策略 CSP - 驗證


驗證策略

驗證/AllowAadPasswordReset
驗證/AllowEAPCertSSO
驗證/AllowFastReconnect
驗證/AllowFidoDeviceSignon
驗證/AllowAryAuthenticationDevice
驗證/ConfigureWebSignInAllowedUrls
驗證/EnableFastFirstSignIn
驗證/EnableWebSignIn
驗證/PreferredAadTenantDomainName

驗證/AllowAadPasswordReset

Windows 版本 支援?
首頁 cross mark
專業版 check mark3
商務 check mark3
企業 check mark3
教育 check mark3

範圍

  • 裝置

已新增Windows 10版本 1709。 指定帳戶是否已啟用密碼重Azure Active Directory重設。 此策略可讓 Azure AD 租使用者系統管理員在 Windows 登入畫面上啟用自助密碼重設功能。

下列清單顯示支援的值:

  • 0 (預設) – 不允許。
  • 1 – 已允許。

驗證/AllowEAPCertSSO

Windows 版本 支援?
首頁 cross mark
專業版 check mark
商務 check mark
企業 check mark
教育 check mark

範圍

  • 使用者

允許以 EAP 證書為基礎的驗證,以單一登入 SSO (存取) 內部資源。

下列清單顯示支援的值:

  • 0 - 不允許。
  • 1 (預設值) - 已允許。

驗證/AllowFastReconnect

Windows 版本 支援?
首頁 check mark
專業版 check mark
商務 check mark
企業 check mark
教育 check mark

範圍

  • 裝置

允許針對 EAP 方法 TLS 嘗試 EAP 快速重新連線 (EAP Fast Reconnect)。

限制程度最高的值為 0。

下列清單顯示支援的值:

  • 0 - 不允許。
  • 1 (預設值) - 已允許。

驗證/AllowFidoDeviceSignon

Windows 版本 支援?
首頁 cross mark
專業版 check mark3
商務 check mark3
企業 check mark3
教育 check mark3

範圍

  • 裝置

預覽版本Windows 10版本 1709。 支援下一次發行。 指定是否可以使用快速身分識別 (FIDO) 裝置來登錄。 此策略可讓 Windows FIDO 2.0 登入認證提供者

值類型為整數。

以下是範例案例:在 Contoso,員工每天使用 20 種不同裝置的許多共用裝置和資訊站。 為了將員工每次拿起裝置時,必須使用使用者名稱和密碼登入時,生產力損失降到最低,IT 系統管理員會將 SharePC CSP 和 Authentication/AllowFidoDeviceSignon 政策部署到共用裝置。 IT 系統管理員會提供併發布 FIDO 2.0 裝置給員工,讓他們能驗證各種共用裝置和電腦。

下列清單顯示支援的值:

  • 0 - 不允許。 FIDO 裝置認證提供者已停用。
  • 1 - 允許。 FIDO 裝置認證提供者已啟用,並允許使用 FIDO 裝置來Windows。

驗證/AllowAryAuthenticationDevice

Windows 版本 支援?
首頁 check mark1
專業版 check mark1
商務 check mark1
企業 check mark1
教育 check mark1

範圍

  • 裝置

Windows 10 (版本 1607) 中的新功能。 允許次要驗證裝置使用Windows。

此政策的預設狀態必須為消費者裝置 (定義為本地或 Microsoft 帳戶連接裝置) ,且企業裝置 (例如雲端網域已加入、雲端網域已加入內部部署環境、雲端網域已加入混合式環境,以及 BYOD) 。

在下次主要發行Windows 10,消費者裝置此政策的預設將會變更為關閉。 這只會影響尚未設定次要驗證裝置的使用者。

ADMX 資訊:

  • GP 好用名稱 :允許輔助裝置進行次要驗證
  • GP 名稱 :MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice
  • GP 路徑 :Windows元件/Microsoft 次要驗證要素
  • GP ADMX 檔案名 :DeviceCredential.admx

下列清單顯示支援的值:

  • 0 - 不允許。
  • 1 - 已允許。

驗證/ConfigureWebSignInAllowedUrls

Windows 版本 支援?
首頁 cross mark
專業版 check mark4
商務 check mark4
企業 check mark4
教育 check mark4

範圍

  • 裝置

版本 1803 Windows 10提供。 指定在 AAD PIN 重設和 Web 登錄 Windows 裝置情況下允許流覽到的網域清單,其中驗證是由 AD FS 或協力廠商聯合身分識別提供者處理。 請注意,在聯合環境中需要此原則,以緩解 CVE-2021-27092 中所述的漏洞

範例:如果組織的 PIN 重設或 Web 登錄驗證流程預期會流覽至兩個網域 ,accounts.contoso.com 和 signin.contoso.com,則策略值應為"accounts.contoso.com;signin.contoso.com"。


驗證/EnableFastFirstSignIn

Windows 版本 支援?
首頁 cross mark
專業版 check mark5
商務 check mark5
企業 check mark5
教育 check mark5

範圍

  • 裝置

警告

此政策僅供預覽模式使用,因此不代表或建議用於生產用途。

此政策適用于共用電腦,以讓使用者快速第一次登錄體驗。 它可自動將 Azure AD Azure Active Directory (帳戶) 新非系統管理員帳戶連接到預先配置的候選本地帳戶。

重要

預先配置的候選本地帳戶是預先 (或新增到) 的任何本地帳戶。

值類型為整數。 支援的值:

  • 0 - (預設) 功能預設為現有的 SKU 和裝置功能。
  • 1 - 已啟用。 自動將新的非系統管理員 Azure AD 帳戶連接到預先配置的候選本地帳戶
  • 2 - 已停用。 請勿將新的非系統管理員 Azure AD 帳戶自動連接到預先配置的本地帳戶

驗證/EnableWebSignIn

Windows 版本 支援?
首頁 cross mark
專業版 check mark5
商務 check mark5
企業 check mark5
教育 check mark5

範圍

  • 裝置

警告

此政策僅供預覽模式使用,因此不代表或建議用於生產用途。

「Web 登錄」是一種在 pc 上Windows的新方式。 它可Windows Azure AD 認證的新登入支援,例如暫用 Access Pass。

注意

Web 登錄僅支援 Azure AD 已加入電腦。

值類型為整數。 支援的值:

  • 0 - (預設) 功能預設為現有的 SKU 和裝置功能。
  • 1 - 已啟用。 將啟用 Web 認證提供者的登錄
  • 2 - 已停用。 無法啟用 Web 認證提供者的登錄

驗證/PreferredAadTenantDomainName

Windows 版本 支援?
首頁 cross mark
專業版 check mark5
商務 check mark5
企業 check mark5
教育 check mark5

範圍

  • 裝置

指定 Azure AD 租使用者中可用網域之間的偏好網域。

範例:如果貴組織使用「@contoso.com」租使用者功能變數名稱,則策略值應為「contoso.com」。 對於 「abby@constoso.com」使用者,她就可以在使用者名稱欄位中使用「abby」來登錄,而不是「abby@contoso.com」。

值類型為字串。


註腳:

  • 1 - 在 Windows 10 (版本 1607) 中提供。
  • 2 - 在 Windows 10 (版本 1703) 中提供。
  • 3 - 在 Windows 10 (版本 1709) 中提供。
  • 4 - 在 Windows 10 (版本 1803) 中提供。
  • 5 - 在 Windows 10 (版本 1809) 中提供。
  • 6 - 在 Windows 10 (版本 1903) 中提供。
  • 7 - 在 Windows 10 (版本 1909) 中提供。
  • 8 - 在 Windows 10 (版本 2004) 中提供。