PassportForWork-Konfigurationsdienstanbieter

Die folgende Tabelle zeigt die Anwendbarkeit von Windows:

Edition Windows 10 Windows 11
POS1 Ja Ja
Vorteil Ja Ja
Windows SE Nein Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Der PassportForWork-Konfigurationsdienstanbieter wird verwendet, um Windows Hello for Business (früher Microsoft Passport for Work) bereitzustellen. Sie können sich mit Ihrem Active Directory- oder Azure Active Directory-Konto bei Windows anmelden und Kennwörter, Smartcards und virtuelle Smartcards ersetzen.

Wichtig

Ab Windows 10 Version 1607 verfügen alle Geräte nur über eine PIN, die Windows Hello for Business zugeordnet ist. Somit unterliegen alle PINs eines Geräts den Richtlinien, die im PassportForWork CSP angegeben wurden. Die angegebenen Werte haben Vorrang vor allen Komplexitätsregeln, die über Exchange ActiveSync (EAS) oder DeviceLock CSP festgelegt wurden.

Benutzerkonfigurationsdiagramm

Das folgende Beispiel zeigt den PassportForWork-Konfigurationsdienstanbieter im Strukturformat.

./User/Vendor/MSFT
PassportForWork
-------TenantId
----------Policies
-------------UsePassportForWork
-------------RequireSecurityDevice
-------------EnablePinRecovery
-------------PINComplexity
----------------MinimumPINLength
----------------MaximumPINLength
----------------UppercaseLetters
----------------LowercaseLetters
----------------SpecialCharecters
----------------Digits
----------------History
----------------Expiration

Gerätekonfigurationsdiagramm

Das folgende Beispiel zeigt den PassportForWork-Konfigurationsdienstanbieter im Strukturformat.

./Device/Vendor/MSFT
PassportForWork
-------TenantId
----------Policies
-------------UsePassportForWork
-------------RequireSecurityDevice
-------------ExcludeSecurityDevices
----------------TPM12
-------------EnablePinRecovery
-------------UserCertificateForOnPremAuth
-------------PINComplexity
----------------MinimumPINLength
----------------MaximumPINLength
----------------UppercaseLetters
----------------LowercaseLetters
----------------SpecialCharacters
----------------Digits
----------------History
----------------Expiration
-------------Remote
----------------UseRemotePassport
-------------UseHelloCertificatesAsSmartCardCertificates
-------UseBiometrics
-------Biometrics
----------UseBiometrics
----------FacialFeaturesUseEnhancedAntiSpoofing
----------EnableESSwithSupportedPeripherals
-------DeviceUnlock
----------GroupA
----------GroupB
----------Plugins
-------DynamicLock
----------DynamicLock
----------Plugins
-------SecurityKey
----------UseSecurityKeyForSignin

PassportForWork
Stammknoten für den PassportForWork-Konfigurationsdienstanbieter.

TenantId
Ein GUID (Globally Unique Identifier) ohne geschweifte Klammern ({, }), der als Teil Windows Hello for Business Bereitstellung und Verwaltung verwendet wird. Verwenden Sie zum Abrufen einer GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter Abrufen der Windows Azure Active Directory-Mandanten-ID in Windows PowerShell.

TenantId/Policies
Knoten zum Definieren der Windows Hello for Business Richtlinieneinstellungen.

TenantId/Policies/UsePassportForWork
Boolescher Wert, der Windows Hello for Business als Methode für die Anmeldung bei Windows festlegt.

Der Standardwert ist "true". Wenn Sie diese Richtlinie auf "false" festlegen, kann der Benutzer Windows Hello for Business nicht bereitstellen.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/RequireSecurityDevice
Boolescher Wert, der ein Trusted Platform Module (TPM) für Windows Hello for Business erfordert. TPM bietet einen zusätzlichen Sicherheitsvorteil gegenüber Software, sodass darin gespeicherte Daten nicht auf anderen Geräten verwendet werden können.

Der Standardwert ist "false". Wenn Sie diese Richtlinie auf "true" festlegen, können nur Geräte mit einem verwendbaren TPM Windows Hello for Business bereitstellen. Wenn Sie diese Richtlinie auf "false" festlegen, können alle Geräte Windows Hello for Business mithilfe von Software bereitstellen, auch wenn kein verwendbares TPM vorhanden ist. Wenn Sie diese Einstellung nicht konfigurieren, können alle Geräte Windows Hello for Business mithilfe von Software bereitstellen, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/ExcludeSecurityDevices (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1703. Stammknoten für ausgeschlossene Sicherheitsgeräte. Wird unter Windows Holographic und Windows Holographic for Business nicht unterstützt.

TenantId/Policies/ExcludeSecurityDevices/TPM12 (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1703. Einige Trusted Platform Modules (TPMs) sind nur mit der älteren Version 1.2 der TPM-Spezifikation kompatibel, die von der Trusted Computing Group (TCG) definiert wurde.

Der Standardwert ist "false". Wenn Sie diese Richtlinieneinstellung aktivieren, ist die Verwendung von TPM-Modulen der Version 1.2 mit Windows Hello for Business nicht zulässig.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden TPM-Module der Version 1.2 mit Windows Hello for Business verwendet.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/EnablePinRecovery
Hinzugefügt in Windows 10, Version 1703. Boolescher Wert, der es einem Benutzer ermöglicht, seine PIN mithilfe des Windows Hello for Business PIN-Wiederherstellungsdiensts zu ändern. Dieser Clouddienst verschlüsselt einen geheimen Wiederherstellungsschlüssel, der lokal auf dem Client gespeichert ist und nur vom Clouddienst entschlüsselt werden kann.

Der Standardwert ist "false". Wenn Sie diese Richtlinieneinstellung aktivieren, wird der GEHEIME PIN-Wiederherstellungsschlüssel auf dem Gerät gespeichert, und der Benutzer kann seine PIN bei Bedarf ändern.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der GEHEIME PIN-Wiederherstellungsschlüssel weder erstellt noch gespeichert. Wenn die PIN des Benutzers vergessen wird, besteht die einzige Möglichkeit zum Abrufen einer neuen PIN darin, die vorhandene PIN zu löschen und eine neue PIN zu erstellen, wodurch der Benutzer sich bei allen Diensten erneut registrieren muss, auf die die alte PIN Zugriff gewährt hat.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/UseCertificateForOnPremAuth (nur für ./Device/Vendor/MSFT)
Boolescher Wert, der es Windows Hello for Business ermöglicht, Zertifikate zum Authentifizieren lokaler Ressourcen zu verwenden.

Wenn Sie diese Richtlinieneinstellung aktivieren, wartet Windows Hello for Business, bis das Gerät eine Zertifikatnutzlast vom Verwaltungsserver für mobile Geräte erhalten hat, bevor eine PIN bereitgestellt wird.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die PIN bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/UseCloudTrustForOnPremAuth (nur für ./Device/Vendor/MSFT)
Boolescher Wert, der es Windows Hello for Business ermöglicht, Azure AD Kerberos für die Authentifizierung bei lokalen Ressourcen zu verwenden.

Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet Windows Hello for Business ein Azure AD Kerberos-Ticket, um sich bei lokalen Ressourcen zu authentifizieren. Das Azure AD Kerberos-Ticket wird nach einer erfolgreichen Authentifizierung bei Azure AD an den Client zurückgegeben, wenn Azure AD Kerberos für den Mandanten und die Domäne aktiviert ist.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows Hello for Business einen Schlüssel oder ein Zertifikat, um sich bei lokalen Ressourcen zu authentifizieren.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity
Knoten zum Definieren von PIN-Einstellungen.

TenantId/Policies/PINComplexity/MinimumPINLength
Ganzzahliger Wert, der die mindest erforderliche Anzahl von Zeichen für die PIN festlegt. Der Standardwert ist 4. Die niedrigste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 4. Die größte Zahl, die Sie konfigurieren können, muss kleiner als die Zahl sein, die in der Richtlinieneinstellung für die maximale PIN-Länge konfiguriert ist, oder die Zahl 127, je nachdem, welche Zahl die niedrigste ist.

Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge größer oder gleich dieser Zahl sein. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, muss die PIN-Länge größer oder gleich 4 sein.

Hinweis

Wenn die oben angegebenen Bedingungen für die minimale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.

Der Werttyp ist int. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/MaximumPINLength
Ganzzahliger Wert, der die maximale Anzahl zulässiger Zeichen für die PIN festlegt. Der Standardwert ist 127. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 127. Die niedrigste Zahl, die Sie konfigurieren können, muss größer sein als die Zahl, die in der Richtlinieneinstellung für die mindeste PIN-Länge konfiguriert ist, oder die Zahl 4, je nachdem, welcher Wert größer ist.

Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge kleiner oder gleich dieser Zahl sein. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, muss die PIN-Länge kleiner oder gleich 127 sein.

Hinweis

Wenn die oben angegebenen Bedingungen für die maximale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/UppercaseLetters
Ganzzahliger Wert, der die Verwendung von Großbuchstaben in der Windows Hello for Business-PIN konfiguriert.

Gültige Werte:

  • 0 – Ermöglicht die Verwendung von Großbuchstaben in der PIN.
  • 1 – Erfordert die Verwendung von mindestens einem Großbuchstaben in der PIN.
  • 2 – Erlaubt nicht die Verwendung von Großbuchstaben in der PIN.

Der Standardwert ist 2. Das Standardmäßige Pin-Komplexitätsverhalten besteht darin, dass Ziffern erforderlich sind und alle anderen Zeichensätze nicht zulässig sind. Wenn alle Zeichensätze zulässig sind, aber keines explizit erforderlich ist, wird das standardmäßige PIN-Komplexitätsverhalten angewendet.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/LowercaseLetters
Ganzzahliger Wert, der die Verwendung von Kleinbuchstaben in der Windows Hello for Business-PIN konfiguriert.

Gültige Werte:

  • 0 – Ermöglicht die Verwendung von Kleinbuchstaben in der PIN.
  • 1 – Erfordert die Verwendung von mindestens einem Kleinbuchstaben in der PIN.
  • 2 – Erlaubt nicht die Verwendung von Kleinbuchstaben in der PIN.

Der Standardwert ist 2. Das Standardmäßige Pin-Komplexitätsverhalten besteht darin, dass Ziffern erforderlich sind und alle anderen Zeichensätze nicht zulässig sind. Wenn alle Zeichensätze zulässig sind, aber keines explizit erforderlich ist, wird das standardmäßige PIN-Komplexitätsverhalten angewendet.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/SpecialCharacters
Ganzzahlwert, der die Verwendung von Sonderzeichen in der Windows Hello for Business-PIN konfiguriert. Gültige Sonderzeichen für Windows Hello for Business PIN-Gesten sind: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Gültige Werte:

  • 0 – Ermöglicht die Verwendung von Sonderzeichen in der PIN.
  • 1 – Erfordert die Verwendung von mindestens einem Sonderzeichen in der PIN.
  • 2 – Erlaubt nicht die Verwendung von Sonderzeichen in der PIN.

Der Standardwert ist 2. Das Standardmäßige Pin-Komplexitätsverhalten besteht darin, dass Ziffern erforderlich sind und alle anderen Zeichensätze nicht zulässig sind. Wenn alle Zeichensätze zulässig sind, aber keines explizit erforderlich ist, wird das standardmäßige PIN-Komplexitätsverhalten angewendet.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/Digits
Ganzzahliger Wert, der die Verwendung von Ziffern in der Windows Hello for Business-PIN konfiguriert.

Gültige Werte:

  • 0 – Ermöglicht die Verwendung von Ziffern in der PIN.
  • 1 – Erfordert die Verwendung von mindestens einer Ziffer in der PIN.
  • 2 – Lässt die Verwendung von Ziffern in der PIN nicht zu.

Der Standardwert ist 1. Das Standardmäßige Pin-Komplexitätsverhalten besteht darin, dass Ziffern erforderlich sind und alle anderen Zeichensätze nicht zulässig sind. Wenn alle Zeichensätze zulässig sind, aber keines explizit erforderlich ist, wird das standardmäßige PIN-Komplexitätsverhalten angewendet.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/History
Eine ganze Zahl, die die Anzahl der früheren PINs für ein Benutzerkonto angibt, die nicht wiederverwendet werden können. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 50. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung früherer PINs erforderlich. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt.

Die aktuelle PIN des Benutzers ist in der Gruppe der PINs enthalten, die dem Benutzerkonto zugeordnet sind. Der PIN-Verlauf wird nicht durch eine PIN-Zurücksetzung beibehalten.

Der Standardwert ist 0.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/PINComplexity/Expiration
Ein ganzzahliger Wert gibt den Zeitraum (in Tagen) an, für den eine PIN verwendet wird, bis der Benutzer vom System zum Ändern aufgefordert wird. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 730. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, läuft die PIN des Benutzers nie ab. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt.

Der Standardwert ist 0.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

TenantId/Policies/Remote (nur für ./Device/Vendor/MSFT)
Interior node for defining remote Windows Hello for Business policies. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt. Wird unter Windows Holographic und Windows Holographic for Business nicht unterstützt.

TenantId/Policies/Remote/UseRemotePassport (nur für ./Device/Vendor/MSFT)
Boolescher Wert, der verwendet wird, um die Verwendung von Remote-Windows Hello for Business zu aktivieren oder zu deaktivieren. Remote Windows Hello for Business bietet die Möglichkeit, dass ein tragbares, registriertes Gerät als Begleitgerät für die Desktopauthentifizierung verwendet werden kann. Remote-Windows Hello for Business erfordert, dass der Desktop mit Azure AD verbunden ist und dass das Begleitgerät über eine Windows Hello for Business PIN verfügt. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt.

Der Standardwert ist "false". Wenn Sie diese Richtlinie auf "true" festlegen, wird remote Windows Hello for Business aktiviert, und ein tragbares registriertes Gerät kann als Begleitgerät für die Desktopauthentifizierung verwendet werden. Wenn Sie diese Richtlinie auf "false" festlegen, wird remote Windows Hello for Business deaktiviert.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

Wird unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Update vom Mai 2019) nicht unterstützt.

TenantId/Policies/UseHelloCertificatesAsSmartCardCertificates (nur für ./Device/Vendor/MSFT)
In Windows 10, Version 1809 hinzugefügt. Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Anwendungen Windows Hello for Business Zertifikate als Smartcardzertifikate. Biometrische Faktoren sind nicht verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren. Diese Richtlinieneinstellung ermöglicht die Kompatibilität mit Anwendungen, die ausschließlich auf Smartcardzertifikaten basieren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwenden Anwendungen Windows Hello for Business Zertifikate nicht als Smartcardzertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.

Windows erfordert, dass ein Benutzer seine Sitzung nach dem Ändern dieser Einstellung sperrt und entsperrt, wenn der Benutzer aktuell angemeldet ist.

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

UseBiometrics
Dieser Knoten ist veraltet. Verwenden Sie stattdessen den Knoten Biometrie/UseBiometrics .

Biometrie (nur für ./Device/Vendor/MSFT)
Knoten zum Definieren biometrischer Einstellungen. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt. Wird unter Windows Holographic und Windows Holographic for Business nicht unterstützt.

Biometrie/UseBiometrics (nur für ./Device/Vendor/MSFT)
Boolescher Wert, der verwendet wird, um die Verwendung biometrischer Gesten wie Gesicht und Fingerabdruck als Alternative zur PIN-Geste für Windows Hello for Business zu aktivieren oder zu deaktivieren. Benutzer müssen weiterhin eine PIN konfigurieren, wenn sie biometrische Gesten konfigurieren, die bei Fehlern verwendet werden sollen. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt.

Der Standardwert ist "true", wodurch die biometrischen Gesten für die Verwendung mit Windows Hello for Business aktiviert werden. Wenn Sie diese Richtlinie auf "false" festlegen, werden biometrische Gesten für die Verwendung mit Windows Hello for Business deaktiviert.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

Wird unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Update vom Mai 2019) nicht unterstützt.

Biometrie/FacialFeaturesUseEnhancedAntiSpoofing (nur für ./Device/Vendor/MSFT)
Boolescher Wert, der zum Aktivieren oder Deaktivieren des erweiterten Antispoofings für die Gesichtserkennung bei Windows Hello Gesichtsauthentifizierung verwendet wird. Dieser Knoten wurde in Windows 10, Version 1511, hinzugefügt.

Der Standardwert ist "false". Wenn Sie diese Richtlinie auf "false" festlegen oder diese Einstellung nicht konfigurieren, erfordert Windows kein erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung.

Wenn Sie diese Richtlinie auf "true" festlegen, erfordert Windows, dass alle Benutzer auf verwalteten Geräten erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung verwenden. Windows Hello Gesichtsauthentifizierung ist auf Geräten deaktiviert, die erweitertes Antispoofing nicht unterstützen.

Erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung ist auf nicht verwalteten Geräten nicht erforderlich.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

Wird unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Update vom Mai 2019) nicht unterstützt.

Biometrie/EnableESSwithSupportedPeripherals (nur für ./Device/Vendor/MSFT)

Wenn diese Richtlinie aktiviert ist, wird Windows Hello Authentifizierung mithilfe von biometrischen Peripheriesensoren blockiert. Alle nicht Authentifizierungsfunktionen wie die Kameranutzung (z. B. Videoanrufe und die Kamera) sind davon nicht betroffen.

Wenn Sie diese Richtlinie aktivieren, kann sie die folgenden möglichen Werte aufweisen:

0 – Erweiterte Anmeldesicherheit deaktiviert (nicht empfohlen)

Verbesserte Anmeldesicherheit wird auf allen Systemen deaktiviert, wodurch die Verwendung der biometrischen Peripherieauthentifizierung ermöglicht wird. Wenn dieser Richtlinienwert auf 0 festgelegt ist, nachdem benutzer sich für ESS biometrische Daten registriert haben, werden die Benutzer aufgefordert, ihre PIN zurückzusetzen. Sie verlieren alle vorhandenen biometrischen Registrierungen. Um biometrische Daten verwenden zu können, müssen sie sich erneut registrieren.

1 – Erweiterte Anmeldesicherheit aktiviert (Standard und empfohlen für höchste Sicherheit)

Die erweiterte Anmeldesicherheit wird auf Systemen mit fähiger Software und Hardware gemäß dem vorhandenen Standardverhalten in Windows aktiviert. Authentifizierungsvorgänge von biometrischen Geräten, die die erweiterte Anmeldesicherheit nicht unterstützt, einschließlich der von Peripheriegeräten, werden blockiert und sind für Windows Hello nicht verfügbar.

Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, wird die erweiterte Anmeldesicherheit auf dem Gerät bevorzugt. Das Verhalten entspricht dem Aktivieren der Richtlinie und dem Festlegen des Werts auf 1.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Löschen" und "Ersetzen".

Unterstützt von Windows 11 Version 22H2

DeviceUnlock (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Innenknoten.

DeviceUnlock/GroupA (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Enthält eine Liste der Anmeldeinformationsanbieter nach GUID (durch Kommas getrennt), die der erste Schritt der Authentifizierung sind.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

DeviceUnlock/GroupB (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Enthält eine Liste der Anmeldeinformationsanbieter nach GUID (durch Kommas getrennt), die den zweiten Schritt der Authentifizierung bilden.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

DeviceUnlock/Plugins (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Liste der Plug-Ins (kommagetrennt), die der passive Anbieter überwacht, um die Benutzerpräsenz zu erkennen.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

DynamicLock (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Innenknoten.

DynamicLock/DynamicLock (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Aktiviert die dynamische Sperre.

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

DynamicLock/Plugins (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1803. Liste der Plug-Ins (kommagetrennt), die der passive Anbieter überwacht, um Die Abwesenheit des Benutzers zu erkennen.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

SecurityKey (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1903. Innenknoten.

Der Bereich ist dauerhaft. Unterstützter Vorgang ist Get.

SecurityKey/UseSecurityKeyForSignin (nur für ./Device/Vendor/MSFT)
Hinzugefügt in Windows 10, Version 1903. Ermöglicht Benutzern die Anmeldung bei ihrem Gerät mit einem FIDO2-Sicherheitsschlüssel , der mit der Microsoft-Implementierung kompatibel ist.

Der Bereich ist dynamisch. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

Der Werttyp ist eine ganze Zahl.

Gültige Werte:

  • 0 (Standard) – deaktiviert.
  • 1 – aktiviert.

Beispiele

Hier ist ein Beispiel für das Festlegen Windows Hello for Business und Festlegen der PIN-Richtlinien. Außerdem wird die Verwendung von Biometrie und TPM aktiviert.

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/> 
          </SyncBody>
        </SyncML>