PassportForWork CSP
重要
此 CSP 包含一些正在開發且僅適用于 Windows Insider Preview 組建 的設定。 這些設定可能會變更,而且可能相依于預覽中的其他功能或服務。
PassportForWork 設定服務提供者可用來布建 Windows Hello 企業版 (先前的 Microsoft Passport for Work) 。 它可讓您使用 Active Directory 或 Microsoft Entra 帳戶登入 Windows,並取代密碼、智慧卡和虛擬智慧卡。
重要
從 Windows 10 開始,版本 1607 所有裝置只有一個與 Windows Hello 企業版 相關聯的 PIN。 這表示裝置上的任何 PIN,皆必須遵循 PassportForWork CSP 中指定的原則所規範。 指定值的優先順序,高於透過 Exchange ActiveSync (EAS) 或 DeviceLock CSP 設定的所有複雜規則集。
下列清單顯示 PassportForWork 設定服務提供者節點:
- ./Device/Vendor/MSFT/PassportForWork
- {TenantId}
- 原則
- DisablePostLogonCredentialCaching
- DisablePostLogonProvisioning
- EnablePinRecovery
- EnableWindowsHelloProvisioningForSecurityKeys
- ExcludeSecurityDevices
- PINComplexity
- 遠端
- RequireSecurityDevice
- UseCertificateForOnPremAuth
- UseCloudTrustForOnPremAuth
- UseHelloCertificatesAsSmartCardCertificates
- UsePassportForWork
- 原則
- 生物識別技術
- DeviceUnlock
- DynamicLock
- SecurityKey
- UseBiometrics
- {TenantId}
- ./User/Vendor/MSFT/PassportForWork
Device/{TenantId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}
此原則會以全域唯一標識碼 (GUID 格式指定租使用者標識碼,) 不含大括弧 { },這會作為布建和管理 Windows Hello 企業版 一部分。
若要取得 GUID,請使用 PowerShell Cmdlet Get-AzureAccount。 如需詳細資訊,請參閱在 Windows PowerShell 中取得 Windows Azure Active Directory 租使用者識別碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
| 動態節點命名 | UniqueName:GUID) (全域唯一標識符, ( { , } ) 沒有大括弧,用於布建和管理 Windows Hello 企業版。 若要取得 GUID,請使用 PowerShell Cmdlet Get-AzureAccount。 如需詳細資訊,請參閱 https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell。 |
Device/{TenantId}/Policies
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies
原則的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
Device/{TenantId}/Policies/DisablePostLogonCredentialCaching
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonCredentialCaching
登入后停用 Windows Hello 企業版 認證的快取。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已啟用認證快取。 |
| true | 認證快取已停用。 |
Device/{TenantId}/Policies/DisablePostLogonProvisioning
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning
請勿在登入后開始 Windows Hello 布建。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已啟用布建。 |
| true | 布建已停用。 |
Device/{TenantId}/Policies/EnablePinRecovery
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
如果用戶忘記 PIN,可以使用 Windows Hello 企業版 PIN 復原服務將其變更為新的 PIN。 此雲端服務會加密儲存在本機用戶端上的復原密碼,但只能由雲端服務解密。
如果啟用此原則設定,PIN 修復秘密將會儲存在裝置上,而且使用者將能夠變更為新的 PIN 碼,以防忘記 PIN 碼。
如果您停用或未設定此原則設定,則不會建立或儲存 PIN 修復秘密。 如果忘記使用者的 PIN 碼,取得新 PIN 的唯一方法是刪除現有的 PIN,並建立新的 PIN 碼,這會要求使用者向舊 PIN 所提供存取的任何服務重新註冊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
如果使用者使用 FIDO2 安全性金鑰登入其裝置,請啟用 Windows Hello 布建。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/ExcludeSecurityDevices
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices
排除安全性裝置的根節點。
注意
Windows 全像攝影版和 Windows Holographic for Business 不支援。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
某些信賴平臺模組 (TPM) 只符合信賴運算群組 (TCG) 所定義的舊版 TPM 規格 1.2 修訂。
如果啟用此原則設定,則不允許 TPM 修訂 1.2 模組與 Windows Hello 企業版 搭配使用。
如果您停用或未設定此原則設定,TPM 修訂 1.2 模組將可與 Windows Hello 企業版 搭配使用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/PINComplexity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
PIN 原則的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
Device/{TenantId}/Policies/PINComplexity/Digits
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
使用此原則設定來設定在 Windows Hello 企業版 PIN 中使用數位。
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個數位。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 會防止使用者在其 PIN 中使用數位。
如果您未設定此原則設定,Windows Hello 企業版 要求使用者在其 PIN 中使用數位。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用數位。 |
| 1 | 需要在 PIN 中使用至少一個數位。 |
| 2 | 不允許在 PIN 中使用數位。 |
Device/{TenantId}/Policies/PINComplexity/Expiration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
此原則會指定 PIN 在) 天數內 (到期的時間。 有效值包含 0 到 730。 如果此原則設定為 0,則 PIN 不會過期。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-730] |
| 預設值 | 0 |
Device/{TenantId}/Policies/PINComplexity/History
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
此原則會指定過去可儲存在無法使用之歷程記錄中的 PIN 數目。 有效值包含 0 到 50。 如果此原則設定為 0,則不需要儲存先前的 PIN。 PIN 歷程記錄不會透過 PIN 重設來保留。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-50] |
| 預設值 | 0 |
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
使用此原則設定可設定在 Windows Hello 企業版 PIN 中使用小寫字母。
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個小寫字母。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 防止使用者在其 PIN 中使用小寫字母。
如果您未設定此原則設定,Windows Hello 企業版 不允許使用者在其 PIN 中使用小寫字母。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用小寫字母。 |
| 1 | 需要在 PIN 中使用至少一個小寫字母。 |
| 2 | 不允許在 PIN 中使用小寫字母。 |
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
PIN 長度上限會設定 PIN 允許的字元數上限。 您可以為此原則設定設定的最大數目是 127。 您可以設定的最低數字必須大於 [最小 PIN 長度] 原則設定或數位 4 中設定的數位,以大於者為準。
如果您設定此原則設定,PIN 長度必須小於或等於此數位。
如果您未設定此原則設定,PIN 長度必須小於或等於 127。
注意
如果不符合上述指定的 PIN 長度上限條件,預設值將用於最大和最小 PIN 長度。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [4-127] |
| 預設值 | 127 |
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
PIN 長度下限會設定 PIN 所需的字元數下限。 您可以為此原則設定的最低數位為 4。 您可以設定的最大數字必須小於 [PIN 長度上限] 原則設定或數位 127 中設定的數位,以最低者為準。
如果您設定此原則設定,PIN 長度必須大於或等於此數位。
如果您未設定此原則設定,PIN 長度必須大於或等於 4。
注意
如果不符合上述指定的最小 PIN 長度條件,預設值將用於最大和最小 PIN 長度。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [4-127] |
| 預設值 | 4 |
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
使用此原則設定來設定在 Windows Hello 企業版 PIN 手勢中使用特殊字元。 #D7C522E9F752B4C86B931784099CB2A59 PIN 手勢的有效特殊字元包括: ! “ # $ % & ' ( ) * + , - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個特殊字元。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 會防止使用者在其 PIN 中使用特殊字元。
如果您未設定此原則設定,Windows Hello 企業版 不允許使用者在其 PIN 中使用特殊字元。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用特殊字元。 |
| 1 | 需要在 PIN 中使用至少一個特殊字元。 |
| 2 | 不允許在 PIN 中使用特殊字元。 |
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
使用此原則設定可設定在 Windows Hello 企業版 PIN 中使用大寫字母。
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個大寫字母。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 會防止使用者在其 PIN 中使用大寫字母。
如果您未設定此原則設定,Windows Hello 企業版 不允許使用者在其 PIN 中使用大寫字母。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用大寫字母。 |
| 1 | 需要在 PIN 中使用至少一個大寫字母。 |
| 2 | 不允許在 PIN 中使用大寫字母。 |
Device/{TenantId}/Policies/Remote
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote
手機登入原則的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
Device/{TenantId}/Policies/Remote/UseRemotePassport
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport
布爾值,指定手機登入是否可以與裝置搭配使用。 手機登入可讓已註冊的可攜式裝置作為桌面驗證的隨附裝置使用。
默認值為 false。
如果啟用此設定,桌面裝置將允許已註冊的隨附裝置做為驗證因素。
如果您停用此設定,就無法在桌面驗證案例中使用隨附裝置。
注意
在 2019 年 5 月更新) 1903 (版之前 Windows 10,Windows 全像攝影版和 Windows Holographic for Business 版不支援。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/RequireSecurityDevice
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
信賴平臺模組 (TPM) 提供軟體額外的安全性優點,因為儲存在其中的數據無法在其他裝置上使用。
如果啟用此原則設定,則只有具有可用 TPM 布建的裝置 Windows Hello 企業版。
如果您停用或未設定此原則設定,仍會偏好使用 TPM,但如果 TPM 無法運作或無法使用,則所有裝置都會布建 Windows Hello 企業版 使用軟體。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/UseCertificateForOnPremAuth
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
Windows Hello 企業版 可以使用憑證向內部部署資源進行驗證。
如果您啟用此原則設定,Windows Hello 企業版 會等到裝置從行動裝置管理伺服器收到憑證承載,再布建 PIN。
如果您停用或未設定此原則設定,則會在使用者登入時布建 PIN,而不會等待憑證承載。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 21H2 [10.0.19044.1566] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000.527] 和更新版本 ✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
布爾值,可讓 Windows Hello 企業版 使用 Microsoft Entra Kerberos 向內部部署資源進行驗證。
如果您啟用此原則設定,Windows Hello 企業版 會使用 Microsoft Entra Kerberos 票證向內部部署資源進行驗證。 如果已針對租使用者和網域啟用 Microsoft Entra Kerberos,則在成功驗證之後,會將 Microsoft Entra Kerberos 票證傳回給用戶端以 Microsoft Entra ID。
如果您停用或未設定此原則設定,Windows Hello 企業版 會使用密鑰或憑證向內部部署資源進行驗證。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
如果您啟用此原則設定,應用程式會使用 Windows Hello 企業版 憑證作為智慧卡憑證。 當要求使用者授權使用憑證的私鑰時,無法使用生物特徵辨識因素。 此原則設定的設計目的是要允許與完全依賴智慧卡憑證的應用程式相容。
如果停用或未設定此原則設定,則應用程式不會使用 Windows Hello 企業版 憑證作為智慧卡憑證,而當使用者要求授權使用憑證的私鑰時,就會提供生物特徵辨識因數。
如果使用者目前已登入,Windows 會要求使用者在變更此設定之後鎖定並解除鎖定其會話。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/{TenantId}/Policies/UsePassportForWork
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello 企業版 是使用 Active Directory 或 Microsoft Entra 帳戶登入 Windows 的替代方法,可以取代密碼、智慧卡和虛擬智慧卡。
如果您啟用或未設定此原則設定,裝置會為所有使用者布建 Windows Hello 企業版。
如果您停用此原則設定,裝置不會為任何使用者布建 Windows Hello 企業版。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | True |
允許的值:
| 值 | 描述 |
|---|---|
| false | 已停用。 |
| true (預設) | 啟用。 |
裝置/生物特徵辨識
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics
生物特徵辨識原則的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Device/Biometrics/EnableESSwithSupportedPeripherals
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
增強的登入安全性 (ESS) 將生物特徵辨識範本數據和比對作業隔離到受信任的硬體或指定的記憶體區域,這表示操作系統的其餘部分無法存取或竄改它們。 由於感測器與演算法之間的通道也受到保護,因此惡意代碼不可能插入或重新執行數據,以模擬使用者登入或將使用者鎖定在其電腦外。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | ESS 將會在具有支援軟體和硬體的系統上啟用,遵循 Windows 中現有的預設行為。 周邊 Windows Hello 裝置的驗證作業將受限於目前的功能限制。 此外,透過此設定,ESS 將會在混合生物特徵辨識裝置的裝置上啟用,例如支援 ESS 的 FPR 和不具 ESS 功能的相機。 不建議 () 。 |
| 1 (預設) | ESS 將會在具有支援軟體和硬體的系統上啟用,遵循 Windows 中現有的預設行為。 任何周邊生物特徵辨識裝置的驗證作業都會遭到封鎖,且無法供 Windows Hello 使用。 (預設值,並建議使用最高安全性) 。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 使用支持的周邊啟用 ESS |
| 路徑 | Passport > AT > WindowsComponents > MSPassportForWorkCategory |
Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
此設定會決定是否需要增強的反詐騙功能,才能 Windows Hello 臉部驗證。
如果啟用此設定,Windows 會要求受管理裝置上的所有使用者使用增強型反詐騙來 Windows Hello 臉部驗證。 這會在不支持增強型反詐騙的裝置上停用 Windows Hello 臉部驗證。
如果您停用或未設定此設定,Windows 就不需要增強的防詐騙功能,Windows Hello 臉部驗證。
請注意,非受控裝置上不需要增強 Windows Hello 臉部驗證的反詐騙功能。
注意
在 2019 年 5 月更新) Windows 10 1903 (版之前,Windows 全像攝影版和 Windows Holographic for Business 不支援。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
裝置/生物特徵辨識/UseBiometrics
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
Windows Hello 企業版 可讓使用者使用生物特徵辨識手勢,例如臉部和指紋,作為 PIN 手勢的替代方案。 不過,使用者仍然必須設定 PIN 以在發生失敗時使用。
如果您啟用或未設定此原則設定,Windows Hello 企業版 允許使用生物特徵辨識手勢。
如果您停用此原則設定,Windows Hello 企業版 會防止使用生物特徵辨識手勢。
注意
停用此原則可防止在裝置上針對所有帳戶類型使用生物特徵辨識手勢。
注意
在 2019 年 5 月更新) Windows 10 1903 (版之前,Windows 全像攝影版和 Windows Holographic for Business 不支援。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/DeviceUnlock
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock
裝置解除鎖定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Device/DeviceUnlock/GroupA
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
包含 GUID 的提供者清單,這些提供者將在驗證的第一個步驟中加以考慮。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 正規表示式: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/GroupB
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
包含 GUID 所要考慮進行第二個驗證步驟的提供者清單。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 正規表示式: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/Plugins
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
被動提供者監視以偵測使用者存在的外掛程式清單。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Device/DynamicLock
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DynamicLock
動態鎖定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Device/DynamicLock/DynamicLock
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
啟用/停用動態鎖定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
Device/DynamicLock/Plugins
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins
被動提供者監視以偵測使用者缺少的外掛程式清單。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
Device/SecurityKey
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/SecurityKey
安全性金鑰。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | [取得] |
Device/SecurityKey/UseSecurityKeyForSignin
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
使用安全性金鑰進行登入。 0 已停用。 1 已啟用。 如果您未設定此原則設定,則會停用預設值。
可讓使用者使用與 Microsoft 實作相容的 FIDO2 安全性密鑰 來登入其裝置。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
Device/UseBiometrics
注意
此原則已被取代,並可能在未來的版本中移除。
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./Device/Vendor/MSFT/PassportForWork/UseBiometrics
此節點已被取代,將在未來的版本中移除。 請改用生物特徵辨識/UseBiometrics NODE。
Windows Hello 企業版 可讓使用者使用生物特徵辨識手勢,例如臉部和指紋,作為 PIN 手勢的替代方案。 不過,使用者仍然必須設定 PIN 以在發生失敗時使用。
如果您啟用或未設定此原則設定,Windows Hello 企業版 允許使用生物特徵辨識手勢。
如果您停用此原則設定,Windows Hello 企業版 會防止使用生物特徵辨識手勢。
注意
停用此原則可防止在裝置上針對所有帳戶類型使用生物特徵辨識手勢。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
User/{TenantId}
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}
此原則會指定不含大括弧{ }的全域唯一標識符 (GUID) 格式的租使用者標識符,這會作為布建和管理 Windows Hello 企業版 一部分。
若要取得 GUID,請使用 PowerShell Cmdlet Get-AzureAccount。 如需詳細資訊,請參閱在 Windows PowerShell 中取得 Windows Azure Active Directory 租使用者識別碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
| 動態節點命名 | UniqueName:GUID) (全域唯一標識符,不含大括弧 ( { , } ) ,用來作為布建和管理 Windows Hello 企業版 一部分。 若要取得 GUID,請使用 PowerShell Cmdlet Get-AzureAccount。 如需詳細資訊,請參閱 https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell。 |
User/{TenantId}/Policies
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies
原則的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
User/{TenantId}/Policies/EnablePinRecovery
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
如果用戶忘記 PIN 碼,則可以使用 Windows Hello 企業版 PIN 復原服務將其變更為新的 PIN。 此雲端服務會加密儲存在本機用戶端上的復原密碼,但只能由雲端服務解密。
如果啟用此原則設定,PIN 修復秘密將會儲存在裝置上,而且使用者將能夠變更為新的 PIN 碼,以防忘記 PIN 碼。
如果您停用或未設定此原則設定,則不會建立或儲存 PIN 修復秘密。 如果忘記使用者的 PIN 碼,取得新 PIN 的唯一方法是刪除現有的 PIN,並建立新的 PIN 碼,這會要求使用者向舊 PIN 所提供存取的任何服務重新註冊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
User/{TenantId}/Policies/PINComplexity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
PIN 原則的根節點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | node |
| 存取類型 | 新增、刪除、取得 |
User/{TenantId}/Policies/PINComplexity/Digits
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
使用此原則設定來設定在 Windows Hello 企業版 PIN 中使用數位。
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個數位。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 會防止使用者在其 PIN 中使用數位。
如果您未設定此原則設定,Windows Hello 企業版 需要使用者在其 PIN 中使用數位。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用數位。 |
| 1 | 需要在 PIN 中使用至少一個數位。 |
| 2 | 不允許在 PIN 中使用數位。 |
User/{TenantId}/Policies/PINComplexity/Expiration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
此原則會指定 PIN 在) 天數內 (到期的時間。 有效值包含 0 到 730。 如果此原則設定為 0,則 PIN 不會過期。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-730] |
| 預設值 | 0 |
User/{TenantId}/Policies/PINComplexity/History
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
此原則會指定過去可儲存在無法使用之歷程記錄中的 PIN 數目。 有效值包含 0 到 50。 如果此原則設定為 0,則不需要儲存先前的 PIN。 PIN 歷程記錄不會透過 PIN 重設來保留。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-50] |
| 預設值 | 0 |
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
使用此原則設定可設定在 Windows Hello 企業版 PIN 中使用小寫字母。
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個小寫字母。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 防止使用者在其 PIN 中使用小寫字母。
如果您未設定此原則設定,Windows Hello 企業版 不允許使用者在其 PIN 中使用小寫字母。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用小寫字母。 |
| 1 | 需要在 PIN 中使用至少一個小寫字母。 |
| 2 | 不允許在 PIN 中使用小寫字母。 |
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
PIN 長度上限會設定 PIN 允許的字元數上限。 您可以為此原則設定設定的最大數目是 127。 您可以設定的最低數字必須大於 [最小 PIN 長度] 原則設定或數位 4 中設定的數位,以大於者為準。
如果您設定此原則設定,PIN 長度必須小於或等於此數位。
如果您未設定此原則設定,PIN 長度必須小於或等於 127。
注意
如果不符合上述指定的 PIN 長度上限條件,預設值將用於最大和最小 PIN 長度。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [4-127] |
| 預設值 | 127 |
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
PIN 長度下限會設定 PIN 所需的字元數下限。 您可以為此原則設定的最低數位為 4。 您可以設定的最大數字必須小於 [PIN 長度上限] 原則設定或數位 127 中設定的數位,以最低者為準。
如果您設定此原則設定,PIN 長度必須大於或等於此數位。
如果您未設定此原則設定,PIN 長度必須大於或等於 4。
注意
如果不符合上述指定的最小 PIN 長度條件,預設值將用於最大和最小 PIN 長度。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [4-127] |
| 預設值 | 4 |
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
使用此原則設定來設定在 Windows Hello 企業版 PIN 手勢中使用特殊字元。 #D5817902BCEE140F88286FA2EF5ECB314 PIN 手勢的有效特殊字元包括: ! “ # $ % & ' ( ) * + , - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個特殊字元。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 會防止使用者在其 PIN 中使用特殊字元。
如果您未設定此原則設定,Windows Hello 企業版 不允許使用者在其 PIN 中使用特殊字元。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用特殊字元。 |
| 1 | 需要在 PIN 中使用至少一個特殊字元。 |
| 2 | 不允許在 PIN 中使用特殊字元。 |
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
使用此原則設定來設定在 Windows Hello 企業版 PIN 中使用大寫字母。
值為 1 會對應至 「Required」。 如果您將此原則設定為 1,Windows Hello 企業版 要求使用者在其 PIN 中至少包含一個大寫字母。
值 2 對應至 「Disallow」。 如果您將此原則設定為 2,Windows Hello 企業版 防止使用者在其 PIN 中使用大寫字母。
如果您未設定此原則設定,Windows Hello 企業版 不允許使用者在其 PIN 中使用大寫字母。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許在 PIN 中使用大寫字母。 |
| 1 | 需要在 PIN 中使用至少一個大寫字母。 |
| 2 | 不允許在 PIN 中使用大寫字母。 |
User/{TenantId}/Policies/RequireSecurityDevice
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
信賴平臺模組 (TPM) 提供軟體額外的安全性優點,因為儲存在其中的數據無法在其他裝置上使用。
如果啟用此原則設定,則只有具有可用 TPM 布建的裝置 Windows Hello 企業版。
如果您停用或未設定此原則設定,仍然偏好使用 TPM,但如果 TPM 無法運作或無法使用,則所有裝置都會布建 Windows Hello 企業版 使用軟體。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | False |
允許的值:
| 值 | 描述 |
|---|---|
| false (預設) | 已停用。 |
| true | 啟用。 |
User/{TenantId}/Policies/UsePassportForWork
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1511 [10.0.10586] 和更新版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello 企業版 是使用 Active Directory 或 Microsoft Entra 帳戶登入 Windows 的替代方法,可取代密碼、智慧卡和虛擬智慧卡。
如果您啟用或未設定此原則設定,裝置會為所有使用者布建 Windows Hello 企業版。
如果您停用此原則設定,裝置不會為任何使用者布建 Windows Hello 企業版。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | bool |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | True |
允許的值:
| 值 | 描述 |
|---|---|
| false | 已停用。 |
| true (預設) | 啟用。 |
範例
以下是設定 Windows Hello 企業版 和設定 PIN 原則的範例。 它也會開啟生物特徵辨識和 TPM 的使用。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
</LocURI>
</Target>
</Item>
</Add>
<Add>
<CmdID>3</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>4</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>5</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdID>6</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>16</Data>
</Item>
</Add>
<Add>
<CmdID>7</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Add>
<CmdID>8</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>9</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdID>10</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>11</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdID>12</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>70</Data>
</Item>
</Add>
<Add>
<CmdID>13</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>14</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>15</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>16</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應