevicePasswordLength
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Especifica o número mínimo ou os caracteres necessários no PIN ou na senha.
Observação
Essa política deve ser encapsulada em um comando Atomic.
Sempre use o comando Substituir em vez de Adicionar para esta política no Windows para edições da área de trabalho.
O valor máximo da política é o mais restrito.
Para obter mais informações sobre essa política, consulte Exchange ActiveSync visão geral do mecanismo de política e artigo de KB.
A lista a seguir mostra os valores com suporte:
- Um inteiro X em que 4 <= X <= 16 para dispositivos cliente. No entanto, as contas locais sempre imporão um comprimento mínimo de senha de 6.
- Não imposta.
- O valor padrão é 4 para dispositivos cliente.
O exemplo a seguir mostra como definir o comprimento mínimo da senha como 4 caracteres.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Essa configuração de segurança determina o período de tempo (em dias) que uma senha deve ser usada antes que o usuário possa alterá-la. Você pode definir um valor entre 1 e 998 dias ou permitir alterações imediatamente definindo o número de dias como 0.
A idade mínima da senha deve ser menor que a idade máxima da senha, a menos que a idade máxima da senha seja definida como 0, indicando que as senhas nunca expirarão. Se a idade máxima da senha for definida como 0, a idade mínima da senha poderá ser definida como qualquer valor entre 0 e 998.
Configure a idade mínima da senha para ser maior que 0 se quiser que o histórico de senhas seja eficaz. Sem uma idade mínima de senha, os usuários podem percorrer senhas repetidamente até chegar a um favorito antigo. A configuração padrão não segue essa recomendação, para que um administrador possa especificar uma senha para um usuário e, em seguida, exigir que o usuário altere a senha definida pelo administrador quando o usuário fizer logon. Se o histórico de senhas estiver definido como 0, o usuário não precisará escolher uma nova senha. Por esse motivo, Impor histórico de senhas é definido como 1 por padrão.
Informações da Política de Grupo:
- Nome amigável da Política de Grupo: Idade mínima da senha
- Caminho da Política de Grupo: Windows Configurações/Segurança Configurações/Políticas de Conta/Política de Senha
DeviceLock/PreventEnablingLockScreenCamera
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Não | Não |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Desabilita o botão de alternância da câmera de tela de bloqueio Configurações computador e impede que uma câmera seja invocada na tela de bloqueio.
Por padrão, os usuários podem habilitar a invocação de uma câmera disponível na tela de bloqueio.
Se você habilitar essa configuração, os usuários não poderão mais habilitar ou desabilitar o acesso à câmera de tela de bloqueio no computador Configurações e a câmera não poderá ser invocada na tela de bloqueio.
Dica
Essa é uma política com suporte admX e requer um formato SyncML especial para habilitar ou desabilitar. Para obter detalhes, consulte Noções básicas sobre políticas com suporte de ADMX.
Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter um exemplo de SyncML, consulte Habilitar uma política.
O conteúdo do SyncML deve ser codificado em XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você poderá usar CDATA se o MDM der suporte a ele. Para obter mais informações, consulte Seções CDATA.
Informações do ADMX:
- Nome amigável da GP: impedir a habilitação da câmera de tela de bloqueio
- Nome da Política de Grupo: CPL_Personalization_NoLockScreenCamera
- Caminho da Política de Grupo: Painel de Controle/Personalização
- Nome do arquivo ADMX da GP: ControlPanelDisplay.admx
DeviceLock/PreventLockScreenSlideShow
| Edição | Windows 10 | Windows 11 |
|---|---|---|
| Home | Sim | Sim |
| Pro | Sim | Sim |
| Windows SE | Não | Sim |
| Negócios | Sim | Sim |
| Enterprise | Sim | Sim |
| Educação | Sim | Sim |
- Dispositivo
Desabilita as configurações de apresentação de slides da tela de bloqueio no computador Configurações e impede que uma apresentação de slides seja reproduzida na tela de bloqueio.
Por padrão, os usuários podem habilitar uma apresentação de slides que será executada depois de bloquear o computador.
Se você habilitar essa configuração, os usuários não poderão mais modificar as configurações da apresentação de slides no computador Configurações e nenhuma apresentação de slides será iniciada.
Dica
Essa é uma política com suporte admX e requer um formato SyncML especial para habilitar ou desabilitar. Para obter detalhes, consulte Noções básicas sobre políticas com suporte de ADMX.
Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter um exemplo de SyncML, consulte Habilitar uma política.
O conteúdo do SyncML deve ser codificado em XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você poderá usar CDATA se o MDM der suporte a ele. Para obter mais informações, consulte Seções CDATA.
Informações do ADMX:
- Nome amigável da POLÍTICA de Grupo: Impedir a habilitação da apresentação de slides da tela de bloqueio
- Nome da Política de Grupo: CPL_Personalization_NoLockScreenSlideshow
- Caminho da Política de Grupo: Painel de Controle/Personalização
- Nome do arquivo ADMX da GP: ControlPanelDisplay.admx
Tópicos relacionados
Comentários
Submeter e ver comentários