Richtlinien-CSP – Authentifizierung
AllowAadPasswordReset
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1709 [10.0.16299] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Gibt an, ob die Kennwortzurücksetzung für Microsoft Entra-Konten aktiviert ist.
Diese Richtlinie ermöglicht es dem Microsoft Entra-Mandantenadministrator, das Feature zur Self-Service-Kennwortzurücksetzung auf dem Windows-Anmeldebildschirm zu aktivieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht zulässig |
| 1 | Zugelassen. |
AllowEAPCertSSO
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
❌ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1507 [10.0.10240] und höher |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
Ermöglicht einer zertifikatbasierten EAP-Authentifizierung für ein einmaliges Anmelden (Single Sign-On, SSO) den Zugriff auf interne Ressourcen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht zulässig |
| 1 | Zugelassen. |
AllowFastReconnect
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
Ermöglicht die schnelle Wiederherstellung der EAP-Verbindung, die für EAP-Methoden-TLS versucht wird. Der am stärksten eingeschränkte Wert ist 0.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Nicht zulässig |
| 1 (Standard) | Zugelassen. |
AllowSecondaryAuthenticationDevice
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1607 [10.0.14393] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
Diese Richtlinie ermöglicht Es Benutzern, sich auf einem Desktopcomputer mit Windows 10 über ein Begleitgerät wie Telefon, Fitnessband oder IoT-Gerät anzumelden. Das Begleitgerät bietet einen zweiten Authentifizierungsfaktor mit Windows Hello.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, können sich Benutzer mithilfe eines Begleitgeräts bei Windows Hello authentifizieren.
Wenn Sie diese Richtlinie deaktivieren, können Benutzer kein Begleitgerät verwenden, um sich bei Windows Hello zu authentifizieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Nicht zulässig |
| 1 | Zugelassen. |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| Anzeigename | Begleitgerät für die sekundäre Authentifizierung zulassen |
| Position | Computerkonfiguration |
| Pfad | Windows-Komponenten > Microsoft Secondary Authentication Factor |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| Name des Registrierungswertes | AllowSecondaryAuthenticationDevice |
| ADMX-Dateiname | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Gibt eine Liste der Domänen an, die in Webanmeldungsszenarien auf die Webcam zugreifen dürfen.
Hinweis
Die Webanmeldung wird nur auf in Microsoft Entra eingebundenen PCs unterstützt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ;) |
Beispiel:
Ihre Organisation stellt einen Verbund mit "Contoso IDP" her, und Ihr Webanmeldungsportal unter signinportal.contoso.com erfordert Zugriff auf die Webcam. Der Wert für diese Richtlinie sollte dann wie folgt sein:
contoso.com
ConfigureWebSignInAllowedUrls
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 mit KB5001339 [10.0.17134.2145] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Gibt eine Liste von URLs an, die in Szenarien mit webanmeldungsbasierter Authentifizierung navigierbar sind.
Diese Richtlinie gibt die Liste der Domänen an, auf die Benutzer in bestimmten Authentifizierungsszenarien zugreifen können. Zum Beispiel:
- Zurücksetzen der Microsoft Entra-ID-PIN
- Windows-Geräteszenarien für die Webanmeldung, in denen die Authentifizierung von Active Directory-Verbunddiensten (AD FS) oder einem Drittanbieter für Verbundidentitätsanbieter erfolgt
Hinweis
Diese Richtlinie ist in Verbundumgebungen erforderlich, um die in CVE-2021-27092 beschriebene Sicherheitsanfälligkeit zu beheben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ;) |
Beispiel:
Es wird erwartet, dass der Ablauf der PIN-Zurücksetzung oder Webanmeldeauthentifizierung Ihrer Organisation zu den folgenden beiden Domänen navigiert: accounts.contoso.com und signin.contoso.com. Der Wert für diese Richtlinie sollte dann wie folgt sein:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
Gibt an, ob neue Microsoft Entra-Konten ohne Administratorrechte automatisch eine Verbindung mit vorab erstellten lokalen Kandidatenkonten herstellen sollen.
Diese Richtlinie ist für die Verwendung auf gemeinsam genutzten PCs vorgesehen, um eine schnelle erste Anmeldung für einen Benutzer zu ermöglichen. Dies funktioniert, indem neue Microsoft Entra-Konten ohne Administratorrechte automatisch mit den vorkonfigurierten lokalen Kandidatenkonten verbunden werden.
Wichtig
Vorkonfigurierte lokale Kandidatenkonten sind alle lokalen Konten, die vorkonfiguriert oder auf dem Gerät hinzugefügt werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Das Feature verwendet standardmäßig die vorhandenen SKU- und Gerätefunktionen. |
| 1 | Aktiviert. Verbinden Sie neue Microsoft Entra-Konten ohne Administratorrechte automatisch mit vorkonfigurierten lokalen Kandidatenkonten. |
| 2 | Deaktiviert. Verbinden Sie neue Microsoft Entra-Konten ohne Administratorrechte nicht automatisch mit vorkonfigurierten lokalen Konten. |
EnablePasswordlessExperience
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11, Version 23H2 mit KB5031455 [10.0.22631.2506] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Gibt an, ob verbundene Benutzer auf in Microsoft Entra eingebundenen Geräten eine kennwortlose Benutzeroberfläche unter Windows erhalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Das Feature verwendet standardmäßig die vorhandenen Editions- und Gerätefunktionen. |
| 1 | Aktiviert. Die Kennwortlose Benutzeroberfläche wird unter Windows aktiviert. |
| 2 | Deaktiviert. Die Kennwortlose Benutzeroberfläche wird unter Windows nicht aktiviert. |
EnableWebSignIn
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Gibt an, ob die webbasierte Anmeldung für die Anmeldung bei Windows zulässig ist.
Die Webanmeldung ist ein Anmeldeinformationsanbieter, der eine webbasierte Anmeldung auf Windows-Geräten ermöglicht. Ursprünglich in Windows 10 mit Nur-Unterstützung für temporäre Zugriffspass (Temporary Access Pass, TAP) eingeführt, wurden die Funktionen der Webanmeldung ab Windows 11, Version 22H2 mit KB5030310 erweitert. Weitere Informationen finden Sie unter Webanmeldung für Windows.
Hinweis
Die Webanmeldung wird nur auf in Microsoft Entra eingebundenen PCs unterstützt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Das Feature verwendet standardmäßig die vorhandenen SKU- und Gerätefunktionen. |
| 1 | Aktiviert. Die Webanmeldung wird für die Anmeldung bei Windows aktiviert. |
| 2 | Deaktiviert. Die Webanmeldung wird nicht für die Anmeldung bei Windows aktiviert. |
PreferredAadTenantDomainName
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Gibt die bevorzugte Domäne unter den verfügbaren Domänen im Microsoft Entra-Mandanten an.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Beispiel:
Ihre Organisation verwendet den Mandantendomänennamen @contoso.com . Der Wert für diese Richtlinie sollte dann wie folgt sein:
contoso.com
Für den Benutzer abby@constoso.comerfolgt eine Anmeldung mit abby im Feld benutzername anstelle von abby@contoso.com.