CSP PassportForWork
Importante
Questo CSP contiene alcune impostazioni in fase di sviluppo e applicabili solo per le compilazioni Windows Insider Preview. Queste impostazioni sono soggette a modifiche e potrebbero avere dipendenze da altre funzionalità o servizi in anteprima.
Il provider di servizi di configurazione PassportForWork viene usato per effettuare il provisioning di Windows Hello for Business (in precedenza Microsoft Passport for Work). Consente di accedere a Windows usando l'account Active Directory o Microsoft Entra e sostituire password, smart card e smart card virtuali.
Importante
A partire da Windows 10, versione 1607 tutti i dispositivi hanno un solo PIN associato a Windows Hello for Business. Ciò significa che tutti i PIN di un dispositivo saranno soggetti ai criteri specificati dal provider di servizi di configurazione PassportForWork. I valori specificati hanno la precedenza su eventuali regole di complessità impostate tramite Exchange ActiveSync o il provider di servizi di configurazione DeviceLock.
L'elenco seguente mostra i nodi del provider di servizi di configurazione PassportForWork:
- ./Device/Vendor/MSFT/PassportForWork
- {TenantId}
- Criteri
- DisablePostLogonCredentialCaching
- DisablePostLogonProvisioning
- EnablePinRecovery
- EnableWindowsHelloProvisioningForSecurityKeys
- ExcludeSecurityDevices
- PINComplexity
- Remoto
- RequireSecurityDevice
- UseCertificateForOnPremAuth
- UseCloudTrustForOnPremAuth
- UseHelloCertificatesAsSmartCardCertificates
- UsePassportForWork
- Criteri
- Biometria
- DeviceUnlock
- DynamicLock
- Securitykey
- UseBiometrics
- {TenantId}
- ./User/Vendor/MSFT/PassportForWork
Dispositivo/{TenantId}
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Questo criterio specifica l'ID tenant nel formato di un GUID (Globally Unique Identifier) senza parentesi { }graffe, che verrà usato come parte del provisioning e della gestione Windows Hello for Business.
Per ottenere il GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere Ottenere l'ID tenant di Windows Azure Active Directory in Windows PowerShell.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
| Denominazione dinamica dei nodi | UniqueName: identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione Windows Hello for Business. Per ottenere un GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell. |
Device/{TenantId}/Policies
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies
Nodo radice per i criteri.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
Device/{TenantId}/Policies/DisablePostLogonCredentialCaching
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonCredentialCaching
Disabilitare la memorizzazione nella cache delle credenziali Windows Hello for Business dopo l'accesso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Memorizzazione nella cache delle credenziali abilitata. |
| true | Memorizzazione nella cache delle credenziali disabilitata. |
Device/{TenantId}/Policies/DisablePostLogonProvisioning
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning
Non avviare Windows Hello provisioning dopo l'accesso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Provisioning abilitato. |
| true | Provisioning disabilitato. |
Device/{TenantId}/Policies/EnablePinRecovery
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
Se l'utente dimentica il PIN, può essere modificato in un nuovo PIN usando il servizio di ripristino del PIN Windows Hello for Business. Questo servizio cloud crittografa un segreto di ripristino archiviato localmente nel client, ma che può essere decrittografato solo dal servizio cloud.
Se si abilita questa impostazione di criterio, il segreto di ripristino del PIN verrà archiviato nel dispositivo e l'utente potrà passare a un nuovo PIN nel caso in cui il PIN venga dimenticato.
Se si disabilita o non si configura questa impostazione di criterio, il segreto di ripristino del PIN non verrà creato o archiviato. Se il PIN dell'utente viene dimenticato, l'unico modo per ottenere un nuovo PIN consiste nell'eliminare il PIN esistente e crearne uno nuovo, che richiederà all'utente di ripetere la registrazione con tutti i servizi a cui il PIN precedente ha fornito l'accesso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
Abilitare Windows Hello provisioning se gli utenti accedono ai propri dispositivi con le chiavi di sicurezza FIDO2.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/ExcludeSecurityDevices
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices
Nodo radice per i dispositivi di sicurezza esclusi.
Nota
Non supportato in Windows Holographic e Windows Holographic for Business.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Alcuni TPM (Trusted Platform Modules) sono conformi solo alla precedente revisione 1.2 della specifica TPM definita dal Trusted Computing Group (TCG).
Se si abilita questa impostazione di criterio, i moduli di revisione 1.2 di TPM non saranno consentiti per l'uso con Windows Hello for Business.
Se si disabilita o non si configura questa impostazione di criterio, i moduli di revisione 1.2 di TPM potranno essere usati con Windows Hello for Business.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/PINComplexity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
Nodo radice per i criteri PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
Device/{TenantId}/Policies/PINComplexity/Digits
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
Usare questa impostazione di criterio per configurare l'uso delle cifre nel PIN Windows Hello for Business.
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una cifra nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare cifre nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business richiede agli utenti di usare le cifre nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di cifre nel PIN. |
| 1 | Richiede l'uso di almeno una cifra nel PIN. |
| 2 | Non consente l'uso di cifre nel PIN. |
Device/{TenantId}/Policies/PINComplexity/Expiration
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
Questo criterio specifica quando scade il PIN (in giorni). I valori validi sono compresi tra 0 e 730 inclusi. Se questo criterio è impostato su 0, i PIN non scadono.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-730] |
| Valore predefinito | 0 |
Device/{TenantId}/Policies/PINComplexity/History
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
Questo criterio specifica il numero di PIN precedenti che possono essere archiviati nella cronologia che non possono essere usati. I valori validi sono compresi tra 0 e 50 inclusi. Se questo criterio è impostato su 0, l'archiviazione dei PIN precedenti non è necessaria. La cronologia del PIN non viene mantenuta tramite la reimpostazione del PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-50] |
| Valore predefinito | 0 |
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
Usare questa impostazione di criterio per configurare l'uso di lettere minuscole nel PIN Windows Hello for Business.
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera minuscola nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere minuscole nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere minuscole nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di lettere minuscole nel PIN. |
| 1 | Richiede l'uso di almeno una lettera minuscola nel PIN. |
| 2 | Non consente l'uso di lettere minuscole nel PIN. |
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
La lunghezza massima del PIN consente di configurare il numero massimo di caratteri consentiti per il PIN. Il numero massimo che è possibile configurare per questa impostazione di criterio è 127. Il numero più basso che è possibile configurare deve essere maggiore del numero configurato nell'impostazione del criterio Lunghezza minima PIN o il numero 4, a seconda di quale sia maggiore.
Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a questo numero.
Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a 127.
Nota
Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza massima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [4-127] |
| Valore predefinito | 127 |
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
La lunghezza minima del PIN consente di configurare il numero minimo di caratteri necessari per il PIN. Il numero più basso che è possibile configurare per questa impostazione di criterio è 4. Il numero massimo che è possibile configurare deve essere minore del numero configurato nell'impostazione dei criteri Lunghezza massima PIN o nel numero 127, a seconda di quale sia il numero più basso.
Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a questo numero.
Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a 4.
Nota
Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza minima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [4-127] |
| Valore predefinito | 4 |
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
Usare questa impostazione di criterio per configurare l'uso di caratteri speciali nel movimento PIN Windows Hello for Business. I caratteri speciali validi per Windows Hello for Business movimenti PIN includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno un carattere speciale nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare caratteri speciali nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare caratteri speciali nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di caratteri speciali nel PIN. |
| 1 | Richiede l'uso di almeno un carattere speciale nel PIN. |
| 2 | Non consente l'uso di caratteri speciali nel PIN. |
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
Usare questa impostazione di criterio per configurare l'uso di lettere maiuscole nel PIN Windows Hello for Business.
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera maiuscola nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere maiuscole nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere maiuscole nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di lettere maiuscole nel PIN. |
| 1 | Richiede l'uso di almeno una lettera maiuscola nel PIN. |
| 2 | Non consente l'uso di lettere maiuscole nel PIN. |
Dispositivo/{TenantId}/Policies/Remote
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote
Nodo radice per i criteri di accesso al telefono.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
Device/{TenantId}/Policies/Remote/UseRemotePassport
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport
Valore booleano che specifica se l'accesso al telefono può essere usato con un dispositivo. L'accesso tramite telefono consente a un dispositivo registrato portatile di essere utilizzabile come dispositivo complementare per l'autenticazione desktop.
Il valore predefinito è false.
Se si abilita questa impostazione, un dispositivo desktop consentirà l'uso di un dispositivo complementare registrato come fattore di autenticazione.
Se si disabilita questa impostazione, non è possibile usare un dispositivo complementare negli scenari di autenticazione desktop.
Nota
Non supportato in Windows Holographic e Windows Holographic for Business prima di Windows 10 versione 1903 (aggiornamento di maggio 2019).
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/RequireSecurityDevice
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
Un modulo TPM (Trusted Platform Module) offre vantaggi aggiuntivi in termini di sicurezza rispetto al software perché i dati archiviati al suo interno non possono essere usati in altri dispositivi.
Se si abilita questa impostazione di criterio, Windows Hello for Business solo i dispositivi con provisioning TPM utilizzabile.
Se si disabilita o non si configura questa impostazione di criterio, il TPM è ancora preferibile, ma tutti i dispositivi effettuano il provisioning Windows Hello for Business usando il software se il TPM non è funzionale o non è disponibile.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/UseCertificateForOnPremAuth
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
Windows Hello for Business possono usare i certificati per eseguire l'autenticazione nelle risorse locali.
Se si abilita questa impostazione di criterio, Windows Hello for Business attenderà fino a quando il dispositivo non avrà ricevuto un payload del certificato dal server di gestione dei dispositivi mobili prima di effettuare il provisioning di un PIN.
Se si disabilita o non si configura questa impostazione di criterio, verrà eseguito il provisioning del PIN quando l'utente accede, senza attendere un payload del certificato.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 21H2 [10.0.19044.1566] e versioni successive ✅Windows 11, versione 21H2 [10.0.22000.527] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
Valore booleano che consente a Windows Hello for Business di usare Microsoft Entra Kerberos per l'autenticazione alle risorse locali.
Se si abilita questa impostazione di criterio, Windows Hello for Business userà un ticket Kerberos Microsoft Entra per l'autenticazione alle risorse locali. Il ticket Kerberos Microsoft Entra viene restituito al client dopo aver eseguito correttamente l'autenticazione per Microsoft Entra ID se Microsoft Entra Kerberos è abilitato per il tenant e il dominio.
Se si disabilita o non si configura questa impostazione di criterio, Windows Hello for Business userà una chiave o un certificato per eseguire l'autenticazione alle risorse locali.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
Se si abilita questa impostazione di criterio, le applicazioni usano i certificati Windows Hello for Business come certificati smart card. I fattori biometrici non sono disponibili quando viene richiesto a un utente di autorizzare l'uso della chiave privata del certificato. Questa impostazione di criterio è progettata per consentire la compatibilità con le applicazioni che si basano esclusivamente su certificati smart card.
Se si disabilita o non si configura questa impostazione di criterio, le applicazioni non usano i certificati Windows Hello for Business come certificati smart card e sono disponibili fattori biometrici quando a un utente viene richiesto di autorizzare l'uso della chiave privata del certificato.
Windows richiede a un utente di bloccare e sbloccare la sessione dopo aver modificato questa impostazione se l'utente è attualmente connesso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/{TenantId}/Policies/UsePassportForWork
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello for Business è un metodo alternativo per l'accesso a Windows tramite l'account Active Directory o Microsoft Entra che può sostituire password, smart card e smart card virtuali.
Se si abilita o non si configura questa impostazione di criterio, il dispositivo esegue il provisioning Windows Hello for Business per tutti gli utenti.
Se si disabilita questa impostazione di criterio, il dispositivo non effettua il provisioning Windows Hello for Business per nessun utente.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | True |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false | Disabilitato. |
| true (impostazione predefinita) | Abilitata. |
Dispositivo/Biometria
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/Biometrics
Nodo radice per i criteri biometrici.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Ottieni |
Device/Biometrics/EnableESSwithSupportedPeripherals
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
La sicurezza di accesso avanzata (ESS) isola sia i dati dei modelli biometrici che le operazioni di corrispondenza con l'hardware attendibile o le aree di memoria specificate, il che significa che il resto del sistema operativo non può accedervi o manometterli. Poiché anche il canale di comunicazione tra i sensori e l'algoritmo è protetto, è impossibile per il malware inserire o riprodurre dati per simulare l'accesso di un utente o bloccare un utente dal computer.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | ESS verrà abilitato nei sistemi con software e hardware idonei, seguendo il comportamento predefinito esistente in Windows. Le operazioni di autenticazione dei dispositivi periferici Windows Hello abilitati saranno consentite, in base alle limitazioni delle funzionalità correnti. Inoltre, con questa impostazione, ESS sarà abilitato su dispositivi con una combinazione di dispositivi biometrici, ad esempio una reimpostazione della password self-service con supporto per ESS e una fotocamera non compatibile con ESS. (scelta non consigliata). |
| 1 (impostazione predefinita) | ESS verrà abilitato nei sistemi con software e hardware idonei, seguendo il comportamento predefinito esistente in Windows. Le operazioni di autenticazione di qualsiasi dispositivo biometrico periferico verranno bloccate e non saranno disponibili per Windows Hello. (impostazione predefinita e consigliata per la massima sicurezza). |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Abilitare ESS con le periferiche supportate |
| Percorso | Passport > AT > WindowsComponents > MSPassportForWorkCategory |
Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
Questa impostazione determina se è necessario un anti-spoofing avanzato per Windows Hello autenticazione viso.
Se si abilita questa impostazione, Windows richiede a tutti gli utenti nei dispositivi gestiti di usare l'anti-spoofing avanzato per Windows Hello autenticazione viso. In questo modo viene disabilitata Windows Hello autenticazione viso nei dispositivi che non supportano l'anti-spoofing avanzato.
Se disabiliti o non configuri questa impostazione, Windows non richiede l'anti-spoofing avanzato per Windows Hello autenticazione viso.
Si noti che l'anti-spoofing avanzato per Windows Hello autenticazione viso non è necessario nei dispositivi non gestiti.
Nota
Non supportato in Windows Holographic e Windows Holographic for Business prima di Windows 10 versione 1903 (aggiornamento di maggio 2019).
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/Biometrics/UseBiometrics
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
Windows Hello for Business consente agli utenti di usare movimenti biometrici, ad esempio viso e impronte digitali, come alternativa al movimento PIN. Tuttavia, gli utenti devono comunque configurare un PIN da usare in caso di errori.
Se si abilita o non si configura questa impostazione di criterio, Windows Hello for Business consente l'uso di movimenti biometrici.
Se si disabilita questa impostazione di criterio, Windows Hello for Business impedisce l'uso di movimenti biometrici.
Nota
La disabilitazione di questo criterio impedisce l'uso di movimenti biometrici nel dispositivo per tutti i tipi di account.
Nota
Non supportato in Windows Holographic e Windows Holographic for Business prima di Windows 10 versione 1903 (aggiornamento di maggio 2019).
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/DeviceUnlock
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock
Sblocco del dispositivo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Ottieni |
Device/DeviceUnlock/GroupA
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
Contiene un elenco di provider in base al GUID che devono essere considerati per il primo passaggio dell'autenticazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Espressione regolare: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/GroupB
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
Contiene un elenco di provider in base al GUID che devono essere considerati per il secondo passaggio dell'autenticazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Espressione regolare: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/Plugins
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
Elenco di plug-in monitorati dal provider passivo per rilevare la presenza dell'utente.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Device/DynamicLock
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DynamicLock
Blocco dinamico.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Ottieni |
Device/DynamicLock/DynamicLock
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
Abilita/disabilita il blocco dinamico.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Device/DynamicLock/Plugins
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins
Elenco di plug-in monitorati dal provider passivo per rilevare l'assenza dell'utente.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Device/SecurityKey
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1903 [10.0.18362] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/SecurityKey
Chiave di sicurezza.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Ottieni |
Device/SecurityKey/UseSecurityKeyForSignin
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1903 [10.0.18362] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
Usare la chiave di sicurezza per l'accesso. 0 è disabilitato. 1 è abilitato. Se non si configura questa impostazione di criterio, l'impostazione predefinita è disabilitata.
Consente agli utenti di accedere al dispositivo con una chiave di sicurezza FIDO2 compatibile con l'implementazione di Microsoft.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato. |
Device/UseBiometrics
Nota
Questo criterio è deprecato e può essere rimosso in una versione futura.
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./Device/Vendor/MSFT/PassportForWork/UseBiometrics
QUESTO NODO È DEPRECATO E VERRÀ RIMOSSO IN UNA VERSIONE FUTURA. USARE INVECE IL NODO Biometrics/UseBiometrics.
Windows Hello for Business consente agli utenti di usare movimenti biometrici, ad esempio viso e impronte digitali, come alternativa al movimento PIN. Tuttavia, gli utenti devono comunque configurare un PIN da usare in caso di errori.
Se si abilita o non si configura questa impostazione di criterio, Windows Hello for Business consente l'uso di movimenti biometrici.
Se si disabilita questa impostazione di criterio, Windows Hello for Business impedisce l'uso di movimenti biometrici.
Nota
La disabilitazione di questo criterio impedisce l'uso di movimenti biometrici nel dispositivo per tutti i tipi di account.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
Utente/{TenantId}
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}
Questo criterio specifica l'ID tenant nel formato di un GUID (Globally Unique Identifier) senza parentesi { }graffe, che verrà usato come parte del provisioning e della gestione Windows Hello for Business.
Per ottenere il GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere Ottenere l'ID tenant di Windows Azure Active Directory in Windows PowerShell.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
| Denominazione dinamica dei nodi | UniqueName: identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione Windows Hello for Business. Per ottenere un GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell. |
Utente/{TenantId}/Criteri
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies
Nodo radice per i criteri.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
Utente/{TenantId}/Policies/EnablePinRecovery
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
Se l'utente dimentica il PIN, può essere modificato in un nuovo PIN usando il servizio di ripristino del PIN Windows Hello for Business. Questo servizio cloud crittografa un segreto di ripristino archiviato localmente nel client, ma che può essere decrittografato solo dal servizio cloud.
Se si abilita questa impostazione di criterio, il segreto di ripristino del PIN verrà archiviato nel dispositivo e l'utente potrà passare a un nuovo PIN nel caso in cui il PIN venga dimenticato.
Se si disabilita o non si configura questa impostazione di criterio, il segreto di ripristino del PIN non verrà creato o archiviato. Se il PIN dell'utente viene dimenticato, l'unico modo per ottenere un nuovo PIN consiste nell'eliminare il PIN esistente e crearne uno nuovo, che richiederà all'utente di ripetere la registrazione con tutti i servizi a cui il PIN precedente ha fornito l'accesso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
User/{TenantId}/Policies/PINComplexity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
Nodo radice per i criteri PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Add, Delete, Get |
User/{TenantId}/Policies/PINComplexity/Digits
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
Usare questa impostazione di criterio per configurare l'uso delle cifre nel PIN Windows Hello for Business.
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una cifra nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare cifre nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business richiede agli utenti di usare le cifre nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di cifre nel PIN. |
| 1 | Richiede l'uso di almeno una cifra nel PIN. |
| 2 | Non consente l'uso di cifre nel PIN. |
Utente/{TenantId}/Policies/PINComplexity/Expiration
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
Questo criterio specifica quando scade il PIN (in giorni). I valori validi sono compresi tra 0 e 730 inclusi. Se questo criterio è impostato su 0, i PIN non scadono.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-730] |
| Valore predefinito | 0 |
User/{TenantId}/Policies/PINComplexity/History
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
Questo criterio specifica il numero di PIN precedenti che possono essere archiviati nella cronologia che non possono essere usati. I valori validi sono compresi tra 0 e 50 inclusi. Se questo criterio è impostato su 0, l'archiviazione dei PIN precedenti non è necessaria. La cronologia del PIN non viene mantenuta tramite la reimpostazione del PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-50] |
| Valore predefinito | 0 |
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
Usare questa impostazione di criterio per configurare l'uso di lettere minuscole nel PIN Windows Hello for Business.
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera minuscola nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere minuscole nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere minuscole nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di lettere minuscole nel PIN. |
| 1 | Richiede l'uso di almeno una lettera minuscola nel PIN. |
| 2 | Non consente l'uso di lettere minuscole nel PIN. |
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
La lunghezza massima del PIN consente di configurare il numero massimo di caratteri consentiti per il PIN. Il numero massimo che è possibile configurare per questa impostazione di criterio è 127. Il numero più basso che è possibile configurare deve essere maggiore del numero configurato nell'impostazione del criterio Lunghezza minima PIN o il numero 4, a seconda di quale sia maggiore.
Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a questo numero.
Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a 127.
Nota
Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza massima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [4-127] |
| Valore predefinito | 127 |
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
La lunghezza minima del PIN consente di configurare il numero minimo di caratteri necessari per il PIN. Il numero più basso che è possibile configurare per questa impostazione di criterio è 4. Il numero massimo che è possibile configurare deve essere minore del numero configurato nell'impostazione dei criteri Lunghezza massima PIN o nel numero 127, a seconda di quale sia il numero più basso.
Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a questo numero.
Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a 4.
Nota
Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza minima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [4-127] |
| Valore predefinito | 4 |
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
Usare questa impostazione di criterio per configurare l'uso di caratteri speciali nel movimento PIN Windows Hello for Business. I caratteri speciali validi per Windows Hello for Business movimenti PIN includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno un carattere speciale nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare caratteri speciali nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare caratteri speciali nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di caratteri speciali nel PIN. |
| 1 | Richiede l'uso di almeno un carattere speciale nel PIN. |
| 2 | Non consente l'uso di caratteri speciali nel PIN. |
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
Usare questa impostazione di criterio per configurare l'uso di lettere maiuscole nel PIN Windows Hello for Business.
Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera maiuscola nel PIN.
Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere maiuscole nel PIN.
Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere maiuscole nel PIN.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Consente l'uso di lettere maiuscole nel PIN. |
| 1 | Richiede l'uso di almeno una lettera maiuscola nel PIN. |
| 2 | Non consente l'uso di lettere maiuscole nel PIN. |
User/{TenantId}/Policies/RequireSecurityDevice
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
Un modulo TPM (Trusted Platform Module) offre vantaggi aggiuntivi in termini di sicurezza rispetto al software perché i dati archiviati al suo interno non possono essere usati in altri dispositivi.
Se si abilita questa impostazione di criterio, Windows Hello for Business solo i dispositivi con provisioning TPM utilizzabile.
Se si disabilita o non si configura questa impostazione di criterio, il TPM è ancora preferibile, ma tutti i dispositivi effettuano il provisioning Windows Hello for Business usando il software se il TPM non è funzionale o non è disponibile.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | Disabilitato. |
| true | Abilitata. |
User/{TenantId}/Policies/UsePassportForWork
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1511 [10.0.10586] e versioni successive |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello for Business è un metodo alternativo per l'accesso a Windows tramite l'account Active Directory o Microsoft Entra che può sostituire password, smart card e smart card virtuali.
Se si abilita o non si configura questa impostazione di criterio, il dispositivo esegue il provisioning Windows Hello for Business per tutti gli utenti.
Se si disabilita questa impostazione di criterio, il dispositivo non effettua il provisioning Windows Hello for Business per nessun utente.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | True |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false | Disabilitato. |
| true (impostazione predefinita) | Abilitata. |
Esempi
Ecco un esempio per impostare Windows Hello for Business e i criteri PIN. Attiva anche l'uso della biometria e del TPM.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
</LocURI>
</Target>
</Item>
</Add>
<Add>
<CmdID>3</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>4</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>5</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdID>6</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>16</Data>
</Item>
</Add>
<Add>
<CmdID>7</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Add>
<CmdID>8</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>9</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdID>10</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>11</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdID>12</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>70</Data>
</Item>
</Add>
<Add>
<CmdID>13</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>14</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>15</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>16</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per