PassportForWork CSP
Importante
Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.
El proveedor de servicios de configuración PassportForWork se usa para aprovisionar Windows Hello para empresas (anteriormente Microsoft Passport for Work). Permite iniciar sesión en Windows con su cuenta de Active Directory o Microsoft Entra y reemplazar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.
Importante
A partir de Windows 10, versión 1607, todos los dispositivos solo tienen un PIN asociado a Windows Hello para empresas. Esto significa que cualquier PIN en un dispositivo estará sujeto a las directivas especificadas en el PassportForWork CSP. Los valores especificados tienen prioridad sobre las reglas de complejidad establecidas mediante Exchange ActiveSync (EAS) o el DeviceLock CSP.
En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de PassportForWork:
- ./Device/Vendor/MSFT/PassportForWork
- {TenantId}
- Biometría
- DeviceUnlock
- DynamicLock
- SecurityKey
- UseBiometrics
- ./User/Vendor/MSFT/PassportForWork
Device/{TenantId}
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Esta directiva especifica el identificador de inquilino en el formato de un identificador único global (GUID) sin llaves{ }, que se usará como parte de Windows Hello para empresas aprovisionamiento y administración.
Para obtener el GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, consulte Obtención del identificador de inquilino de Windows Azure Active Directory en Windows PowerShell.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
| Nomenclatura dinámica de nodos | UniqueName: identificador único global (GUID), sin llaves ( { , } ), que se usa como parte de Windows Hello para empresas aprovisionamiento y administración. Para obtener un GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, vea https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell. |
Device/{TenantId}/Policies
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies
Nodo raíz para directivas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
Device/{TenantId}/Policies/DisablePostLogonProvisioning
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.2402] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.4239] y versiones posteriores ✅Windows 11, versión 21H2 con KB5036894 [10.0.22000.2899] y versiones posteriores ✅Windows 11, versión 22H2 con KB5035942 [10.0.22621.3374] y versiones posteriores ✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning
No inicie Windows Hello aprovisionamiento después del inicio de sesión.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Aprovisionamiento habilitado. |
| true | Aprovisionamiento deshabilitado. |
Device/{TenantId}/Policies/EnablePinRecovery
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
Si el usuario olvida su PIN, se puede cambiar a un nuevo PIN mediante el servicio de recuperación de PIN Windows Hello para empresas. Este servicio en la nube cifra un secreto de recuperación que se almacena localmente en el cliente, pero que solo el servicio en la nube puede descifrar.
Si habilita esta configuración de directiva, el secreto de recuperación del PIN se almacenará en el dispositivo y el usuario podrá cambiar a un nuevo PIN en caso de que se olvide su PIN.
Si deshabilita o no establece esta configuración de directiva, el secreto de recuperación del PIN no se creará ni almacenará. Si se olvida el PIN del usuario, la única manera de obtener un nuevo PIN es eliminar el PIN existente y crear uno nuevo, lo que requerirá que el usuario vuelva a registrarse con los servicios a los que el PIN anterior proporcionó acceso.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
Habilite Windows Hello aprovisionamiento si los usuarios inician sesión en sus dispositivos con claves de seguridad FIDO2.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/ExcludeSecurityDevices
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices
Nodo raíz para dispositivos de seguridad excluidos.
Nota
No se admite en Windows Holographic y Windows Holographic for Business.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Algunos módulos de plataforma segura (TPMs) solo son compatibles con la revisión 1.2 anterior de la especificación de TPM definida por el grupo de computación de confianza (TCG).
Si habilita esta configuración de directiva, los módulos de revisión de TPM 1.2 no podrán usarse con Windows Hello para empresas.
Si deshabilita o no establece esta configuración de directiva, los módulos de revisión de TPM 1.2 se podrán usar con Windows Hello para empresas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/PINComplexity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
Nodo raíz para directivas de PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
Device/{TenantId}/Policies/PINComplexity/Digits
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
Use esta configuración de directiva para configurar el uso de dígitos en el PIN de Windows Hello para empresas.
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un dígito en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen dígitos en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas requiere que los usuarios usen dígitos en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de dígitos en el PIN. |
| 1 | Requiere el uso de al menos un dígito en el PIN. |
| 2 | No permite el uso de dígitos en el PIN. |
Device/{TenantId}/Policies/PINComplexity/Expiration
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
Esta directiva especifica cuándo expira el PIN (en días). Los valores válidos son de 0 a 730 inclusive. Si esta directiva se establece en 0, los PIN no expiran.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-730] |
| Valor predeterminado | 0 |
Device/{TenantId}/Policies/PINComplexity/History
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
Esta directiva especifica el número de PIN anteriores que se pueden almacenar en el historial que no se pueden usar. Los valores válidos son de 0 a 50 inclusive. Si esta directiva se establece en 0, no se requiere el almacenamiento de PIN anteriores. El historial de PIN no se conserva mediante el restablecimiento del PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-50] |
| Valor predeterminado | 0 |
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
Use esta configuración de directiva para configurar el uso de letras minúsculas en el PIN de Windows Hello para empresas.
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra minúscula en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras minúsculas en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras minúsculas en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de letras minúsculas en EL PIN. |
| 1 | Requiere el uso de al menos una letra minúscula en el PIN. |
| 2 | No permite el uso de letras minúsculas en el PIN. |
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
La longitud máxima del PIN configura el número máximo de caracteres permitido para el PIN. El número más grande que puede configurar para esta configuración de directiva es 127. El número más bajo que puede configurar debe ser mayor que el número configurado en la configuración de directiva Longitud mínima del PIN o el número 4, lo que sea mayor.
Si configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que este número.
Si no configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que 127.
Nota
Si no se cumplen las condiciones especificadas anteriormente para la longitud máxima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [4-127] |
| Valor predeterminado | 127 |
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
La longitud mínima del PIN configura el número mínimo de caracteres necesarios para el PIN. El número más bajo que puede configurar para esta configuración de directiva es 4. El número más grande que puede configurar debe ser menor que el número configurado en la configuración de directiva Longitud máxima del PIN o el número 127, el que sea el más bajo.
Si configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que este número.
Si no configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que 4.
Nota
Si no se cumplen las condiciones especificadas anteriormente para la longitud mínima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [4-127] |
| Valor predeterminado | 4 |
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
Use esta configuración de directiva para configurar el uso de caracteres especiales en el gesto de PIN de Windows Hello para empresas. Los caracteres especiales válidos para Windows Hello para empresas gestos de PIN incluyen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un carácter especial en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen caracteres especiales en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar caracteres especiales en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de caracteres especiales en el PIN. |
| 1 | Requiere el uso de al menos un carácter especial en el PIN. |
| 2 | No permite el uso de caracteres especiales en el PIN. |
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
Use esta configuración de directiva para configurar el uso de letras mayúsculas en el PIN de Windows Hello para empresas.
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra mayúscula en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras mayúsculas en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras mayúsculas en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de letras mayúsculas en el PIN. |
| 1 | Requiere el uso de al menos una letra mayúscula en EL PIN. |
| 2 | No permite el uso de letras mayúsculas en el PIN. |
Device/{TenantId}/Policies/Remote
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote
Nodo raíz para directivas de inicio de sesión de teléfono.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
Device/{TenantId}/Policies/Remote/UseRemotePassport
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport
Boolean que especifica si se puede usar el inicio de sesión de teléfono con un dispositivo. El inicio de sesión en el teléfono proporciona la posibilidad de que un dispositivo portátil y registrado pueda usarse como dispositivo complementario para la autenticación de escritorio.
El valor predeterminado es false.
Si habilita esta configuración, un dispositivo de escritorio permitirá que un dispositivo complementario registrado se use como factor de autenticación.
Si deshabilita esta configuración, no se puede usar un dispositivo complementario en escenarios de autenticación de escritorio.
Nota
No se admite en Windows Holographic y Windows Holographic for Business antes de Windows 10 versión 1903 (actualización de mayo de 2019).
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/RequireSecurityDevice
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
Un módulo de plataforma segura (TPM) proporciona ventajas de seguridad adicionales sobre el software porque los datos almacenados en él no se pueden usar en otros dispositivos.
Si habilita esta configuración de directiva, solo los dispositivos con un aprovisionamiento de TPM utilizable Windows Hello para empresas.
Si deshabilita o no configura esta configuración de directiva, el TPM sigue siendo el preferido, pero todos los dispositivos aprovisionan Windows Hello para empresas mediante software si el TPM no es funcional o no está disponible.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/UseCertificateForOnPremAuth
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
Windows Hello para empresas puede usar certificados para autenticarse en recursos locales.
Si habilita esta configuración de directiva, Windows Hello para empresas esperará hasta que el dispositivo haya recibido una carga de certificado del servidor de administración de dispositivos móviles antes de aprovisionar un PIN.
Si deshabilita o no configura esta configuración de directiva, el PIN se aprovisionará cuando el usuario inicie sesión, sin esperar una carga de certificado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 21H2 con KB5010415 [10.0.19044.1566] y versiones posteriores ✅Windows 11, versión 21H2 con KB5010414 [10.0.22000.527] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
Valor booleano que permite a Windows Hello para empresas usar Microsoft Entra Kerberos para autenticarse en recursos locales.
Si habilita esta configuración de directiva, Windows Hello para empresas usará un vale de Kerberos Microsoft Entra para autenticarse en los recursos locales. El vale de Kerberos de Microsoft Entra se devuelve al cliente después de una autenticación correcta para Microsoft Entra ID si Microsoft Entra Kerberos está habilitado para el inquilino y el dominio.
Si deshabilita o no establece esta configuración de directiva, Windows Hello para empresas usará una clave o un certificado para autenticarse en los recursos locales.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
Si habilita esta configuración de directiva, las aplicaciones usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente. Los factores biométricos no están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado. Esta configuración de directiva está diseñada para permitir la compatibilidad con aplicaciones que se basan exclusivamente en certificados de tarjeta inteligente.
Si deshabilita o no establece esta configuración de directiva, las aplicaciones no usan certificados Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado.
Windows requiere que un usuario bloquee y desbloquee su sesión después de cambiar esta configuración si el usuario ha iniciado sesión actualmente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/{TenantId}/Policies/UsePassportForWork
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello para empresas es un método alternativo para iniciar sesión en Windows mediante Active Directory o Microsoft Entra cuenta que puede reemplazar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.
Si habilita o no establece esta configuración de directiva, el dispositivo aprovisiona Windows Hello para empresas para todos los usuarios.
Si deshabilita esta configuración de directiva, el dispositivo no aprovisiona Windows Hello para empresas para ningún usuario.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Verdadero |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false | Deshabilitado. |
| true (valor predeterminado) | Habilitada. |
Dispositivo o biometría
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/Biometrics
Nodo raíz para directivas de biometría.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Obtener |
Device/Biometrics/EnableESSwithSupportedPeripherals
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
La seguridad de inicio de sesión mejorada (ESS) aísla tanto los datos de plantilla biométrica como las operaciones de coincidencia con el hardware de confianza o las regiones de memoria especificadas, lo que significa que el resto del sistema operativo no puede acceder a ellos ni manipularlos. Dado que el canal de comunicación entre los sensores y el algoritmo también está protegido, es imposible que el malware inserte o reproduzca datos con el fin de simular un inicio de sesión de usuario o bloquear a un usuario fuera de su máquina.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | ESS se habilitará en sistemas con software y hardware compatibles, siguiendo el comportamiento predeterminado existente en Windows. Se permitirán operaciones de autenticación de dispositivos periféricos Windows Hello compatibles, sujetos a las limitaciones actuales de las características. Además, con esta configuración, ESS se habilitará en dispositivos con una combinación de dispositivos biométricos, como una FPR compatible con ESS y una cámara no compatible con ESS. (no recomendado). |
| 1 (valor predeterminado) | ESS se habilitará en sistemas con software y hardware compatibles, siguiendo el comportamiento predeterminado existente en Windows. Las operaciones de autenticación de cualquier dispositivo biométrico periférico se bloquearán y no estarán disponibles para Windows Hello. (valor predeterminado y recomendado para la seguridad más alta). |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Habilitación de ESS con periféricos admitidos |
| Ruta de acceso | Passport > AT > WindowsComponents > MSPassportForWorkCategory |
Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
Esta configuración determina si se requiere una protección contra la suplantación mejorada para Windows Hello autenticación facial.
Si habilita esta configuración, Windows requiere que todos los usuarios de los dispositivos administrados usen la protección contra la suplantación de identidad mejorada para Windows Hello autenticación facial. Esto deshabilita Windows Hello autenticación facial en dispositivos que no admiten la protección contra la suplantación mejorada.
Si deshabilitas o no configuras esta configuración, Windows no requiere una protección contra la suplantación mejorada para la autenticación facial Windows Hello.
Tenga en cuenta que la protección contra la suplantación mejorada para Windows Hello autenticación facial no es necesaria en dispositivos no administrados.
Nota
No se admite en Windows Holographic y Windows Holographic for Business antes de Windows 10 versión 1903 (actualización de mayo de 2019).
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/Biometrics/UseBiometrics
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
Windows Hello para empresas permite a los usuarios usar gestos biométricos, como la cara y las huellas digitales, como alternativa al gesto de PIN. Sin embargo, los usuarios deben configurar un PIN para usarlo en caso de errores.
Si habilita o no establece esta configuración de directiva, Windows Hello para empresas permite el uso de gestos biométricos.
Si deshabilita esta configuración de directiva, Windows Hello para empresas impide el uso de gestos biométricos.
Nota
Deshabilitar esta directiva impide el uso de gestos biométricos en el dispositivo para todos los tipos de cuenta.
Nota
No se admite en Windows Holographic y Windows Holographic for Business antes de Windows 10 versión 1903 (actualización de mayo de 2019).
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/DeviceUnlock
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock
Desbloqueo del dispositivo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Obtener |
Device/DeviceUnlock/GroupA
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
Contiene una lista de proveedores por GUID que se deben tener en cuenta para el primer paso de autenticación.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Expresión regular: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/GroupB
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
Contiene una lista de proveedores por GUID que se deben tener en cuenta para el segundo paso de autenticación.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Expresión regular: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/Plugins
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
Lista de complementos que el proveedor pasivo supervisa para detectar la presencia del usuario.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Device/DynamicLock
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DynamicLock
Bloqueo dinámico.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Obtener |
Device/DynamicLock/DynamicLock
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
Habilita o deshabilita el bloqueo dinámico.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
Device/DynamicLock/Plugins
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins
Lista de complementos que el proveedor pasivo supervisa para detectar la ausencia del usuario.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Device/SecurityKey
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/SecurityKey
Clave de seguridad.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Obtener |
Device/SecurityKey/UseSecurityKeyForSignin
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
Use la clave de seguridad para el inicio de sesión. 0 está deshabilitado. 1 está habilitado. Si no configura esta configuración de directiva, el valor predeterminado está deshabilitado.
Permite a los usuarios iniciar sesión en su dispositivo con una clave de seguridad FIDO2 compatible con la implementación de Microsoft.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado. |
| 1 | Habilitado. |
Device/UseBiometrics
Nota
Esta directiva está en desuso y puede quitarse en una versión futura.
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./Device/Vendor/MSFT/PassportForWork/UseBiometrics
ESTE NODO ESTÁ EN DESUSO Y SE QUITARÁ EN UNA VERSIÓN FUTURA. USE BIOMETRÍA/UseBiometría NODE EN SU LUGAR.
Windows Hello para empresas permite a los usuarios usar gestos biométricos, como la cara y las huellas digitales, como alternativa al gesto de PIN. Sin embargo, los usuarios deben configurar un PIN para usarlo en caso de errores.
Si habilita o no establece esta configuración de directiva, Windows Hello para empresas permite el uso de gestos biométricos.
Si deshabilita esta configuración de directiva, Windows Hello para empresas impide el uso de gestos biométricos.
Nota
Deshabilitar esta directiva impide el uso de gestos biométricos en el dispositivo para todos los tipos de cuenta.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
User/{TenantId}
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}
Esta directiva especifica el identificador de inquilino en el formato de un identificador único global (GUID) sin llaves{ }, que se usará como parte de Windows Hello para empresas aprovisionamiento y administración.
Para obtener el GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, consulte Obtención del identificador de inquilino de Windows Azure Active Directory en Windows PowerShell.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
| Nomenclatura dinámica de nodos | UniqueName: identificador único global (GUID), sin llaves ( { , } ), que se usa como parte de Windows Hello para empresas aprovisionamiento y administración. Para obtener un GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, vea https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell. |
User/{TenantId}/Policies
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies
Nodo raíz para directivas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
User/{TenantId}/Policies/EnablePinRecovery
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
Si el usuario olvida su PIN, se puede cambiar a un nuevo PIN mediante el servicio de recuperación de PIN Windows Hello para empresas. Este servicio en la nube cifra un secreto de recuperación que se almacena localmente en el cliente, pero que solo el servicio en la nube puede descifrar.
Si habilita esta configuración de directiva, el secreto de recuperación del PIN se almacenará en el dispositivo y el usuario podrá cambiar a un nuevo PIN en caso de que se olvide su PIN.
Si deshabilita o no establece esta configuración de directiva, el secreto de recuperación del PIN no se creará ni almacenará. Si se olvida el PIN del usuario, la única manera de obtener un nuevo PIN es eliminar el PIN existente y crear uno nuevo, lo que requerirá que el usuario vuelva a registrarse con los servicios a los que el PIN anterior proporcionó acceso.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
User/{TenantId}/Policies/PINComplexity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
Nodo raíz para directivas de PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | node |
| Tipo de acceso | Agregar, eliminar, obtener |
User/{TenantId}/Policies/PINComplexity/Digits
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
Use esta configuración de directiva para configurar el uso de dígitos en el PIN de Windows Hello para empresas.
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un dígito en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen dígitos en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas requiere que los usuarios usen dígitos en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de dígitos en el PIN. |
| 1 | Requiere el uso de al menos un dígito en el PIN. |
| 2 | No permite el uso de dígitos en el PIN. |
User/{TenantId}/Policies/PINComplexity/Expiration
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
Esta directiva especifica cuándo expira el PIN (en días). Los valores válidos son de 0 a 730 inclusive. Si esta directiva se establece en 0, los PIN no expiran.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-730] |
| Valor predeterminado | 0 |
User/{TenantId}/Policies/PINComplexity/History
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
Esta directiva especifica el número de PIN anteriores que se pueden almacenar en el historial que no se pueden usar. Los valores válidos son de 0 a 50 inclusive. Si esta directiva se establece en 0, no se requiere el almacenamiento de PIN anteriores. El historial de PIN no se conserva mediante el restablecimiento del PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-50] |
| Valor predeterminado | 0 |
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
Use esta configuración de directiva para configurar el uso de letras minúsculas en el PIN de Windows Hello para empresas.
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra minúscula en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras minúsculas en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras minúsculas en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de letras minúsculas en EL PIN. |
| 1 | Requiere el uso de al menos una letra minúscula en el PIN. |
| 2 | No permite el uso de letras minúsculas en el PIN. |
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
La longitud máxima del PIN configura el número máximo de caracteres permitido para el PIN. El número más grande que puede configurar para esta configuración de directiva es 127. El número más bajo que puede configurar debe ser mayor que el número configurado en la configuración de directiva Longitud mínima del PIN o el número 4, lo que sea mayor.
Si configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que este número.
Si no configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que 127.
Nota
Si no se cumplen las condiciones especificadas anteriormente para la longitud máxima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [4-127] |
| Valor predeterminado | 127 |
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
La longitud mínima del PIN configura el número mínimo de caracteres necesarios para el PIN. El número más bajo que puede configurar para esta configuración de directiva es 4. El número más grande que puede configurar debe ser menor que el número configurado en la configuración de directiva Longitud máxima del PIN o el número 127, el que sea el más bajo.
Si configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que este número.
Si no configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que 4.
Nota
Si no se cumplen las condiciones especificadas anteriormente para la longitud mínima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [4-127] |
| Valor predeterminado | 4 |
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
Use esta configuración de directiva para configurar el uso de caracteres especiales en el gesto de PIN de Windows Hello para empresas. Los caracteres especiales válidos para Windows Hello para empresas gestos de PIN incluyen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un carácter especial en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen caracteres especiales en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar caracteres especiales en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de caracteres especiales en el PIN. |
| 1 | Requiere el uso de al menos un carácter especial en el PIN. |
| 2 | No permite el uso de caracteres especiales en el PIN. |
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
Use esta configuración de directiva para configurar el uso de letras mayúsculas en el PIN de Windows Hello para empresas.
Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra mayúscula en su PIN.
Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras mayúsculas en su PIN.
Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras mayúsculas en su PIN.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Permite el uso de letras mayúsculas en el PIN. |
| 1 | Requiere el uso de al menos una letra mayúscula en EL PIN. |
| 2 | No permite el uso de letras mayúsculas en el PIN. |
User/{TenantId}/Policies/RequireSecurityDevice
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
Un módulo de plataforma segura (TPM) proporciona ventajas de seguridad adicionales sobre el software porque los datos almacenados en él no se pueden usar en otros dispositivos.
Si habilita esta configuración de directiva, solo los dispositivos con un aprovisionamiento de TPM utilizable Windows Hello para empresas.
Si deshabilita o no configura esta configuración de directiva, el TPM sigue siendo el preferido, pero todos los dispositivos aprovisionan Windows Hello para empresas mediante software si el TPM no es funcional o no está disponible.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Falso |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false (valor predeterminado) | Deshabilitado. |
| true | Habilitada. |
User/{TenantId}/Policies/UsePassportForWork
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello para empresas es un método alternativo para iniciar sesión en Windows mediante Active Directory o Microsoft Entra cuenta que puede reemplazar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.
Si habilita o no establece esta configuración de directiva, el dispositivo aprovisiona Windows Hello para empresas para todos los usuarios.
Si deshabilita esta configuración de directiva, el dispositivo no aprovisiona Windows Hello para empresas para ningún usuario.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | bool |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | Verdadero |
Valores permitidos:
| Valor | Descripción |
|---|---|
| false | Deshabilitado. |
| true (valor predeterminado) | Habilitada. |
Ejemplos
Este es un ejemplo para establecer Windows Hello para empresas y establecer las directivas de PIN. También activa el uso de la biometría y tpm.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
</LocURI>
</Target>
</Item>
</Add>
<Add>
<CmdID>3</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>4</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>5</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdID>6</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>16</Data>
</Item>
</Add>
<Add>
<CmdID>7</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Add>
<CmdID>8</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>9</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdID>10</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>11</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdID>12</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>70</Data>
</Item>
</Add>
<Add>
<CmdID>13</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>14</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>15</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>16</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>