Поделиться через


Поставщик служб CSP политики — проверка подлинности

AllowAadPasswordReset

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1709 [10.0.16299] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset

Указывает, включен ли сброс пароля для учетных записей Microsoft Entra.

Эта политика позволяет администратору клиента Microsoft Entra включить функцию самостоятельного сброса пароля на экране входа в Windows.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается.
1 Разрешено.

AlloweAPCertSSO

Область применения Выпуски Применимая ОС
Устройство ❌
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1507 [10.0.10240] и более поздних версий
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO

Разрешает проверку подлинности на основе сертификата EAP для единого входа (SSO) для доступа к внутренним ресурсам.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается.
1 Разрешено.

AllowFastReconnect

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect

Разрешает быстрое переподключение EAP для выполнения попыток EAP Method TLS. Самое ограниченное значение — 0.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AllowSecondaryAuthenticationDevice

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1607 [10.0.14393] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice

Эта политика позволяет пользователям использовать дополнительное устройство, например телефон, фитнес-браслет или устройство Интернета вещей, для входа на настольный компьютер под управлением Windows 10. Устройство-компаньон обеспечивает второй фактор проверки подлинности с помощью Windows Hello.

  • Если этот параметр политики включен или не настроен, пользователи могут пройти проверку подлинности в Windows Hello с помощью устройства-компаньона.

  • Если отключить эту политику, пользователи не смогут использовать устройство-компаньон для проверки подлинности с помощью Windows Hello.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Не допускается.
1 Разрешено.

Сопоставление групповой политики:

Имя Значение
Имя MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice
Понятное имя Разрешить дополнительное устройство-компаньон для дополнительной проверки подлинности
Location Конфигурация компьютера
Путь Дополнительный фактор проверки подлинности (Майкрософт) компонентов > Windows
Имя раздела реестра SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor
Имя значения реестра AllowSecondaryAuthenticationDevice
Имя файла ADMX DeviceCredential.admx

НастройкаWebcamAccessDomainNames

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames

Указывает список доменов, которым разрешен доступ к веб-камере в сценариях проверки подлинности на основе веб-входа.

Примечание.

Веб-вход поддерживается только на компьютерах, присоединенных к Microsoft Entra.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: ;)

Пример:

Ваша организация объединяется с поставщиком удостоверений Contoso, а для входа в веб-портал по адресу signinportal.contoso.com требуется доступ к веб-камере. Затем для этой политики должно быть следующее значение:

contoso.com

ConfigureWebSignInAllowedUrls

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB5001339 [10.0.17134.2145] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls

Указывает список URL-адресов, доступных в сценариях проверки подлинности на основе веб-входа.

Эта политика указывает список доменов, к которым пользователи могут получить доступ в определенных сценариях проверки подлинности. Пример

  • Сброс ПИН-кода Microsoft Entra ID
  • Сценарии веб-входа с windows, в которых проверка подлинности обрабатывается службами федерации Active Directory (AD FS) или сторонним поставщиком федеративных удостоверений

Примечание.

Эта политика требуется в федеративных средах в качестве устранения уязвимости, описанной в cve-2021-27092.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: ;)

Пример:

Ожидается, что поток проверки подлинности для сброса ПИН-кода или веб-входа в систему организации будет переходить к следующим двум доменам: accounts.contoso.com и signin.contoso.com. Затем для этой политики должно быть следующее значение:

accounts.contoso.com;signin.contoso.com

EnableFastFirstSignIn

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn

Указывает, должны ли новые учетные записи Microsoft Entra без прав администратора автоматически подключаться к предварительно созданным локальным учетным записям-кандидатам.

Эта политика предназначена для использования на общих компьютерах, чтобы обеспечить быстрый первый вход для пользователя. Он работает путем автоматического подключения новых учетных записей Microsoft Entra, не являющихся администраторами, к предварительно настроенным локальным учетным записям кандидата.

Важно.

Предварительно настроенные локальные учетные записи-кандидаты — это все локальные учетные записи, предварительно настроенные или добавленные на устройстве.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Функция по умолчанию использует существующие возможности SKU и устройства.
1 Включено. Автоматическое подключение новых учетных записей Microsoft Entra, не являющихся администраторами, к предварительно настроенным локальным учетным записям кандидатов.
2 Служба отключена. Не подключайте новые учетные записи Microsoft Entra без прав администратора к предварительно настроенным локальным учетным записям.

EnablePasswordlessExperience

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 11 версии 23H2 с KB5031455 [10.0.22631.2506] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience

Указывает, получают ли подключенные пользователи на устройствах, присоединенных к Microsoft Entra, в Windows без пароля.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Функция по умолчанию использует существующие возможности выпуска и устройства.
1 Включено. В Windows будет включен режим без пароля.
2 Служба отключена. Режим без пароля не будет включен в Windows.

EnableWebSignIn

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn

Указывает, разрешен ли веб-вход для входа в Windows.

Веб-вход — это поставщик учетных данных, который обеспечивает веб-интерфейс входа на устройствах Windows. Первоначально появилась в Windows 10 с поддержкой только временного доступа (TAP), веб-вход расширил свои возможности, начиная с Windows 11 версии 22H2 с KB5030310. Дополнительные сведения см. в статье Веб-вход в Windows.

Примечание.

Веб-вход поддерживается только на компьютерах, присоединенных к Microsoft Entra.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Функция по умолчанию использует существующие возможности SKU и устройства.
1 Включено. Для входа в Windows будет включен веб-вход.
2 Служба отключена. Вход в Windows не будет включен.

PreferredAadTenantDomainName

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName

Указывает предпочтительный домен среди доступных доменов в клиенте Microsoft Entra.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Пример:

Ваша организация использует доменное @contoso.com имя клиента. Затем для этой политики должно быть следующее значение:

contoso.com

Для пользователя [email protected]вход выполняется с использованием abby в поле имени пользователя вместо [email protected].

Поставщик служб конфигурации политики