Política CSP – ADMX_Kerberos
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>
. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
AlwaysSendCompoundId
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Essa configuração de política controla se um dispositivo sempre envia uma solicitação de autenticação composta quando o domínio do recurso solicita identidade composta.
Observação
Para que um controlador de domínio solicite autenticação composta, as políticas "Suporte do KDC para declarações, autenticação composta e blindagem Kerberos" e "Solicitação de autenticação composta" devem ser configuradas e habilitadas no domínio da conta de recursos.
Se você habilitar essa configuração de política e o domínio do recurso solicitar autenticação composta, os dispositivos que dão suporte à autenticação composta sempre enviarão uma solicitação de autenticação composta.
Se você desabilitar ou não configurar essa configuração de política e o domínio do recurso solicitar autenticação composta, os dispositivos enviarão uma solicitação de autenticação não composta primeiro e, em seguida, uma solicitação de autenticação composta quando o serviço solicitar autenticação composta.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | AlwaysSendCompoundId |
Nome Amigável | Sempre enviar autenticação composta primeiro |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Nome do Valor do Registro | AlwaysSendCompoundId |
Nome do Arquivo ADMX | Kerberos.admx |
DevicePKInitEnabled
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
O suporte para autenticação de dispositivo usando certificado exigirá conectividade com um DC no domínio da conta de dispositivo que dá suporte à autenticação de certificado para contas de computador.
Essa configuração de política permite que você defina o suporte para Kerberos tentar autenticação usando o certificado do dispositivo para o domínio.
- Se você habilitar essa configuração de política, as credenciais dos dispositivos serão selecionadas com base nas seguintes opções:
Automático: o dispositivo tentará autenticar usando seu certificado. Se o DC não dá suporte à autenticação da conta de computador usando certificados, a autenticação com senha será tentada.
Force: o dispositivo sempre será autenticado usando seu certificado. Se um DC não puder ser encontrado que dá suporte à autenticação da conta de computador usando certificados, a autenticação falhará.
Se você desabilitar essa configuração de política, os certificados nunca serão usados.
Se você não configurar essa configuração de política, o Automático será usado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | DevicePKInitEnabled |
Nome Amigável | Dar suporte à autenticação do dispositivo usando o certificado |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Nome do Valor do Registro | DevicePKInitEnabled |
Nome do Arquivo ADMX | Kerberos.admx |
HostToRealm
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Essa configuração de política permite especificar quais nomes de host DNS e quais sufixos DNS são mapeados para um reino Kerberos.
Se você habilitar essa configuração de política, poderá exibir e alterar a lista de nomes de host DNS e sufixos DNS mapeados para um reino Kerberos conforme definido por Política de Grupo. Para exibir a lista de mapeamentos, habilite a configuração da política e clique no botão Mostrar. Para adicionar um mapeamento, habilite a configuração da política, observe a sintaxe e clique em Mostrar. Na caixa de diálogo Mostrar Conteúdo na coluna Nome do Valor, digite um nome de reino. Na coluna Valor, digite a lista de nomes de host DNS e sufixos DNS usando o formato de sintaxe apropriado. Para remover um mapeamento da lista, clique na entrada de mapeamento a ser removida e pressione a tecla DELETE. Para editar um mapeamento, remova a entrada atual da lista e adicione uma nova com parâmetros diferentes.
Se você desabilitar essa configuração de política, a lista de mapeamentos de realm nome do host para Kerberos definida por Política de Grupo será excluída.
Se você não configurar essa configuração de política, o sistema usará os mapeamentos de nome do host para Kerberos definidos no registro local, se eles existirem.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | HostToRealm |
Nome Amigável | Definir mapeamentos de realm nome do host para Kerberos |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
Nome do Valor do Registro | domain_realm_Enabled |
Nome do Arquivo ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Essa configuração de política permite desabilitar marcar de revogação para o certificado SSL do servidor proxy KDC de destino.
- Se você habilitar essa configuração de política, o marcar de revogação para o certificado SSL do servidor proxy KDC será ignorado pelo cliente Kerberos. Essa configuração de política só deve ser usada na solução de problemas de conexões de proxy KDC.
Aviso
Quando o marcar de revogação é ignorado, o servidor representado pelo certificado não é garantido válido.
- Se você desabilitar ou não configurar essa configuração de política, o cliente Kerberos imporá o marcar de revogação para o certificado SSL. A conexão com o servidor proxy KDC não será estabelecida se a revogação marcar falhar.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | KdcProxyDisableServerRevocationCheck |
Nome Amigável | Desabilitar a verificação de revogação para o certificado SSL de servidores proxy KDC |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Nome do Valor do Registro | NoRevocationCheck |
Nome do Arquivo ADMX | Kerberos.admx |
KdcProxyServer
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Essa configuração de política configura o mapeamento do cliente Kerberos para servidores proxy KDC para domínios com base em seus nomes de sufixo DNS.
Se você habilitar essa configuração de política, o cliente Kerberos usará o servidor proxy KDC para um domínio quando um controlador de domínio não puder ser localizado com base nos mapeamentos configurados. Para mapear um servidor proxy KDC para um domínio, habilite a configuração da política, clique em Mostrar e, em seguida, mapeie o nome do servidor proxy KDC para o nome DNS para o domínio usando a sintaxe descrita no painel de opções. Na caixa de diálogo Mostrar Conteúdo na coluna Nome do Valor, digite um nome de sufixo DNS. Na coluna Valor, digite a lista de servidores proxy usando o formato de sintaxe apropriado. Para exibir a lista de mapeamentos, habilite a configuração da política e clique no botão Mostrar. Para remover um mapeamento da lista, clique na entrada de mapeamento a ser removida e pressione a tecla DELETE. Para editar um mapeamento, remova a entrada atual da lista e adicione uma nova com parâmetros diferentes.
Se você desabilitar ou não configurar essa configuração de política, o cliente Kerberos não terá configurações de servidores proxy KDC definidas por Política de Grupo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | KdcProxyServer |
Nome Amigável | Especificar servidores proxy KDC para clientes Kerberos |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
Nome do Valor do Registro | KdcProxyServer_Enabled |
Nome do Arquivo ADMX | Kerberos.admx |
MitRealms
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Essa configuração de política configura o cliente Kerberos para que ele possa se autenticar com reinos interoperáveis kerberos V5, conforme definido por essa configuração de política.
Se você habilitar essa configuração de política, poderá exibir e alterar a lista de reinos Interoperáveis Kerberos V5 e suas configurações. Para exibir a lista de reinos interoperáveis kerberos V5, habilite a configuração da política e clique no botão Mostrar. Para adicionar um reino Kerberos V5 interoperável, habilite a configuração da política, observe a sintaxe e clique em Mostrar. Na caixa de diálogo Mostrar Conteúdo na coluna Nome do Valor, digite o nome do reino Kerberos V5 interoperável. Na coluna Valor, digite os sinalizadores de reino e os nomes de host dos KDCs host usando o formato de sintaxe apropriado. Para remover uma entrada de valor ou nome de valor do Kerberos V5 interoperável da lista, clique na entrada e pressione a tecla DELETE. Para editar um mapeamento, remova a entrada atual da lista e adicione uma nova com parâmetros diferentes.
Se você desabilitar essa configuração de política, as configurações de reino Kerberos V5 interoperáveis definidas por Política de Grupo serão excluídas.
Se você não configurar essa configuração de política, o sistema usará as configurações interoperáveis de domínio Kerberos V5 definidas no registro local, se elas existirem.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | MitRealms |
Nome Amigável | Definir configurações de reino Kerberos V5 interoperáveis |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
Nome do Valor do Registro | MitRealms_Enabled |
Nome do Arquivo ADMX | Kerberos.admx |
ServerAcceptsCompound
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Essa configuração de política controla a configuração da conta do Active Directory do dispositivo para autenticação composta.
O suporte para fornecer autenticação composta usada para o controle de acesso exigirá controladores de domínio suficientes nos domínios da conta de recursos para dar suporte às solicitações. O Administrador de Domínio deve configurar a política "Suporte ao blindamento dinâmico Controle de Acesso e Kerberos" em todos os controladores de domínio para dar suporte a essa política.
- Se você habilitar essa configuração de política, a conta do Active Directory do dispositivo será configurada para autenticação composta pelas seguintes opções:
Nunca: a autenticação composta nunca é fornecida para essa conta de computador.
Automático: a autenticação composta é fornecida para essa conta de computador quando um ou mais aplicativos são configurados para o Dynamic Controle de Acesso.
Sempre: a autenticação composta é sempre fornecida para essa conta de computador.
Se você desabilitar essa configuração de política, Nunca será usado.
Se você não configurar essa configuração de política, o Automático será usado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | ServerAcceptsCompound |
Nome Amigável | Suporte à autenticação composta |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Policies\Microsoft\Netlogon\Parameters |
Nome do Valor do Registro | CompoundIdDisabled |
Nome do Arquivo ADMX | Kerberos.admx |
StrictTarget
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Essa configuração de política permite configurar esse servidor para que o Kerberos possa descriptografar um tíquete que contém esse SPN gerado pelo sistema. Quando um aplicativo tenta fazer uma chamada de procedimento remoto (RPC) para esse servidor com um valor NULL para o SPN (nome da entidade de serviço), computadores que executam o Windows 7 ou posterior tentam usar Kerberos gerando um SPN.
Se você habilitar essa configuração de política, somente serviços em execução como LocalSystem ou NetworkService poderão aceitar essas conexões. Serviços em execução como identidades diferentes de LocalSystem ou NetworkService podem não ser autenticados.
Se você desabilitar ou não configurar essa configuração de política, qualquer serviço poderá aceitar conexões de entrada usando esse SPN gerado pelo sistema.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | StrictTarget |
Nome Amigável | Exigir uma correspondência SPN de destino estrita em chamadas de procedimento remoto |
Localização | Configuração do Computador |
Caminho | Sistema > Kerberos |
Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Nome do Valor do Registro | StrictTargetContext |
Nome do Arquivo ADMX | Kerberos.admx |
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de