다음을 통해 공유


정책 CSP - DeviceLock

이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.

SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.

중요

DeviceLock CSP는 Exchange ActiveSync 정책 엔진을 활용합니다. 암호 길이 및 복잡성 규칙이 적용되면 모든 로컬 사용자 및 관리자 계정이 다음 로그인 시 암호를 변경하도록 표시되어 복잡성 요구 사항이 충족되도록 합니다. 자세한 내용은 계정 유형에서 지원하는 암호 길이 및 복잡성을 참조하세요.

AccountLockoutPolicy

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy

계정 잠금 임계값 - 이 보안 설정은 사용자 계정을 잠글 수 있는 실패한 로그온 시도 횟수를 결정합니다. 잠긴 계정은 관리자가 다시 설정하거나 계정에 대한 잠금 기간이 만료될 때까지 사용할 수 없습니다. 0~999개의 실패한 로그온 시도 사이의 값을 설정할 수 있습니다. 값을 0으로 설정하면 계정이 잠기지 않습니다. Ctrl+Alt+DELETE 또는 암호로 보호된 화면 보호기 중 하나를 사용하여 잠긴 워크스테이션 또는 멤버 서버에 대한 실패한 암호 시도는 실패한 로그온 시도로 간주됩니다. 기본값: 0 계정 잠금 기간 - 이 보안 설정은 잠금 해제된 계정이 자동으로 잠금 해제되기 전에 잠긴 상태로 유지되는 시간(분)을 결정합니다. 사용 가능한 범위는 0분에서 99,999분까지입니다. 계정 잠금 기간을 0으로 설정하면 관리자가 명시적으로 잠금을 해제할 때까지 계정이 잠깁니다. 계정 잠금 임계값이 정의된 경우 계정 잠금 기간은 다시 설정 시간보다 크거나 같아야 합니다. 기본값: 이 정책 설정은 계정 잠금 임계값이 지정된 경우에만 의미가 있기 때문에 없음입니다. 이후 계정 잠금 카운터 다시 설정 - 이 보안 설정은 실패한 로그온 시도 카운터가 0개의 잘못된 로그온 시도로 다시 설정되기 전에 실패한 로그온 시도 후 경과해야 하는 시간(분)을 결정합니다. 사용 가능한 범위는 1분에서 99,999분입니다. 계정 잠금 임계값이 정의된 경우 이 재설정 시간은 계정 잠금 기간보다 작거나 같아야 합니다. 기본값: 이 정책 설정은 계정 잠금 임계값이 지정된 경우에만 의미가 있기 때문에 없음입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

AllowAdministratorLockout

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout

관리자 계정 잠금 허용 이 보안 설정은 기본 제공 관리자 계정에 계정 잠금 정책이 적용되는지 여부를 결정합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-1]
기본 값 1

그룹 정책 매핑:

이름
이름 관리자 계정 잠금 허용
경로 Windows 설정 > 보안 설정 > 계정 정책 > 계정 잠금 정책

AllowIdleReturnWithoutPassword

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
❌ 프로
❌ Enterprise
❌ Education
❌ Windows SE
❌ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword

디바이스가 유휴 상태에서 다시 시작될 때 사용자가 PIN 또는 암호를 입력해야 하는지 여부를 지정합니다.

참고

현재 이 정책은 HoloLens 2, HoloLens(1세대) Commercial Suite 및 HoloLens(1세대) 개발 버전에서만 지원됩니다.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 1
종속성 [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

허용되는 값:

설명
0 허용되지 않음
1(기본값) 허용됩니다.

AllowScreenTimeoutWhileLockedUserConfig

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, 버전 1607 [10.0.14393] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

Windows 10 Mobile 디바이스의 잠금 화면에서 화면 시간 제한을 제어하는 사용자 구성 가능 설정을 표시할지 여부를 지정합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 0

허용되는 값:

설명
1 허용.
0(기본값) 차단.

AllowSimpleDevicePassword

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword

PIN 또는 암호(예: 1111 또는 1234)를 허용할지 여부를 지정합니다. 데스크톱의 경우 사진 암호 사용도 제어합니다.

이 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요를 참조하세요.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 1
종속성 [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

허용되는 값:

설명
0 허용되지 않음
1(기본값) 허용됩니다.

AlphanumericDevicePasswordRequired

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired

필요한 PIN 또는 암호 유형을 결정합니다. 이 정책은 DeviceLock/DevicePasswordEnabled 정책이 0으로 설정된 경우에만 적용됩니다.

참고

AlphanumericDevicePasswordRequired가 1 또는 2로 설정된 경우 MinDevicePasswordLength = 0 및 MinDevicePasswordComplexCharacters = 1입니다. AlphanumericDevicePasswordRequired가 0으로 설정된 경우 MinDevicePasswordLength = 4 및 MinDevicePasswordComplexCharacters = 2입니다.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다. 데스크톱용 Windows 버전(Home, Pro, Enterprise 및 Education)에서 이 정책에 대해 추가 대신 항상 Replace 명령을 사용합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 2
종속성 [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

허용되는 값:

설명
0 암호 또는 영숫자 PIN이 필요합니다.
1 암호 또는 숫자 PIN이 필요합니다.
2(기본값) 암호, 숫자 PIN 또는 영숫자 PIN이 필요합니다.

ClearTextPassword

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword

되돌릴 수 있는 암호화를 사용하여 암호 저장 이 보안 설정은 운영 체제가 되돌릴 수 있는 암호화를 사용하여 암호를 저장하는지 여부를 결정합니다. 이 정책은 인증을 위해 사용자의 암호에 대한 지식이 필요한 프로토콜을 사용하는 애플리케이션에 대한 지원을 제공합니다. 되돌릴 수 있는 암호화를 사용하여 암호를 저장하는 것은 기본적으로 일반 텍스트 버전의 암호를 저장하는 것과 같습니다. 이러한 이유로 애플리케이션 요구 사항이 암호 정보를 보호할 필요를 능가하지 않는 한 이 정책을 사용하도록 설정해서는 안 됩니다. 이 정책은 원격 액세스 또는 IAS(인터넷 인증 서비스)를 통해 Challenge-Handshake CHAP(인증 프로토콜) 인증을 사용하는 경우에 필요합니다. IIS(인터넷 정보 서비스)에서 다이제스트 인증을 사용하는 경우에도 필요합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-1]
기본 값 0

그룹 정책 매핑:

이름
이름 해독 가능한 암호화를 사용하여 암호 저장
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

DevicePasswordEnabled

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled

디바이스 잠금을 사용할지 여부를 지정합니다.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다. 데스크톱 버전용 Windows에서 이 정책에 대해 추가 대신 항상 Replace 명령을 사용합니다.

중요

다음 정책 설정을 적용하려면 DevicePasswordEnabled 설정을 0(디바이스 암호 사용)으로 설정해야 합니다.

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters

DevicePasswordEnabled가 0(디바이스 암호 사용)으로 설정된 경우 다음 정책이 설정됩니다.

  • MinDevicePasswordLength가 4로 설정됩니다.
  • MinDevicePasswordComplexCharacters가 1로 설정되었습니다.

DevicePasswordEnabled가 1(디바이스 암호 사용 안 함)으로 설정된 경우 다음 DeviceLock 정책이 0으로 설정됩니다.

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

WMI가 WINDOWS 8.x와의 이전 버전과의 호환성을 위해 정책 CSP에서 기본적으로 사용하도록 설정되어 있으므로 WMI를 사용하여 EAS DeviceLock 정책을 설정하는 경우 DevicePasswordEnabled를 사용(0)으로 설정해서는 안 됩니다. DevicePasswordEnabled가 Enabled(0)로 설정된 경우 정책 CSP는 DevicePasswordEnabled가 이미 존재한다는 오류를 반환합니다. Windows 8.x는 DevicePassword 정책을 지원하지 않았습니다. DevicePasswordEnabled(1)를 사용하지 않도록 설정하는 경우 아래에 나열된 정책의 DeviceLock 그룹에서 설정된 유일한 정책이어야 합니다.

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MinDevicePasswordComplexCharacters
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock

참고

DevicePasswordExpiration은 MDMWinsOverGP를 통해 지원되지 않습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 1

허용되는 값:

설명
0 활성화.
1(기본값) 사용하지 않도록 설정됩니다.

DevicePasswordExpiration

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration

암호가 만료되는 시점(일)을 지정합니다.

모든 정책 값이 0이면 0이고, 0이면 0입니다. 그렇지 않으면 최소 정책 값이 가장 안전한 값입니다.

이 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요를 참조하세요.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-730]
기본 값 0
종속성 [DeviceLock_DevicePasswordExpiration_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

DevicePasswordHistory

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory

사용할 수 없는 기록에 저장할 수 있는 암호 수를 지정합니다.

값에는 사용자의 현재 암호가 포함됩니다. 이 값은 설정이 1인 경우 사용자가 새 암호를 선택할 때 현재 암호를 다시 사용할 수 없음을 나타내는 반면, 5로 설정하면 사용자가 새 암호를 현재 암호 또는 이전 4개의 암호로 설정할 수 없습니다.

최대 정책 값이 가장 제한됩니다.

이 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요를 참조하세요.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-50]
기본 값 0
종속성 [DeviceLock_DevicePasswordHistory_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

EnforceLockScreenAndLogonImage

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, 버전 1607 [10.0.14393] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

사용자가 로그인하지 않은 경우 표시되는 기본 잠금 화면 및 로그온 이미지를 지정합니다. 또한 기본 이미지를 대체하는 모든 사용자에 대해 지정된 이미지를 설정합니다. 잠금 및 로그온 화면 모두에 동일한 이미지가 사용됩니다. 사용자는 이 이미지를 변경할 수 없습니다. 값 형식은 전체 이미지 파일 경로 및 파일 이름인 문자열입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

EnforceLockScreenProvider

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, 버전 1607 [10.0.14393] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

MaxDevicePasswordFailedAttempts

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts

디바이스를 초기화하기 전에 허용되는 인증 실패 횟수입니다. 값이 0이면 디바이스 초기화 기능이 비활성화됩니다.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다. 이 정책은 모바일 디바이스와 데스크톱에서 서로 다른 동작을 줍니다. 모바일 디바이스에서 사용자가 이 정책에 의해 설정된 값에 도달하면 디바이스가 초기화됩니다. 데스크톱에서 사용자가 이 정책에 의해 설정된 값에 도달하면 초기화되지 않습니다. 대신 데스크톱은 BitLocker 복구 모드에 배치되므로 데이터에 액세스할 수 없지만 복구할 수 있습니다. BitLocker를 사용하도록 설정하지 않으면 정책을 적용할 수 없습니다. 실패한 시도 제한에 도달하기 전에 사용자가 잠금 화면으로 전송되고 실패한 시도가 더 많으면 컴퓨터가 잠기게 됩니다. 사용자가 제한에 도달하면 디바이스가 자동으로 다시 부팅되고 BitLocker 복구 페이지가 표시됩니다. 이 페이지에서는 사용자에게 BitLocker 복구 키를 묻는 메시지를 표시합니다. 모든 정책 값 = 0인 경우 가장 안전한 값은 0입니다. 그렇지 않으면 최소 정책 값이 가장 안전한 값입니다. 이 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요를 참조하세요.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-999]
기본 값 0
종속성 [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

MaximumPasswordAge

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge

이 보안 설정은 시스템에서 사용자가 암호를 변경하도록 요구하기 전에 암호를 사용할 수 있는 기간(일)을 결정합니다. 1일에서 999일 사이에 만료되도록 암호를 설정하거나 일 수를 0으로 설정하여 암호가 만료되지 않도록 지정할 수 있습니다. 최대 암호 사용 기간이 1일에서 999일 사이인 경우 최소 암호 사용 기간이 최대 암호 사용 기간보다 작아야 합니다. 최대 암호 사용 기간이 0으로 설정된 경우 최소 암호 사용 기간은 0일에서 998일 사이의 값일 수 있습니다.

참고

사용자 환경에 따라 암호가 30~90일마다 만료되도록 하는 것이 보안 모범 사례입니다. 이렇게 하면 공격자가 사용자의 암호를 해독하고 네트워크 리소스에 액세스할 수 있는 시간이 제한됩니다. 기본값: 42.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-999]
기본 값 42

그룹 정책 매핑:

이름
이름 최대 암호 사용 기간
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

MaxInactivityTimeDeviceLock

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock

디바이스가 유휴 상태인 후 허용되는 최대 시간(분)을 지정하여 디바이스가 PIN 또는 암호가 잠깁니다. 사용자는 설정 앱에서 지정된 최대 시간보다 작은 기존 시간 제한 값을 선택할 수 있습니다.

HoloLens에서 이 시간 제한은 이 정책에 의해 설정된 값에 관계없이 디바이스의 시스템 절전 모드 시간 제한에 의해 제어됩니다.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-999]
기본 값 0
종속성 [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

MaxInactivityTimeDeviceLockWithExternalDisplay

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
❌ 프로
❌ Enterprise
❌ Education
❌ Windows SE
❌ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1709 [10.0.16299] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay

외부 디스플레이의 최대 제한 시간 값을 설정합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [1-999]
기본 값 0

MinDevicePasswordComplexCharacters

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters

강력한 PIN 또는 암호에 필요한 복합 요소 형식(대문자 및 소문자, 숫자 및 문장 부호)의 수입니다.

다음 목록에서는 지원되는 값과 실제 적용된 값을 보여 있습니다.

계정 유형 지원되는 값 실제 적용 값
로컬 계정 1,2,3 3
Microsoft 계정 1,2 <p2
도메인 계정 지원되지 않음 지원되지 않음

로컬 및 Microsoft 계정에 적용된 값:

  • 로컬 계정은 1, 2 및 3 값을 지원합니다. 그러나 항상 값 3을 적용합니다.
  • 로컬 계정의 암호는 다음과 같은 최소 요구 사항을 충족해야 합니다.
    • 사용자의 계정 이름 또는 두 개의 연속 문자를 초과하는 사용자 전체 이름의 일부를 포함하지 않음
    • 길이가 6자 이상이어야 합니다.
    • 다음 네 가지 범주 중 세 가지 범주의 문자를 포함합니다.
      • 영어 대문자(A~Z)
      • 영어 소문자(a-z)
      • 기본 10자리(0~9)
      • 특수 문자(!, $, #, %등)

Microsoft 계정에 대한 정책 적용은 서버에서 발생하며 서버의 암호 길이는 8이고 복잡성은 2입니다. 복잡성 값 3 또는 4는 지원되지 않으며 서버에서 이 값을 설정하면 Microsoft 계정이 비준수로 설정됩니다.

이 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요KB 문서를 참조하세요.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다. 데스크톱 버전용 Windows에서 이 정책에 대해 추가 대신 항상 Replace 명령을 사용합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 1
종속성 [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] 종속성 유형: DependsOn DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
종속성 허용 값: [0] [0]
종속성 허용 값 형식: Range Range

허용되는 값:

설명
1(기본값) 숫자만.
2 숫자 및 소문자가 필요합니다.
3 숫자 소문자와 대문자가 필요합니다. 데스크톱 Microsoft 계정 및 도메인 계정에서 지원되지 않습니다.
4 숫자 소문자 대문자와 특수 문자가 필요합니다. 데스크톱에서는 지원되지 않습니다.

MinDevicePasswordLength

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1507 [10.0.10240] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

PIN 또는 암호에 필요한 최소 개수 또는 문자를 지정합니다.

최대 정책 값이 가장 제한됩니다.

이 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요KB 문서를 참조하세요.

참고

이 정책은 Atomic 명령으로 래핑되어야 합니다. 데스크톱 버전용 Windows에서 이 정책에 대해 추가 대신 항상 Replace 명령을 사용합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [4-16]
기본 값 4
종속성 [DeviceLock_MinDevicePasswordLength_DependencyGroup] 종속성 유형: DependsOn
종속성 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
종속성 허용 값: [0]
종속성 허용 값 형식: Range

:

다음 예제에서는 최소 암호 길이를 4자로 설정하는 방법을 보여줍니다.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

MinimumPasswordAge

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1709 [10.0.16299] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge

이 보안 설정은 사용자가 암호를 변경하기 전에 암호를 사용해야 하는 기간(일)을 결정합니다. 1일에서 998일 사이의 값을 설정하거나 일 수를 0으로 설정하여 즉시 변경을 허용할 수 있습니다. 암호가 만료되지 않음을 나타내는 최대 암호 사용 기간이 0으로 설정되지 않는 한 최소 암호 사용 기간은 최대 암호 기간보다 작아야 합니다. 최대 암호 사용 기간을 0으로 설정하면 최소 암호 사용 기간을 0에서 998 사이의 값으로 설정할 수 있습니다. 암호 기록 적용이 유효하도록 하려면 최소 암호 사용 기간을 0 이상으로 구성합니다. 최소 암호 사용 기간이 없으면 사용자는 이전 즐겨찾기에 도착할 때까지 암호를 반복적으로 순환할 수 있습니다. 관리자가 사용자의 암호를 지정한 다음 사용자가 로그온할 때 관리자 정의 암호를 변경하도록 요구할 수 있도록 기본 설정은 이 권장 사항을 따르지 않습니다. 암호 기록이 0으로 설정된 경우 사용자는 새 암호를 선택할 필요가 없습니다. 이러한 이유로 암호 기록 적용은 기본적으로 1로 설정됩니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-998]
기본 값 1

그룹 정책 매핑:

이름
이름 최소 암호 사용 기간
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

MinimumPasswordLength

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength

이 보안 설정은 사용자 계정의 암호에 포함될 수 있는 최소 문자 수를 결정합니다. 이 설정의 최대값은 최소 암호 길이 제한 완화 설정의 값에 따라 달라집니다. 최소 암호 길이 제한 완화 설정이 정의되지 않은 경우 이 설정은 0에서 14로 구성될 수 있습니다. 최소 암호 길이 제한 완화 설정이 정의되고 사용하지 않도록 설정된 경우 이 설정은 0에서 14로 구성될 수 있습니다. 최소 암호 길이 제한 완화 설정이 정의되고 사용하도록 설정된 경우 이 설정은 0에서 128로 구성될 수 있습니다. 필요한 문자 수를 0으로 설정하면 암호가 필요하지 않습니다.

참고

기본적으로 멤버 컴퓨터는 도메인 컨트롤러의 구성을 따릅니다. 기본값: 독립 실행형 서버의 도메인 컨트롤러 0에서 7 14보다 큰 이 설정을 구성하면 클라이언트, 서비스 및 애플리케이션과의 호환성에 영향을 줄 수 있습니다. 최소 암호 길이 감사 설정을 사용하여 새 설정에서 잠재적인 비호환성을 테스트한 후에만 이 설정을 14보다 크게 구성하는 것이 좋습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-128]
기본 값 0

그룹 정책 매핑:

이름
이름 최소 암호 길이
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

MinimumPasswordLengthAudit

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit

이 보안 설정은 암호 길이 감사 경고 이벤트가 발급되는 최소 암호 길이를 결정합니다. 이 설정은 1에서 128까지 구성할 수 있습니다. 사용자 환경에서 최소 암호 길이 설정을 늘릴 때 발생할 수 있는 영향을 확인하려고 할 때만 이 설정을 사용하도록 설정하고 구성해야 합니다. 이 설정이 정의되지 않은 경우 감사 이벤트가 발급되지 않습니다. 이 설정이 정의되고 최소 암호 길이 설정보다 작거나 같은 경우 감사 이벤트가 실행되지 않습니다. 이 설정이 정의되고 최소 암호 길이 설정보다 크고 새 계정 암호의 길이가 이 설정보다 작은 경우 감사 이벤트가 발생합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [1-128]
기본 값 4294967295

그룹 정책 매핑:

이름
이름 최소 암호 길이 감사
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

PasswordComplexity

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity

암호는 복잡성 요구 사항을 충족해야 합니다. 이 보안 설정은 암호가 복잡성 요구 사항을 충족해야 하는지 여부를 결정합니다. 이 정책을 사용하는 경우 암호는 다음과 같은 최소 요구 사항을 충족해야 합니다.

  • 사용자의 계정 이름 또는 두 개의 연속 문자를 초과하는 사용자 전체 이름의 일부를 포함하지 않음
  • 길이가 6자 이상이어야 합니다.
  • 다음 네 가지 범주 중 세 가지 범주의 문자를 포함합니다.
    • 영어 대문자(A~Z)
    • 영어 소문자(a-z)
    • 기본 10자리(0~9)
    • 알파벳이 아닌 문자(예: !, $, #, %)

복잡성 요구 사항은 암호를 변경하거나 만들 때 적용됩니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-1]
기본 값 1

그룹 정책 매핑:

이름
이름 암호는 복잡성 요구 사항을 만족해야 함
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

PasswordHistorySize

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize

암호 기록 적용 이 보안 설정은 이전 암호를 재사용하기 전에 사용자 계정과 연결해야 하는 고유한 새 암호 수를 결정합니다. 값은 0~24개의 암호여야 합니다. 이 정책을 사용하면 관리자가 이전 암호가 지속적으로 재사용되지 않도록 하여 보안을 강화할 수 있습니다. 기본값: 도메인 컨트롤러의 경우 24입니다. 독립 실행형 서버에서 0.

참고

기본적으로 멤버 컴퓨터는 도메인 컨트롤러의 구성을 따릅니다. 암호 기록의 효과를 유지하려면 암호 사용 기간 최소 보안 정책 설정도 사용하도록 설정하여 암호가 변경된 직후에 암호를 변경할 수 없도록 합니다. 최소 암호 사용 기간 보안 정책 설정에 대한 자세한 내용은 최소 암호 사용 기간을 참조하세요.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [0-24]
기본 값 24

그룹 정책 매핑:

이름
이름 최근 암호 기억
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

PreventEnablingLockScreenCamera

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10 버전 1803 [10.0.17134] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera

PC 설정에서 잠금 화면 카메라 토글 스위치를 사용하지 않도록 설정하고 잠금 화면에서 카메라가 호출되지 않도록 합니다.

기본적으로 사용자는 잠금 화면에서 사용 가능한 카메라 호출을 사용하도록 설정할 수 있습니다.

이 설정을 사용하도록 설정하면 사용자는 더 이상 PC 설정에서 잠금 화면 카메라 액세스를 사용하거나 사용하지 않도록 설정할 수 없으며 잠금 화면에서 카메라를 호출할 수 없습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 CPL_Personalization_NoLockScreenCamera
이름 잠금 화면 카메라 사용 방지
위치 컴퓨터 구성
경로 > 제어판 개인 설정
레지스트리 키 이름 Software\Policies\Microsoft\Windows\Personalization
레지스트리 값 이름 NoLockScreenCamera
ADMX 파일 이름 ControlPanelDisplay.admx

PreventLockScreenSlideShow

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, 버전 1703 [10.0.15063] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow

PC 설정에서 잠금 화면 슬라이드 쇼 설정을 사용하지 않도록 설정하고 잠금 화면에서 슬라이드 쇼가 재생되지 않도록 합니다.

기본적으로 사용자는 컴퓨터를 잠글 때 실행되는 슬라이드 쇼를 사용하도록 설정할 수 있습니다.

이 설정을 사용하도록 설정하면 사용자는 더 이상 PC 설정에서 슬라이드 쇼 설정을 수정할 수 없으며 슬라이드 쇼가 시작되지 않습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 CPL_Personalization_NoLockScreenSlideshow
이름 잠금 화면 슬라이드 쇼 사용 금지
위치 컴퓨터 구성
경로 > 제어판 개인 설정
레지스트리 키 이름 Software\Policies\Microsoft\Windows\Personalization
레지스트리 값 이름 NoLockScreenSlideshow
ADMX 파일 이름 ControlPanelDisplay.admx

RelaxMinimumPasswordLengthLimits

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11 버전 24H2 [10.0.26100] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits

이 설정은 최소 암호 길이 설정을 레거시 제한인 14를 초과하여 늘릴 수 있는지 여부를 제어합니다. 이 설정이 정의되지 않은 경우 최소 암호 길이는 14 이하로 구성될 수 있습니다. 이 설정을 정의하고 사용하지 않도록 설정하면 최소 암호 길이가 14 이하로 구성될 수 있습니다. 이 설정을 정의하고 사용하도록 설정하면 최소 암호 길이가 14보다 많이 구성될 수 있습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
기본 값 0

허용되는 값:

설명
0(기본값) 사용하지 않도록 설정됩니다.
1 활성화.

그룹 정책 매핑:

이름
이름 최소 암호 길이 완화
경로 Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

ScreenTimeoutWhileLocked

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, 버전 1607 [10.0.14393] 이상
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked

Windows 10 Mobile 디바이스의 잠금 화면에서 화면 시간 제한을 제어하는 사용자 구성 가능 설정을 표시할지 여부를 지정합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 int
액세스 유형 추가, 삭제, 가져오기, 바꾸기
허용되는 값 레인지: [10-1800]
기본 값 10

정책 구성 서비스 공급자