Provider di servizi di configurazione dei criteri - Autenticazione
AllowAadPasswordReset
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Specifica se la reimpostazione della password è abilitata per gli account Microsoft Entra.
Questo criterio consente all'amministratore del tenant di Microsoft Entra di abilitare la funzionalità di reimpostazione della password self-service nella schermata di accesso di Windows.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. |
| 1 | Consentito. |
AllowEAPCertSSO
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
❌ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1507 [10.0.10240] e versioni successive |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
Consente a un'autenticazione basata su certificato EAP per un accesso Single Sign-On (SSO) di accedere alle risorse interne.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. |
| 1 | Consentito. |
AllowFastReconnect
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
Consente la riconnessione rapida EAP dallo stato di tentativo per TLS del metodo EAP. Il valore con più restrizioni è 0.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AllowSecondaryAuthenticationDevice
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
Questo criterio consente agli utenti di usare un dispositivo complementare, ad esempio un telefono, una banda fitness o un dispositivo IoT, per accedere a un computer desktop che esegue Windows 10. Il dispositivo complementare fornisce un secondo fattore di autenticazione con Windows Hello.
Se si abilita o non si configura questa impostazione di criterio, gli utenti possono eseguire l'autenticazione a Windows Hello usando un dispositivo complementare.
Se disabiliti questo criterio, gli utenti non possono usare un dispositivo complementare per l'autenticazione con Windows Hello.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Operazione non consentita. |
| 1 | Consentito. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| Nome descrittivo | Consenti dispositivo complementare per l'autenticazione secondaria |
| Posizione | Configurazione computer |
| Percorso | Componenti di > Windows Microsoft Secondary Authentication Factor |
| Nome della chiave del Registro di sistema | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| Nome del valore del registro | AllowSecondaryAuthenticationDevice |
| Nome file ADMX | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Specifica un elenco di domini autorizzati ad accedere alla webcam negli scenari di autenticazione basati sull'accesso Web.
Nota
L'accesso Web è supportato solo nei PC aggiunti a Microsoft Entra.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: ;) |
Esempio:
L'organizzazione esegue la federazione a "Contoso IDP" e il portale di accesso Web in richiede l'accesso tramite signinportal.contoso.com webcam. Il valore per questo criterio deve quindi essere:
contoso.com
ConfigureWebSignInAllowedUrls
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1803 con KB5001339 [10.0.17134.2145] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Specifica un elenco di URL che possono essere usati negli scenari di autenticazione basati sull'accesso Web.
Questo criterio specifica l'elenco di domini a cui gli utenti possono accedere in determinati scenari di autenticazione. Ad esempio:
- Reimpostazione del PIN di Microsoft Entra ID
- Scenari di dispositivi Windows di accesso Web in cui l'autenticazione viene gestita da Active Directory Federation Services (AD FS) o da un provider di identità federato di terze parti
Nota
Questo criterio è necessario negli ambienti federati come mitigazione della vulnerabilità descritta in CVE-2021-27092.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: ;) |
Esempio:
Il flusso di reimpostazione del PIN o di autenticazione dell'accesso Web dell'organizzazione dovrebbe passare ai due domini seguenti: accounts.contoso.com e signin.contoso.com. Il valore per questo criterio deve quindi essere:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
Specifica se i nuovi account Microsoft Entra non amministratori devono connettersi automaticamente agli account locali candidati creati in precedenza.
Questo criterio è destinato all'uso nei PC condivisi per abilitare un'esperienza di accesso rapido per un utente. Funziona connettendo automaticamente i nuovi account Microsoft Entra non amministratori agli account locali candidati pre-configurati.
Importante
Gli account locali candidati pre-configurati sono tutti gli account locali pre-configurati o aggiunti nel dispositivo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | La funzionalità usa per impostazione predefinita lo SKU e le funzionalità del dispositivo esistenti. |
| 1 | Abilitato. Connettere automaticamente nuovi account Microsoft Entra non amministratori a account locali candidati pre-configurati. |
| 2 | Disabilitato. Non connettere automaticamente nuovi account Microsoft Entra non amministratori a account locali pre-configurati. |
EnablePasswordlessExperience
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11 versione 23H2 con KB5031455 [10.0.22631.2506] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Specifica se gli utenti connessi nei dispositivi aggiunti a Microsoft Entra ricevono un'esperienza senza password in Windows.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Per impostazione predefinita, la funzionalità è l'edizione e le funzionalità del dispositivo esistenti. |
| 1 | Abilitato. L'esperienza Senza password verrà abilitata in Windows. |
| 2 | Disabilitato. L'esperienza senza password non verrà abilitata in Windows. |
EnableWebSignIn
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Specifica se l'accesso basato sul Web è consentito per l'accesso a Windows.
L'accesso Web è un provider di credenziali che consente un'esperienza di accesso basata sul Web nei dispositivi Windows. Inizialmente introdotto in Windows 10 con il supporto solo per il pass di accesso temporaneo (TAP), l'accesso Web ha ampliato le sue funzionalità a partire da Windows 11 versione 22H2 con KB5030310. Per altre informazioni, vedere Accesso Web per Windows.
Nota
L'accesso Web è supportato solo nei PC aggiunti a Microsoft Entra.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | La funzionalità usa per impostazione predefinita lo SKU e le funzionalità del dispositivo esistenti. |
| 1 | Abilitato. L'accesso Web verrà abilitato per l'accesso a Windows. |
| 2 | Disabilitato. L'accesso Web non verrà abilitato per l'accesso a Windows. |
PreferredAadTenantDomainName
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Specifica il dominio preferito tra i domini disponibili nel tenant di Microsoft Entra.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Esempio:
L'organizzazione usa il nome di dominio tenant @contoso.com . Il valore per questo criterio deve quindi essere:
contoso.com
Per l'utente abby@constoso.com, un accesso viene eseguito usando abby nel campo nome utente anziché abby@contoso.com.