Поставщик служб CSP политики — проверка подлинности
AllowAadPasswordReset
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Указывает, включен ли сброс пароля для учетных записей Microsoft Entra.
Эта политика позволяет администратору клиента Microsoft Entra включить функцию самостоятельного сброса пароля на экране входа в Windows.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. |
| 1 | Разрешено. |
AlloweAPCertSSO
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ❌ Пользователь ✅ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
Разрешает проверку подлинности на основе сертификата EAP для единого входа (SSO) для доступа к внутренним ресурсам.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. |
| 1 | Разрешено. |
AllowFastReconnect
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
Разрешает быстрое переподключение EAP для выполнения попыток EAP Method TLS. Самое ограниченное значение — 0.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowSecondaryAuthenticationDevice
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
Эта политика позволяет пользователям использовать дополнительное устройство, например телефон, фитнес-браслет или устройство Интернета вещей, для входа на настольный компьютер под управлением Windows 10. Устройство-компаньон обеспечивает второй фактор проверки подлинности с помощью Windows Hello.
Если этот параметр политики включен или не настроен, пользователи могут пройти проверку подлинности в Windows Hello с помощью устройства-компаньона.
Если отключить эту политику, пользователи не смогут использовать устройство-компаньон для проверки подлинности с помощью Windows Hello.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Не допускается. |
| 1 | Разрешено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| Понятное имя | Разрешить дополнительное устройство-компаньон для дополнительной проверки подлинности |
| Location | Конфигурация компьютера |
| Путь | Дополнительный фактор проверки подлинности (Майкрософт) компонентов > Windows |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| Имя значения реестра | AllowSecondaryAuthenticationDevice |
| Имя файла ADMX | DeviceCredential.admx |
НастройкаWebcamAccessDomainNames
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Указывает список доменов, которым разрешен доступ к веб-камере в сценариях проверки подлинности на основе веб-входа.
Примечание.
Веб-вход поддерживается только на компьютерах, присоединенных к Microsoft Entra.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ;) |
Пример:
Ваша организация объединяется с поставщиком удостоверений Contoso, а для входа в веб-портал по адресу signinportal.contoso.com требуется доступ к веб-камере. Затем для этой политики должно быть следующее значение:
contoso.com
ConfigureWebSignInAllowedUrls
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1803 с KB5001339 [10.0.17134.2145] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Указывает список URL-адресов, доступных в сценариях проверки подлинности на основе веб-входа.
Эта политика указывает список доменов, к которым пользователи могут получить доступ в определенных сценариях проверки подлинности. Пример
- Сброс ПИН-кода Microsoft Entra ID
- Сценарии веб-входа с windows, в которых проверка подлинности обрабатывается службами федерации Active Directory (AD FS) или сторонним поставщиком федеративных удостоверений
Примечание.
Эта политика требуется в федеративных средах в качестве устранения уязвимости, описанной в cve-2021-27092.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ;) |
Пример:
Ожидается, что поток проверки подлинности для сброса ПИН-кода или веб-входа в систему организации будет переходить к следующим двум доменам: accounts.contoso.com и signin.contoso.com. Затем для этой политики должно быть следующее значение:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
Указывает, должны ли новые учетные записи Microsoft Entra без прав администратора автоматически подключаться к предварительно созданным локальным учетным записям-кандидатам.
Эта политика предназначена для использования на общих компьютерах, чтобы обеспечить быстрый первый вход для пользователя. Он работает путем автоматического подключения новых учетных записей Microsoft Entra, не являющихся администраторами, к предварительно настроенным локальным учетным записям кандидата.
Важно.
Предварительно настроенные локальные учетные записи-кандидаты — это все локальные учетные записи, предварительно настроенные или добавленные на устройстве.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Функция по умолчанию использует существующие возможности SKU и устройства. |
| 1 | Включено. Автоматическое подключение новых учетных записей Microsoft Entra, не являющихся администраторами, к предварительно настроенным локальным учетным записям кандидатов. |
| 2 | Служба отключена. Не подключайте новые учетные записи Microsoft Entra без прав администратора к предварительно настроенным локальным учетным записям. |
EnablePasswordlessExperience
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 11 версии 23H2 с KB5031455 [10.0.22631.2506] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Указывает, получают ли подключенные пользователи на устройствах, присоединенных к Microsoft Entra, в Windows без пароля.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Функция по умолчанию использует существующие возможности выпуска и устройства. |
| 1 | Включено. В Windows будет включен режим без пароля. |
| 2 | Служба отключена. Режим без пароля не будет включен в Windows. |
EnableWebSignIn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Указывает, разрешен ли веб-вход для входа в Windows.
Веб-вход — это поставщик учетных данных, который обеспечивает веб-интерфейс входа на устройствах Windows. Первоначально появилась в Windows 10 с поддержкой только временного доступа (TAP), веб-вход расширил свои возможности, начиная с Windows 11 версии 22H2 с KB5030310. Дополнительные сведения см. в статье Веб-вход в Windows.
Примечание.
Веб-вход поддерживается только на компьютерах, присоединенных к Microsoft Entra.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Функция по умолчанию использует существующие возможности SKU и устройства. |
| 1 | Включено. Для входа в Windows будет включен веб-вход. |
| 2 | Служба отключена. Вход в Windows не будет включен. |
PreferredAadTenantDomainName
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Указывает предпочтительный домен среди доступных доменов в клиенте Microsoft Entra.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Пример:
Ваша организация использует доменное @contoso.com имя клиента. Затем для этой политики должно быть следующее значение:
contoso.com
Для пользователя [email protected]вход выполняется с использованием abby в поле имени пользователя вместо [email protected].