PassportForWork CSP

下表顯示Windows的適用性:

版本 Windows 10 Windows 11
Home
專業版
商務
企業
教育版

PassportForWork 設定服務提供者可用來布建Windows Hello 企業版 (先前的 Microsoft Passport for Work) 。 它可讓您使用 Active Directory 或Azure Active Directory帳戶登入Windows,並取代密碼、智慧卡和虛擬智慧卡。

重要

從Windows 10開始,版本 1607 所有裝置都只有一個與Windows Hello 企業版相關聯的 PIN。 這表示裝置上的任何 PIN,皆必須遵循 PassportForWork CSP 中指定的原則所規範。 指定值的優先順序,高於透過 Exchange ActiveSync (EAS) 或 DeviceLock CSP 設定的所有複雜規則集。

使用者組態圖

下列範例顯示樹狀結構格式的 PassportForWork 設定服務提供者。

./User/Vendor/MSFT
PassportForWork
-------TenantId
----------Policies
-------------UsePassportForWork
-------------RequireSecurityDevice
-------------EnablePinRecovery
-------------PINComplexity
----------------MinimumPINLength
----------------MaximumPINLength
----------------UppercaseLetters
----------------LowercaseLetters
----------------SpecialCharecters
----------------Digits
----------------History
----------------Expiration

裝置組態圖

下列範例顯示樹狀結構格式的 PassportForWork 設定服務提供者。

./Device/Vendor/MSFT
PassportForWork
-------TenantId
----------Policies
-------------UsePassportForWork
-------------RequireSecurityDevice
-------------ExcludeSecurityDevices
----------------TPM12
-------------EnablePinRecovery
-------------UserCertificateForOnPremAuth
-------------PINComplexity
----------------MinimumPINLength
----------------MaximumPINLength
----------------UppercaseLetters
----------------LowercaseLetters
----------------SpecialCharacters
----------------Digits
----------------History
----------------Expiration
-------------Remote
----------------UseRemotePassport
-------------UseHelloCertificatesAsSmartCardCertificates
-------UseBiometrics
-------Biometrics
----------UseBiometrics
----------FacialFeatureUse
-------DeviceUnlock
----------GroupA
----------GroupB
----------Plugins
-------DynamicLock
----------DynamicLock
----------Plugins
-------SecurityKey
----------UseSecurityKeyForSignin

PassportForWork
PassportForWork 設定服務提供者的根節點。

TenantId
GUID) (全域唯一識別碼,不含大括弧 ({}) ,用於Windows Hello 企業版布建和管理。 若要取得 GUID,請使用 PowerShell Cmdlet Get-AzureAccount。 如需詳細資訊,請參閱在 Windows PowerShell 中取得Windows Azure Active Directory租使用者識別碼

TenantId/Policies
用於定義Windows Hello 企業版原則設定的節點。

TenantId/Policies/UsePassportForWork
布林值,會將Windows Hello 企業版設定為登入Windows的方法。

預設值為 true。 如果您將此原則設定為 false,使用者就無法布建Windows Hello 企業版。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/RequireSecurityDevice
需要信賴平臺模組 (TPM) Windows Hello 企業版的布林值。 TPM 提供軟體的額外安全性優點,讓儲存在其中的資料無法在其他裝置上使用。

預設值為 false。 如果您將此原則設定為 true,則只有具有可用 TPM 的裝置才能布建Windows Hello 企業版。 如果您將此原則設定為 false,則即使沒有可用的 TPM,所有裝置都可以使用軟體布建Windows Hello 企業版。 如果您未設定此設定,如果 TPM 無法運作或無法使用,則所有裝置都可以使用軟體布建Windows Hello 企業版。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/ExcludeSecurityDevices 僅 (適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1703) 中的新功能。 排除安全性裝置的根節點。 Windows全像攝影和Windows Holographic for Business上不支援。

TenantId/Policies/ExcludeSecurityDevices/TPM12 僅適用于 ./Device/Vendor/MSFT ()
Windows 10 (版本 1703) 中的新功能。 某些信賴平臺模組 (TPM) 僅符合受信任運算群組 (TCG) 所定義的舊版 TPM 規格 1.2 修訂。

預設值為 false。 如果啟用此原則設定,將不允許 TPM 修訂 1.2 模組與Windows Hello 企業版搭配使用。

如果停用或未設定此原則設定,TPM 修訂 1.2 模組將會與Windows Hello 企業版搭配使用。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/EnablePinRecovery
Windows 10 (版本 1703) 中的新功能。 布林值,可讓使用者使用Windows Hello 企業版 PIN 復原服務來變更其 PIN 碼。 此雲端服務會加密儲存在本機用戶端上的復原密碼,而且只能由雲端服務解密。

預設值為 false。 如果啟用此原則設定,PIN 修復秘密會儲存在裝置上,而且使用者可以視需要變更其 PIN 碼。

如果您停用或未設定此原則設定,則不會建立或儲存 PIN 修復秘密。 如果忘記使用者的 PIN 碼,取得新 PIN 的唯一方法是刪除現有的 PIN,並建立新的 PIN 碼,這會要求使用者向舊 PIN 所提供存取的任何服務重新註冊。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/UseCertificateForOnPremAuth (僅適用于 ./Device/Vendor/MSFT)
布林值,可讓Windows Hello 企業版使用憑證來驗證內部部署資源。

如果您啟用此原則設定,Windows Hello 企業版會等到裝置從行動裝置管理伺服器收到憑證承載,再布建 PIN。

如果您停用或未設定此原則設定,則會在使用者登入時布建 PIN,而不會等待憑證承載。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity
定義 PIN 設定的節點。

TenantId/Policies/PINComplexity/MinimumPINLength
設定 PIN 所需字元數下限的整數值。 預設值為 4。 您可以為此原則設定的最低數位為 4。 您可以設定的最大數位必須小於 [PIN 長度上限] 原則設定或數位 127 中設定的數位,以最低者為准。

如果您設定此原則設定,PIN 長度必須大於或等於此數位。 如果停用或未設定此原則設定,PIN 長度必須大於或等於 4。

注意

如果不符合上述針對最小 PIN 長度指定的條件,預設值將用於最大和最小 PIN 長度。

實數值型別為 int。支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/MaximumPINLength
設定 PIN 允許之字元數上限的整數值。 預設值為 127。 您可以為此原則設定設定的最大數目是 127。 您可以設定的最低數位必須大於 [最小 PIN 長度] 原則設定或數位 4 中設定的數位,以大於者為准。

如果您設定此原則設定,PIN 長度必須小於或等於此數位。 如果停用或未設定此原則設定,PIN 長度必須小於或等於 127。

注意

如果不符合上述針對 PIN 長度上限所指定的條件,預設值將用於最大和最小 PIN 長度。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/UppercaseLetters
設定在Windows Hello 企業版 PIN 中使用大寫字母的整數值。

有效值:

  • 0 - 允許在 PIN 中使用大寫字母。
  • 1 - 需要在 PIN 中使用至少一個大寫字母。
  • 2 - 不允許在 PIN 中使用大寫字母。

預設值為 2。 預設 PIN 複雜度行為是需要數位,而且不允許所有其他字元集。 如果允許所有字元集,但未明確要求任何字元集,則會套用預設 PIN 複雜度行為。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/LowercaseLetters
設定在Windows Hello 企業版 PIN 中使用小寫字母的整數值。

有效值:

  • 0 - 允許在 PIN 中使用小寫字母。
  • 1 - 需要在 PIN 中使用至少一個小寫字母。
  • 2 - 不允許在 PIN 中使用小寫字母。

預設值為 2。 預設 PIN 複雜度行為是需要數位,而且不允許所有其他字元集。 如果允許所有字元集,但未明確要求任何字元集,則會套用預設 PIN 複雜度行為。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/SpecialCharacters
設定在Windows Hello 企業版 PIN 中使用特殊字元的整數值。 WINDOWS HELLO 企業版 PIN 手勢的有效特殊字元包括: ! 「 # $ % & ' ( ) * + , - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

有效值:

  • 0 - 允許在 PIN 中使用特殊字元。
  • 1 - 需要在 PIN 中使用至少一個特殊字元。
  • 2 - 不允許在 PIN 中使用特殊字元。

預設值為 2。 預設 PIN 複雜度行為是需要數位,而且不允許所有其他字元集。 如果允許所有字元集,但未明確要求任何字元集,則會套用預設 PIN 複雜度行為。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/Digits
設定在Windows Hello 企業版 PIN 中使用數位的整數值。

有效值:

  • 0 - 允許在 PIN 中使用數位。
  • 1 - 需要在 PIN 中使用至少一個數位。
  • 2 - 不允許在 PIN 中使用數位。

預設值為 1。 預設 PIN 複雜度行為是需要數位,而且不允許所有其他字元集。 如果允許所有字元集,但未明確要求任何字元集,則會套用預設 PIN 複雜度行為。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/History
整數值,指定可以與無法重複使用的使用者帳戶相關聯的之前 PIN 數目。 您可以為此原則設定設定的最大數字為 50。 您可以為此原則設定設定的最小數字為 0。 如果此原則設定為 0,則不需要儲存先前的 PIN。 此節點已在 Windows 10 1511 版中新增。

使用者目前的 PIN 會包含在與使用者帳戶相關聯的 PIN 集合中。 PIN 歷程記錄不會透過 PIN 重設來保留。

預設值為 0。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/PINComplexity/Expiration
整數值會指定系統要求使用者變更之前可以使用 PIN 的時間 (天數)。 您可以為此原則設定設定的最大數字為 730。 您可以為此原則設定設定的最小數字為 0。 如果此原則設定為 0,則使用者的 PIN 將永遠不會到期。 此節點已在 Windows 10 1511 版中新增。

預設值為 0。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

TenantId/Policies/Remote (僅適用于 ./Device/Vendor/MSFT)
用於定義遠端Windows Hello 企業版原則的內部節點。 此節點已在 Windows 10 1511 版中新增。 Windows全像攝影和Windows Holographic for Business上不支援。

TenantId/Policies/Remote/UseRemotePassport (僅適用于 ./Device/Vendor/MSFT)
布林值,用來啟用或停用遠端Windows Hello 企業版。 遠端Windows Hello 企業版可讓可攜式、已註冊的裝置作為桌面驗證的隨附裝置使用。 遠端Windows Hello 企業版要求桌面已加入 Azure AD,且隨附裝置具有Windows Hello 企業版 PIN。 此節點已在 Windows 10 1511 版中新增。

預設值為 false。 如果您將此原則設定為 true,則會啟用遠端Windows Hello 企業版,且可攜式、已註冊的裝置可做為桌面驗證的隨附裝置。 如果您將此原則設定為 false,則會停用遠端Windows Hello 企業版。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

Windows 2019 年 5 月更新) (1903 版之前的 Windows 10全像攝影版和Windows Holographic for Business版不支援。

TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates (僅適用于 ./Device/Vendor/MSFT)
已在 Windows 10 版本 1809 中新增。 如果您啟用此原則設定,應用程式會使用Windows Hello 企業版憑證作為智慧卡憑證。 當要求使用者授權使用憑證的私密金鑰時,無法使用生物特徵辨識因素。 此原則設定的設計目的是要允許與完全依賴智慧卡憑證的應用程式相容。

如果停用或未設定此原則設定,則應用程式不會使用Windows Hello 企業版憑證作為智慧卡憑證,而當使用者被要求授權使用憑證的私密金鑰時,就會提供生物特徵辨識因素。

如果使用者目前已登入,Windows使用者在變更此設定之後,必須鎖定並解除鎖定其會話。

實數值型別為 bool。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

UseBiometrics
此節點已被取代。 請改用 生物特徵辨識/UseBiometrics 節點

生物識別 (僅適用于 ./Device/Vendor/MSFT)
用於定義生物特徵辨識設定的節點。 此節點已在 Windows 10 1511 版中新增。 Windows全像攝影和Windows Holographic for Business上不支援。

生物特徵辨識/UseBiometrics (僅適用于 ./Device/Vendor/MSFT)
布林值,用來啟用或停用生物特徵辨識手勢,例如臉部和指紋,作為Windows Hello 企業版 PIN 手勢的替代方式。 如果使用者設定在發生失敗時要使用的生物特徵辨識手勢,則仍必須設定 PIN。 此節點已在 Windows 10 1511 版中新增。

預設值為 true,可讓生物特徵辨識手勢與Windows Hello 企業版搭配使用。 如果您將此原則設定為 false,則會停用生物特徵辨識手勢以與Windows Hello 企業版搭配使用。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

Windows 2019 年 5 月更新) (1903 版之前的 Windows 10全像攝影版和Windows Holographic for Business版不支援。

Biometrics/FacialFeaturesUseEnhancedAntiSpoofing (僅適用于 ./Device/Vendor/MSFT)
布林值,用來啟用或停用臉部特徵辨識的增強型反詐騙Windows Hello臉部驗證。 此節點已在 Windows 10 1511 版中新增。

預設值為 false。 如果您將此原則設定為 false 或未設定此設定,Windows不需要增強的Windows Hello臉部驗證反詐騙功能。

如果您將此原則設定為 true,Windows會要求受管理裝置上的所有使用者使用增強型反詐騙來Windows Hello臉部驗證。 Windows Hello不支援增強型反詐騙的裝置上停用臉部驗證。

非受控裝置上不需要增強Windows Hello臉部驗證的反詐騙功能。

支援的作業包括 [新增]、[取得]、[刪除] 和 [取代]。

Windows 2019 年 5 月更新) (1903 版之前的 Windows 10全像攝影版和Windows Holographic for Business版不支援。

DeviceUnlock (僅適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1803) 中的新功能。 內部節點。

DeviceUnlock/GroupA 僅 (適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1803) 中的新功能。 包含依 GUID (逗號分隔) 的認證提供者清單,這是驗證的第一個步驟。

值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

DeviceUnlock/GroupB 僅 (適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1803) 中的新功能。 包含以 GUID 分隔 (逗號分隔) 的認證提供者清單,這是驗證的第二個步驟。

值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

DeviceUnlock/Plugins (僅適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1803) 中的新功能。 外掛程式清單 (以逗號分隔) 被動提供者監視以偵測使用者是否存在。

值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

DynamicLock (僅適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1803) 中的新功能。 內部節點。

DynamicLock/DynamicLock (僅適用于 ./Device/Vendor/MSFT)
Windows 10 (版本 1803) 中的新功能。 啟用動態鎖定。

實數值型別為 bool。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

僅適用于 ./Device/Vendor/MSFT) 的DynamicLock/外掛程式 (
Windows 10 (版本 1803) 中的新功能。 外掛程式清單 (以逗號分隔) 被動提供者監視以偵測使用者是否缺少。

值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

SecurityKey (僅適用于 ./Device/Vendor/MSFT)
已在 Windows 10 1903 版中新增。 內部節點。

範圍是永久性的。 支援的操作為 [取得]。

SecurityKey/UseSecurityKeyForSignin 僅 (適用于 ./Device/Vendor/MSFT)
已在 Windows 10 1903 版中新增。 可讓使用者使用與 Microsoft 實作相容的 FIDO2 安全性金鑰 來登入其裝置。

範圍是動態的。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

值類型為整數。

有效值:

  • 0 (預設) - 已停用。
  • 1 - 已啟用。

範例

以下是設定Windows Hello 企業版和設定 PIN 原則的範例。 它也會開啟生物特徵辨識和 TPM 的使用。

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
    <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Final/> 
          </SyncBody>
        </SyncML>