CSP de directiva: autenticación

AllowAadPasswordReset

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset

Especifica si el restablecimiento de contraseña está habilitado para cuentas de Microsoft Entra.

Esta directiva permite al administrador de inquilinos Microsoft Entra habilitar la característica de autoservicio de restablecimiento de contraseña en la pantalla de inicio de sesión de Windows.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No permitido.
1 Permitido.

AllowEAPCertSSO

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ❌
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO

Permite que una autenticación basada en certificados EAP para un inicio de sesión único (SSO) acceda a los recursos internos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No permitido.
1 Permitido.

AllowFastReconnect

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect

Permite que TLS del método EAP intente la reconexión rápida de EAP. El valor de mayor restricción es 0.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 No permitido.
1 (valor predeterminado) Permitido.

AllowSecondaryAuthenticationDevice

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice

Esta directiva permite a los usuarios usar un dispositivo complementario, como un teléfono, una banda de fitness o un dispositivo IoT, para iniciar sesión en un equipo de escritorio que ejecuta Windows 10. El dispositivo complementario proporciona un segundo factor de autenticación con Windows Hello.

  • Si habilita o no establece esta configuración de directiva, los usuarios pueden autenticarse para Windows Hello mediante un dispositivo complementario.

  • Si deshabilita esta directiva, los usuarios no pueden usar un dispositivo complementario para autenticarse con Windows Hello.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) No permitido.
1 Permitido.

Asignación de directivas de grupo:

Nombre Valor
Nombre MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice
Nombre descriptivo Permitir el dispositivo complementario para la autenticación secundaria
Ubicación Configuración del equipo
Ruta de acceso Componentes de > Windows Factor de autenticación secundaria de Microsoft
Nombre de la clave del Registro SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor
Nombre del valor de registro AllowSecondaryAuthenticationDevice
Nombre de archivo ADMX DeviceCredential.admx

ConfigureWebcamAccessDomainNames

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames

Especifica una lista de dominios que pueden acceder a la cámara web en escenarios de autenticación basados en inicio de sesión web.

Nota

El inicio de sesión web solo se admite en equipos unidos a Microsoft Entra.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: ;)

Ejemplo:

Su organización federa a "Contoso IDP" y el portal de inicio de sesión web en signinportal.contoso.com requiere acceso a la cámara web. A continuación, el valor de esta directiva debe ser:

contoso.com

ConfigureWebSignInAllowedUrls

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134.2145] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls

Especifica una lista de direcciones URL que se pueden navegar en escenarios de autenticación basados en el inicio de sesión web.

Esta directiva especifica la lista de dominios a los que los usuarios pueden acceder en determinados escenarios de autenticación. Por ejemplo:

  • Restablecimiento del PIN de Microsoft Entra ID
  • Escenarios de dispositivo Windows de inicio de sesión web en los que la autenticación se controla mediante Servicios de federación de Active Directory (AD FS) (AD FS) o un proveedor de identidades federado de terceros

Nota

Esta directiva es necesaria en entornos federados como mitigación de la vulnerabilidad descrita en CVE-2021-27092.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: ;)

Ejemplo:

Se espera que el flujo de autenticación de inicio de sesión web o restablecimiento de PIN de la organización vaya a los dos dominios siguientes: accounts.contoso.com y signin.contoso.com. A continuación, el valor de esta directiva debe ser:

accounts.contoso.com;signin.contoso.com

EnableFastFirstSignIn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn

Especifica si las nuevas cuentas Microsoft Entra que no son de administración deben conectarse automáticamente a las cuentas locales candidatas creadas previamente.

Esta directiva está pensada para su uso en equipos compartidos para habilitar una primera experiencia de inicio de sesión rápida para un usuario. Funciona conectando automáticamente nuevas cuentas Microsoft Entra que no son de administración a las cuentas locales candidatas preconfiguradas.

Importante

Las cuentas locales candidatas preconfiguradas son cuentas locales preconfiguradas o agregadas en el dispositivo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) La característica tiene como valor predeterminado las funcionalidades de sku y dispositivo existentes.
1 Habilitado. Conecte automáticamente nuevas cuentas Microsoft Entra que no sean de administración a cuentas locales candidatas preconfiguradas.
2 Deshabilitado. No conecte automáticamente nuevas cuentas Microsoft Entra que no sean de administración a cuentas locales preconfiguradas.

EnablePasswordlessExperience

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 23H2 [10.0.22631.2506] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience

Especifica si los usuarios conectados en Microsoft Entra dispositivos unidos reciben una experiencia sin contraseña en Windows.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) La característica tiene como valor predeterminado las funcionalidades de edición y dispositivo existentes.
1 Habilitado. La experiencia sin contraseña se habilitará en Windows.
2 Deshabilitado. La experiencia sin contraseña no se habilitará en Windows.

EnableWebSignIn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn

Especifica si se permite el inicio de sesión basado en web para iniciar sesión en Windows.

El inicio de sesión web es un proveedor de credenciales que permite una experiencia de inicio de sesión basada en web en dispositivos Windows. Inicialmente introducido en Windows 10 con compatibilidad solo con el pase de acceso temporal (TAP), el inicio de sesión web expandió sus funcionalidades a partir de Windows 11, versión 22H2 con KB5030310. Para obtener más información, consulte Inicio de sesión web para Windows.

Nota

El inicio de sesión web solo se admite en equipos unidos a Microsoft Entra.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) La característica tiene como valor predeterminado las funcionalidades de sku y dispositivo existentes.
1 Habilitado. El inicio de sesión web se habilitará para iniciar sesión en Windows.
2 Deshabilitado. El inicio de sesión web no se habilitará para iniciar sesión en Windows.

PreferredAadTenantDomainName

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName

Especifica el dominio preferido entre los dominios disponibles en el inquilino de Microsoft Entra.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Ejemplo:

La organización usa el nombre de dominio del @contoso.com inquilino. A continuación, el valor de esta directiva debe ser:

contoso.com

Para el usuario abby@constoso.com, un inicio de sesión se realiza mediante abby en el campo nombre de usuario en lugar de abby@contoso.com.

Proveedor de servicios de configuración de directivas