Condividi tramite


Provider di servizi di configurazione dei criteri - WindowsLogon

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

AllowAutomaticRestartSignOn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1903 [10.0.18362] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn

Questa impostazione di criterio controlla se un dispositivo eseguirà automaticamente l'accesso e bloccherà l'ultimo utente interattivo dopo il riavvio del sistema o dopo un arresto e un avvio a freddo.

Ciò si verifica solo se l'ultimo utente interattivo non si è disconnetteto prima del riavvio o dell'arresto.

Se il dispositivo è aggiunto ad Active Directory o Microsoft Entra ID, questo criterio si applica solo ai riavvii Windows Update. In caso contrario, questo vale sia per i riavvii Windows Update che per i riavvii e gli arresti avviati dall'utente.

  • Se non si configura questa impostazione di criterio, è abilitata per impostazione predefinita. Quando i criteri sono abilitati, l'utente viene connesso automaticamente e la sessione viene bloccata automaticamente con tutte le app della schermata di blocco configurate per l'utente dopo l'avvio del dispositivo.

Dopo aver abilitato questo criterio, è possibile configurarne le impostazioni tramite il criterio ConfigAutomaticRestartSignOn, che configura la modalità di accesso e blocco automatico dell'ultimo utente interattivo dopo un riavvio o un avvio a freddo.

  • Se si disabilita questa impostazione di criterio, il dispositivo non configura l'accesso automatico. Le app della schermata di blocco dell'utente non vengono riavviate dopo il riavvio del sistema.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AutomaticRestartSignOn
Nome descrittivo Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio
Posizione Configurazione computer
Percorso Componenti > di Windows Opzioni di accesso a Windows
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System
Nome del valore del registro DisableAutomaticRestartSignOn
Nome file ADMX WinLogon.admx

ConfigAutomaticRestartSignOn

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1903 [10.0.18362] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/ConfigAutomaticRestartSignOn

Questa impostazione di criterio controlla la configurazione in cui si verificano un riavvio automatico, l'accesso e il blocco dopo un riavvio o un avvio a freddo. Se si sceglie "Disabilitato" nel criterio "Accedi e blocca l'ultimo utente interattivo automaticamente dopo un riavvio", l'accesso automatico non verrà eseguito e questo criterio non deve essere configurato.

  • Se si abilita questa impostazione di criterio, è possibile scegliere una delle due opzioni seguenti:
  1. "Abilitato se BitLocker è attivato e non sospeso" specifica che l'accesso e il blocco automatici si verificheranno solo se BitLocker è attivo e non è sospeso durante il riavvio o l'arresto. I dati personali sono attualmente accessibili sul disco rigido del dispositivo se BitLocker non è attivato o sospeso durante un aggiornamento. La sospensione di BitLocker rimuove temporaneamente la protezione per i componenti e i dati di sistema, ma potrebbe essere necessaria in determinate circostanze per aggiornare correttamente i componenti critici per l'avvio.

BitLocker viene sospeso durante gli aggiornamenti se:

  • Il dispositivo non dispone di TPM 2.0 e PCR7 oppure
  • Il dispositivo non usa una protezione solo TPM.
  1. "Always Enabled" specifica che l'accesso automatico verrà eseguito anche se BitLocker è disattivato o sospeso durante il riavvio o l'arresto. Quando BitLocker non è abilitato, i dati personali sono accessibili sul disco rigido. Il riavvio automatico e l'accesso devono essere eseguiti solo in questa condizione se si è certi che il dispositivo configurato si trovi in una posizione fisica sicura.
  • Se si disabilita o non si configura questa impostazione, l'accesso automatico verrà impostato per impostazione predefinita sul comportamento "Abilitato se BitLocker è attivato e non sospeso".

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome ConfigAutomaticRestartSignOn
Nome descrittivo Configurare la modalità di accesso e blocco automatico dell'ultimo utente interattivo dopo un riavvio o un avvio a freddo
Posizione Configurazione computer
Percorso Componenti > di Windows Opzioni di accesso a Windows
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System
Nome file ADMX WinLogon.admx

DisableLockScreenAppNotifications

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DisableLockScreenAppNotifications

Questa impostazione di criterio consente di impedire la visualizzazione delle notifiche dell'app nella schermata di blocco.

  • Se si abilita questa impostazione di criterio, nella schermata di blocco non vengono visualizzate notifiche dell'app.

  • Se disabiliti o non configuri questa impostazione di criterio, gli utenti possono scegliere quali app visualizzano le notifiche nella schermata di blocco.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DisableLockScreenAppNotifications
Nome descrittivo Disattiva le notifiche nella schermata di blocco
Posizione Configurazione computer
Percorso Accesso di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\System
Nome del valore del registro DisableLockScreenAppNotifications
Nome file ADMX Logon.admx

DontDisplayNetworkSelectionUI

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI

Questa impostazione di criterio consente di controllare se chiunque può interagire con l'interfaccia utente delle reti disponibili nella schermata di accesso.

  • Se si abilita questa impostazione di criterio, lo stato di connettività di rete del PC non può essere modificato senza accedere a Windows.

  • Se disabiliti o non configuri questa impostazione di criterio, qualsiasi utente può disconnettere il PC dalla rete o connettere il PC ad altre reti disponibili senza accedere a Windows.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DontDisplayNetworkSelectionUI
Nome descrittivo Non visualizzare l'interfaccia utente di selezione della rete
Posizione Configurazione computer
Percorso Accesso di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\System
Nome del valore del registro DontDisplayNetworkSelectionUI
Nome file ADMX Logon.admx

Esempio:

Ecco un esempio per abilitare questo criterio:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Atomic>
      <CmdID>300</CmdID>
      <Replace>
        <CmdID>301</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">chr</Format>
          </Meta>
          <Data><![CDATA[<enabled/>]]></Data>
        </Item>
      </Replace>
    </Atomic>
    <Final/>
  </SyncBody>
</SyncML>

EnableFirstLogonAnimation

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1903 [10.0.18362] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation

Questa impostazione di criterio consente di controllare se gli utenti visualizzano la prima animazione di accesso quando accedono al computer per la prima volta. Questo vale sia per il primo utente del computer che completa la configurazione iniziale che per gli utenti che vengono aggiunti al computer in un secondo momento. Controlla anche se agli utenti dell'account Microsoft verrà offerta la richiesta di consenso esplicito per i servizi durante il primo accesso.

  • Se si abilita questa impostazione di criterio, gli utenti dell'account Microsoft visualizzeranno la richiesta di consenso esplicito per i servizi e gli utenti con altri account visualizzeranno l'animazione di accesso.

  • Se disabiliti questa impostazione di criterio, gli utenti non visualizzeranno l'animazione e gli utenti dell'account Microsoft non visualizzeranno la richiesta di consenso esplicito per i servizi.

  • Se non configuri questa impostazione di criterio, l'utente che completa l'installazione iniziale di Windows visualizzerà l'animazione durante il primo accesso. Se il primo utente ha già completato l'installazione iniziale e questa impostazione di criterio non è configurata, gli utenti nuovi di questo computer non visualizzeranno l'animazione.

Nota

La prima animazione di accesso non verrà visualizzata nel server, quindi questo criterio non avrà alcun effetto.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitata.

Mapping dei criteri di gruppo:

Nome Valore
Nome EnableFirstLogonAnimation
Nome descrittivo Mostra animazione primo accesso
Posizione Configurazione computer
Percorso Accesso di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System
Nome del valore del registro EnableFirstLogonAnimation
Nome file ADMX Logon.admx

EnableMPRNotifications

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableMPRNotifications

Questo criterio controlla se la password dell'utente è inclusa nel contenuto delle notifiche MPR inviate da winlogon nel sistema.

  • Se disabiliti questa impostazione o non la configuri, winlogon invia notifiche MPR con campi password vuoti delle informazioni di autenticazione dell'utente.

  • Se si abilita questa impostazione, winlogon invia notifiche MPR contenenti la password dell'utente nelle informazioni di autenticazione.

Nota

A partire da Windows Insiders build 25216, il comportamento dei criteri EnableMPRNotifications è stato modificato e il Criteri di gruppo è stato aggiornato con il testo seguente:

  • Nome descrittivo: configurare la trasmissione della password dell'utente nel contenuto delle notifiche di MPR inviate da winlogon
  • Descrizione: questo criterio controlla se la password dell'utente è inclusa nel contenuto delle notifiche di MPR inviate da winlogon nel sistema.
    • Se si disabilita questa impostazione o non la si configura, winlogon invia notifiche MPR con campi password vuoti delle informazioni di autenticazione dell'utente.
    • Se si abilita questa impostazione, winlogon invia notifiche MPR contenenti la password dell'utente nelle informazioni di autenticazione.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome EnableMPRNotifications
Nome descrittivo Configurare la trasmissione della password dell'utente nel contenuto delle notifiche di MPR inviate da winlogon.
Posizione Configurazione computer
Percorso Componenti > di Windows Opzioni di accesso a Windows
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System
Nome del valore del registro EnableMPR
Nome file ADMX WinLogon.admx

EnumerateLocalUsersOnDomainJoinedComputers

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Questa impostazione di criterio consente di enumerare gli utenti locali nei computer aggiunti a un dominio.

  • Se si abilita questa impostazione di criterio, l'interfaccia utente di accesso enumera tutti gli utenti locali nei computer aggiunti a un dominio.

  • Se disabiliti o non configuri questa impostazione di criterio, l'interfaccia utente di accesso non enumera gli utenti locali nei computer aggiunti a un dominio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome EnumerateLocalUsers
Nome descrittivo Enumerare gli utenti locali nei computer aggiunti a un dominio
Posizione Configurazione computer
Percorso Accesso di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Windows\System
Nome del valore del registro EnumerateLocalUsers
Nome file ADMX Logon.admx

HideFastUserSwitching

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/HideFastUserSwitching

Questa impostazione di criterio consente di nascondere l'interfaccia Cambia utente nell'interfaccia utente di accesso, nel menu Start e in Gestione attività.

  • Se si abilita questa impostazione di criterio, l'interfaccia Cambia utente viene nascosta all'utente che sta tentando di accedere o che è connesso al computer a cui è applicato questo criterio.

I percorsi visualizzati nell'interfaccia utente Cambia utente si trovano nell'interfaccia utente di accesso, nel menu Start e in Gestione attività.

  • Se si disabilita o non si configura questa impostazione di criterio, l'interfaccia Cambia utente è accessibile all'utente nelle tre posizioni.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilitato (visibile).
1 Abilitato (nascosto).

Mapping dei criteri di gruppo:

Nome Valore
Nome HideFastUserSwitching
Nome descrittivo Nascondi punti di ingresso per Cambio rapido utente
Posizione Configurazione computer
Percorso Accesso di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System
Nome del valore del registro HideFastUserSwitching
Nome file ADMX Logon.admx

OverrideShellProgram

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11 versione 22H2 [10.0.22621.2338] e versioni successive
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/OverrideShellProgram

I criteri OverrideShellProgram consentono all'amministratore IT di configurare il programma shell per il sistema operativo Windows in un dispositivo. Questo criterio ha la precedenza più alta rispetto ad altri modi per configurare il programma shell. I criteri attualmente supportano le opzioni seguenti: 1. Non configurato: verrà avviata la shell predefinita. 2. Applica Lightweight Shell: Lightweight Shell non ha un'interfaccia utente e consente al dispositivo di ottenere prestazioni migliori perché la shell usa risorse limitate rispetto alla shell predefinita. Lightweight Shell contiene un set limitato di funzionalità che possono essere utilizzate dalle applicazioni. Questa configurazione può essere utile se il dispositivo deve avere un'applicazione dell'interfaccia utente in esecuzione continua che utilizzerebbe le funzionalità offerte da Lightweight Shell. Se si disabilita o non si configura questa impostazione di criterio, verrà avviata la shell predefinita.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Non configurato.
1 Applica shell leggera.

Provider del servizio di configurazione dei criteri