策略 CSP - 身份验证
AllowAadPasswordReset
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
指定是否为Microsoft Entra帐户启用密码重置。
此策略允许Microsoft Entra租户管理员在 Windows 登录屏幕上启用自助密码重置功能。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 |
| 1 | 允许。 |
AllowEAPCertSSO
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ❌ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1507 [10.0.10240] 及更高版本 |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
允许对单一登录进行基于 EAP 证书的身份验证 (SSO) 访问内部资源。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 |
| 1 | 允许。 |
AllowFastReconnect
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
允许对 EAP 方法 TLS 尝试 EAP 快速重新连接。 最受限制的值为 0。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 不允许。 |
| 1 (默认) | 允许。 |
AllowSecondaryAuthenticationDevice
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
此策略允许用户使用配套设备(如手机、健身带或 IoT 设备)登录到运行Windows 10的台式计算机。 配套设备通过Windows Hello提供第二个身份验证因素。
如果启用或未配置此策略设置,用户可以使用配套设备对Windows Hello进行身份验证。
如果禁用此策略,则用户无法使用配套设备通过Windows Hello进行身份验证。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不允许。 |
| 1 | 允许。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| 友好名称 | 允许辅助身份验证的配套设备 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > Microsoft 辅助身份验证因素 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| 注册表值名称 | AllowSecondaryAuthenticationDevice |
| ADMX 文件名 | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
指定允许在基于 Web 登录的身份验证方案中访问网络摄像头的域列表。
注意
仅在已加入Microsoft Entra的电脑上支持 Web 登录。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: ;) |
示例:
你的组织联合到“Contoso IDP”,而你的 Web 登录门户需要 signinportal.contoso.com 网络摄像头访问权限。 然后,此策略的值应为:
contoso.com
ConfigureWebSignInAllowedUrls
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134.2145] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
指定在基于 Web 登录的身份验证方案中可导航的 URL 列表。
此策略指定用户可以在某些身份验证方案中访问的域列表。 例如:
- Microsoft Entra ID PIN 重置
- Web 登录 Windows 设备方案,其中身份验证由 Active Directory 联合身份验证服务 (AD FS) 或第三方联合标识提供者处理
注意
联合环境中需要此策略,以缓解 CVE-2021-27092 中所述的漏洞。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: ;) |
示例:
组织的 PIN 重置或 Web 登录身份验证流应导航到以下两个域: accounts.contoso.com 和 signin.contoso.com。 然后,此策略的值应为:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
指定新的非管理员Microsoft Entra帐户是否应自动连接到预先创建的候选本地帐户。
此策略适用于在共享电脑上使用,为用户启用快速首次登录体验。 它的工作原理是自动将新的非管理员Microsoft Entra帐户连接到预配置的候选本地帐户。
重要提示
预配置的候选本地帐户是在设备上预先配置或添加的任何本地帐户。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 此功能默认为现有 SKU 和设备功能。 |
| 1 | 已启用。 将新的非管理员Microsoft Entra帐户自动连接到预配置的候选本地帐户。 |
| 2 | 已禁用。 不要将新的非管理员Microsoft Entra帐户自动连接到预配置的本地帐户。 |
EnablePasswordlessExperience
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 23H2 [10.0.22631.2506] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
指定已加入Microsoft Entra设备上的连接用户是否在 Windows 上获得无密码体验。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 此功能默认为现有版本和设备功能。 |
| 1 | 已启用。 Windows 上将启用无密码体验。 |
| 2 | 已禁用。 不会在 Windows 上启用无密码体验。 |
EnableWebSignIn
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
指定是否允许基于 Web 的登录登录到 Windows。
Web 登录是在 Windows 设备上启用基于 Web 的登录体验的凭据提供程序。 Web 登录最初在 Windows 10 中引入,仅支持临时访问传递 (TAP) ,从 Windows 11 版本 22H2 开始扩展其功能,KB5030310。 有关详细信息,请参阅 Windows 的 Web 登录。
注意
仅在已加入Microsoft Entra的电脑上支持 Web 登录。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 此功能默认为现有 SKU 和设备功能。 |
| 1 | 已启用。 将启用 Web 登录以登录到 Windows。 |
| 2 | 已禁用。 不会为登录 Windows 启用 Web 登录。 |
PreferredAadTenantDomainName
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
指定Microsoft Entra租户中可用域的首选域。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
示例:
组织使用 @contoso.com 租户域名。 然后,此策略的值应为:
contoso.com
对于用户 abby@constoso.com,登录是在用户名字段中使用 abby 而不是 完成的 abby@contoso.com。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈