Política CSP - Autenticação
AllowAadPasswordReset
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1709 [10.0.16299] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Especifica se a reposição de palavra-passe está ativada para contas do Microsoft Entra.
Esta política permite ao administrador inquilino do Microsoft Entra ativar a funcionalidade de reposição personalizada de palavra-passe no ecrã de início de sessão do Windows.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Não permitido. |
| 1 | Permitido. |
AllowEAPCertSSO
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ❌ Usuário ✅ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1507 [10.0.10240] e posterior |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
Permite que uma autenticação baseada em certificados EAP para um início de sessão único (SSO) aceda a recursos internos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Não permitido. |
| 1 | Permitido. |
AllowFastReconnect
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1607 [10.0.14393] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
Permite a tentativa de reconexão rápida EAP para TLS do método EAP. O valor de restrição máxima é 0.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Não permitido. |
| 1 (Predefinição) | Permitido. |
AllowSecondaryAuthenticationDevice
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1607 [10.0.14393] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
Esta política permite que os utilizadores utilizem um dispositivo complementar, como um telemóvel, uma banda de fitness ou um dispositivo IoT, para iniciarem sessão num computador de secretária com o Windows 10. O dispositivo complementar fornece um segundo fator de autenticação com o Windows Hello.
Se ativar ou não configurar esta definição de política, os utilizadores podem autenticar-se no Windows Hello através de um dispositivo complementar.
Se desativar esta política, os utilizadores não poderão utilizar um dispositivo complementar para se autenticarem com o Windows Hello.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Não permitido. |
| 1 | Permitido. |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| Nome Amigável | Permitir dispositivo complementar para autenticação secundária |
| Localização | Configuração do Computador |
| Caminho | Componentes > do Windows Fator de Autenticação Secundária da Microsoft |
| Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| Nome do Valor do Registro | AllowSecondaryAuthenticationDevice |
| Nome do Arquivo ADMX | DeviceCredential.admx |
ConfigurarWebcamAccessDomainNames
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Especifica uma lista de domínios que têm permissão para aceder à câmara Web em cenários de autenticação baseada no Início de Sessão na Web.
Observação
O início de sessão na Web só é suportado em PCs associados ao Microsoft Entra.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: ;) |
Exemplo:
A sua organização federa para "IDP da Contoso" e o portal de início de sessão na Web em requer acesso à signinportal.contoso.com câmara Web. Em seguida, o valor desta política deve ser:
contoso.com
ConfigurarWebSignInAllowedUrls
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1803 com KB5001339 [10.0.17134.2145] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Especifica uma lista de URLs que são navegáveis em cenários de autenticação baseados no Início de Sessão na Web.
Esta política especifica a lista de domínios a que os utilizadores podem aceder em determinados cenários de autenticação. Por exemplo:
- Reposição do PIN do Microsoft Entra ID
- Cenários de início de sessão na Web em dispositivos Windows em que a autenticação é processada pelos Serviços de Federação do Active Directory (AD FS) ou por um fornecedor de identidade federado de terceiros
Observação
Esta política é necessária em ambientes federados como mitigação da vulnerabilidade descrita em CVE-2021-27092.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: ;) |
Exemplo:
Espera-se que a reposição do PIN da sua organização ou o fluxo de autenticação de início de sessão na Web naveguem para os dois domínios seguintes: accounts.contoso.com e signin.contoso.com. Em seguida, o valor desta política deve ser:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
Especifica se as novas contas do Microsoft Entra não administrador devem ligar-se automaticamente a contas locais candidatas pré-criadas.
Esta política destina-se a ser utilizada em PCs Partilhados para permitir uma experiência rápida de início de sessão inicial para um utilizador. Funciona ligando automaticamente novas contas do Microsoft Entra não administrador às contas locais candidatas pré-configuradas.
Importante
As contas locais candidatas pré-configuradas são contas locais pré-configuradas ou adicionadas no dispositivo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | A funcionalidade é predefinida para as capacidades existentes do SKU e do dispositivo. |
| 1 | Enabled. Ligar automaticamente novas contas do Microsoft Entra não administrador a contas locais candidatas pré-configuradas. |
| 2 | Desabilitado. Não ligue automaticamente novas contas do Microsoft Entra não administrador a contas locais pré-configuradas. |
EnablePasswordlessExperience
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 11, versão 23H2 com KB5031455 [10.0.22631.2506] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Especifica se os utilizadores ligados em dispositivos associados ao Microsoft Entra recebem uma experiência sem palavra-passe no Windows.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | A funcionalidade é predefinida para a edição existente e as capacidades do dispositivo. |
| 1 | Enabled. A experiência sem palavra-passe será ativada no Windows. |
| 2 | Desabilitado. A experiência sem palavra-passe não será ativada no Windows. |
EnableWebSignIn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Especifica se o início de sessão baseado na Web é permitido para iniciar sessão no Windows.
O início de sessão na Web é um fornecedor de credenciais que permite uma experiência de início de sessão baseado na Web em dispositivos Windows. Inicialmente introduzido no Windows 10 com suporte apenas para o Acesso Temporário (TAP), o início de sessão na Web expandiu as suas capacidades a partir do Windows 11, versão 22H2 com KB5030310. Para obter mais informações, consulte Início de sessão na Web para Windows.
Observação
O início de sessão na Web só é suportado em PCs associados ao Microsoft Entra.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | A funcionalidade é predefinida para as capacidades existentes do SKU e do dispositivo. |
| 1 | Enabled. O Início de Sessão na Web será ativado para iniciar sessão no Windows. |
| 2 | Desabilitado. O Início de Sessão na Web não será ativado para iniciar sessão no Windows. |
PreferredAadTenantDomainName
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 1809 [10.0.17763] e posterior |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Especifica o domínio preferencial entre os domínios disponíveis no inquilino do Microsoft Entra.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Exemplo:
A sua organização utiliza o nome de domínio do @contoso.com inquilino. Em seguida, o valor desta política deve ser:
contoso.com
Para o utilizador abby@constoso.com, é feito um início de sessão com abby o no campo de nome de utilizador em vez de abby@contoso.com.