Поделиться через


Поставщик служб конфигурации PassportForWork

Логотип программы предварительной оценки Windows.

Важно.

Этот CSP содержит некоторые параметры, находящиеся в стадии разработки и применимые только для сборок Windows Insider Preview. Эти параметры могут изменяться и зависеть от других функций или служб в предварительной версии.

Поставщик службы конфигурации PassportForWork используется для подготовки Windows Hello для бизнеса (прежнее название — Microsoft Passport for Work). Она позволяет входить в Windows с помощью учетной записи Active Directory или Microsoft Entra и заменять пароли, смарт-карты и виртуальные смарт-карты.

Важно.

Начиная с Windows 10 версии 1607 все устройства имеют только один ПИН-код, связанный с Windows Hello для бизнеса. Это означает, что на любой PIN-код на устройстве будет распространяться действие политик, указанных в поставщике служб конфигурации PassportForWork. Указанные значения имеют приоритет перед правилами любой сложности, заданными с помощью Exchange ActiveSync (EAS) или поставщика служб конфигурации DeviceLock.

В следующем списке показаны узлы поставщика службы конфигурации PassportForWork:

Device/{TenantId}

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}

Эта политика задает идентификатор клиента в формате глобального уникального идентификатора (GUID) без фигурных скобок { }, который будет использоваться в рамках подготовки и управления Windows Hello для бизнеса.

Чтобы получить идентификатор GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в статье Получение идентификатора клиента Windows Azure Active Directory в Windows PowerShell.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Динамическое именование узлов UniqueName: глобальный уникальный идентификатор (GUID), без фигурных скобок ( { , } ), который используется в рамках подготовки и управления Windows Hello для бизнеса. Чтобы получить GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в разделе https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

Device/{TenantId}/Policies

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Корневой узел для политик.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение

Device/{TenantId}/Policies/DisablePostLogonProvisioning

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.2402] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041.4239] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000.2899] и более поздних версий
✅ Windows 11 версии 22H2 [10.0.22621.3374] и более поздних версий
✅ Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

Не запускайте подготовку Windows Hello после входа.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Подготовка включена.
true Подготовка отключена.

Device/{TenantId}/Policies/EnablePinRecovery

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Если пользователь забыл свой ПИН-код, его можно изменить на новый ПИН-код с помощью службы восстановления ПИН-кода Windows Hello для бизнеса. Эта облачная служба шифрует секрет восстановления, который хранится локально на клиенте, но может быть расшифрован только облачной службой.

  • Если этот параметр политики включен, секрет восстановления ПИН-кода будет храниться на устройстве, и пользователь сможет измениться на новый ПИН-код, если его ПИН-код будет забыт.

  • Если этот параметр политики отключен или не настроен, секрет восстановления ПИН-кода не будет создан и не сохранен. Если ПИН-код пользователя забыт, единственный способ получить новый ПИН-код — удалить существующий ПИН-код и создать новый, что потребует от пользователя повторной регистрации в любых службах, к которым старый ПИН-код предоставил доступ.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Включите подготовку Windows Hello, если пользователи входят на свои устройства с помощью ключей безопасности FIDO2.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/ExcludeSecurityDevices

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices

Корневой узел для исключенных устройств безопасности.

Примечание.

Не поддерживается в Windows Holographic и Windows Holographic для бизнеса.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

Некоторые доверенные платформенные модули (TPM) соответствуют только более старой редакции 1.2 спецификации доверенного платформенного модуля, определенной группой доверенных вычислений (TCG).

  • Если этот параметр политики включен, модули TPM версии 1.2 будут запрещены для использования с Windows Hello для бизнеса.

  • Если этот параметр политики отключен или не настроен, модули TPM версии 1.2 будут разрешены для использования с Windows Hello для бизнеса.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/PINComplexity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Корневой узел для политик ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Device/{TenantId}/Policies/PINComplexity/Digits
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Используйте этот параметр политики, чтобы настроить использование цифр в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали хотя бы одну цифру в свой ПИН-код.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать цифры в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса требует, чтобы пользователи использовали цифры в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать цифры в ПИН-коде.
1 Требуется использовать по крайней мере одну цифру в ПИН-коде.
2 Не допускает использование цифр в ПИН-коде.
Device/{TenantId}/Policies/PINComplexity/Expiration
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Эта политика указывает время истечения срока действия ПИН-кода (в днях). Допустимые значения: от 0 до 730 включительно. Если для этой политики задано значение 0, пин-коды не истечет.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-730]
Значение по умолчанию 0
Device/{TenantId}/Policies/PINComplexity/History
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Эта политика указывает количество прошлых ПИН-кодов, которые можно сохранить в журнале, который нельзя использовать. Допустимые значения: от 0 до 50 включительно. Если для этой политики задано значение 0, хранение предыдущих ПИН-кодов не требуется. Журнал ПИН-кодов не сохраняется при сбросе ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-50]
Значение по умолчанию 0
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Используйте этот параметр политики, чтобы настроить использование строчных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну строчную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать строчные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать строчные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать строчные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну строчную букву в ПИН-коде.
2 Не допускает использование строчных букв в ПИН-коде.
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

Максимальная длина ПИН-кода настраивает максимальное число символов, допустимое для ПИН-кода. Наибольшее число, доступное для этого параметра политики, — 127. Наименьшее число, которое можно настроить, должно быть больше, чем число, настроенное в параметре политики Минимальная длина ПИН-кода, или число 4 в зависимости от того, какое из значений больше.

  • При настройке этого параметра политики длина ПИН-кода должна быть меньше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть меньше или равна 127.

Примечание.

Если указанные выше условия для максимальной длины ПИН-кода не выполнены, значения по умолчанию будут использоваться для максимальной и минимальной длины ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 127
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

Минимальная длина ПИН-кода настраивает минимальное количество символов, необходимое для ПИН-кода. Наименьшее число, доступное для этого параметра политики, — 4. Наибольшее число, которое можно настроить, должно быть меньше числа, настроенного в параметре политики Максимальная длина ПИН-кода, или числа 127, в зависимости от того, какое из значений является наименьшим.

  • Если вы настроите этот параметр политики, длина ПИН-кода должна быть больше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть больше или равна 4.

Примечание.

Если указанные выше условия для минимальной длины ПИН-кода не выполнены, для максимальной и минимальной длины ПИН-кода будут использоваться значения по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 4
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Используйте этот параметр политики, чтобы настроить использование специальных символов в жесте ПИН-кода Windows Hello для бизнеса. Допустимые специальные символы для жестов ПИН-кода Windows Hello для бизнеса: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали по крайней мере один специальный символ в свой ПИН-код.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать специальные символы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать специальные символы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать специальные символы в ПИН-коде.
1 Требуется использовать по крайней мере один специальный символ в ПИН-коде.
2 Запрещает использование специальных символов в ПИН-коде.
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Используйте этот параметр политики, чтобы настроить использование прописных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну прописную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать прописные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать прописные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать прописные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну прописную букву в ПИН-коде.
2 Не допускает использование прописных букв в ПИН-коде.

Device/{TenantId}/Policies/Remote

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote

Корневой узел для политик входа по телефону.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Device/{TenantId}/Policies/Remote/UseRemotePassport
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport

Логическое значение, указывающее, можно ли использовать вход по телефону с устройством. Вход с помощью телефона позволяет использовать переносимое зарегистрированное устройство в качестве вспомогательного устройства для проверки подлинности на рабочем столе.

Значение по умолчанию — false.

  • Если этот параметр включен, классическое устройство позволит использовать зарегистрированное дополнительное устройство в качестве фактора проверки подлинности.

  • Если этот параметр отключен, дополнительное устройство не может использоваться в сценариях проверки подлинности на рабочем столе.

Примечание.

Не поддерживался в Windows Holographic и Windows Holographic for Business до Windows 10 версии 1903 (обновление за май 2019 г.).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/RequireSecurityDevice

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Доверенный платформенный модуль (TPM) обеспечивает дополнительные преимущества безопасности по сравнению с программным обеспечением, так как данные, хранящиеся в нем, не могут использоваться на других устройствах.

  • Если этот параметр политики включен, windows Hello для бизнеса подготавливают только устройства с пригодным для использования доверенным платформенный платформенный модуль.

  • Если этот параметр политики отключен или не настроен, доверенный платформенный модуль по-прежнему является предпочтительным, но все устройства подготавливают Windows Hello для бизнеса с помощью программного обеспечения, если доверенный платформенный модуль не работает или недоступен.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UseCertificateForOnPremAuth

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth

Windows Hello для бизнеса может использовать сертификаты для проверки подлинности в локальных ресурсах.

  • Если этот параметр политики включен, Windows Hello для бизнеса будет ожидать, пока устройство не получит полезные данные сертификата от сервера управления мобильными устройствами, прежде чем подготавливать ПИН-код.

  • Если этот параметр политики отключен или не настроен, ПИН-код будет подготовлен при входе пользователя, не дожидаясь полезных данных сертификата.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 21H2 [10.0.19044.1566] и более поздних версий
✅ Windows 11 версии 21H2 [10.0.22000.527] и более поздних версий
✅ Windows 11 версии 22H2 [10.0.22621] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Логическое значение, позволяющее Windows Hello для бизнеса использовать Microsoft Entra Kerberos для проверки подлинности в локальных ресурсах.

  • Если этот параметр политики включен, Windows Hello для бизнеса будет использовать билет Microsoft Entra Kerberos для проверки подлинности в локальных ресурсах. Билет Microsoft Entra Kerberos возвращается клиенту после успешной проверки подлинности с использованием Идентификатора Microsoft Entra, если для клиента и домена включена поддержка Microsoft Entra Kerberos.

  • Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса будет использовать ключ или сертификат для проверки подлинности в локальных ресурсах.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
  • Если этот параметр политики включен, приложения используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карт. Биометрические факторы недоступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата. Этот параметр политики предназначен для обеспечения совместимости с приложениями, которые используют исключительно сертификаты смарт-карт.

  • Если этот параметр политики отключен или не настроен, приложения не используют сертификаты Windows Hello для бизнеса в качестве сертификатов смарт-карт, а биометрические факторы будут доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата.

Windows требует, чтобы пользователь заблокирует и разблокирует сеанс после изменения этого параметра, если пользователь в настоящее время вошел в систему.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UsePassportForWork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello для бизнеса — это альтернативный способ входа в Windows с помощью учетной записи Active Directory или Microsoft Entra, который может заменить пароли, смарт-карты и виртуальные смарт-карты.

  • Если этот параметр политики включен или не настроен, устройство подготавливает Windows Hello для бизнеса для всех пользователей.

  • Если этот параметр политики отключен, устройство не подготавливает Windows Hello для бизнеса ни для одного пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию True

Допустимые значения:

Значение Описание
false Служба отключена.
true (по умолчанию) Включено.

Устройство/биометрия

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/Biometrics

Корневой узел для политик биометрии.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/Biometrics/EnableESSwithSupportedPeripherals

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 11 версии 22H2 [10.0.22621] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals

Расширенная безопасность входа (ESS) изолирует как биометрические данные шаблона, так и операции сопоставления с доверенным оборудованием или указанными регионами памяти, что означает, что остальная часть операционной системы не может получить доступ к ним или изменить их. Так как канал обмена данными между датчиками и алгоритмом также защищен, вредоносные программы не могут внедрять или воспроизводить данные, чтобы имитировать вход пользователя в систему или заблокировать пользователя на своем компьютере.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 ESS будет включена в системах с поддержкой программного и аппаратного обеспечения в соответствии с существующим поведением по умолчанию в Windows. Операции проверки подлинности периферийных устройств с поддержкой Windows Hello будут разрешены с учетом текущих ограничений функций. Кроме того, с этим параметром ESS будет включаться на устройствах со смесью биометрических устройств, таких как FPR с поддержкой ESS и камера, не поддерживающая ESS. (не рекомендуется).
1 (по умолчанию) ESS будет включена в системах с поддержкой программного и аппаратного обеспечения в соответствии с существующим поведением по умолчанию в Windows. Операции проверки подлинности любого периферийного биометрического устройства будут заблокированы и недоступны для Windows Hello. (по умолчанию и рекомендуется для обеспечения максимальной безопасности).

Сопоставление групповой политики:

Имя Значение
Имя Включение ESS с поддерживаемыми периферийными устройствами
Путь Passport > AT > WindowsComponents > MSPassportForWorkCategory

Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Этот параметр определяет, требуется ли расширенная защита от спуфингов для проверки подлинности лиц Windows Hello.

  • Если этот параметр включен, Windows требует, чтобы все пользователи на управляемых устройствах использовали расширенную защиту от спуфингом для проверки подлинности лиц Windows Hello. Это отключает проверку подлинности лиц Windows Hello на устройствах, которые не поддерживают расширенную защиту от спуфингов.

  • Если этот параметр отключен или не настроен, Windows не требуется расширенная защита от спуфингов для проверки подлинности лиц Windows Hello.

Обратите внимание, что на неуправляемых устройствах не требуется расширенная защита от спуфингов для проверки подлинности лиц Windows Hello.

Примечание.

Не поддерживался в Windows Holographic и Windows Holographic for Business до Windows 10 версии 1903 (обновление за май 2019 г.).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Устройство,биометрия/UseBiometrics

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics

Windows Hello для бизнеса позволяет пользователям использовать биометрические жесты, такие как лицо и отпечатки пальцев, в качестве альтернативы жесту ПИН-кода. Однако пользователи по-прежнему должны настроить ПИН-код для использования в случае сбоев.

  • Если этот параметр политики включен или не настроен, Windows Hello для бизнеса разрешает использовать биометрические жесты.

  • Если этот параметр политики отключен, Windows Hello для бизнеса запрещает использование биометрических жестов.

Примечание.

Отключение этой политики запрещает использование биометрических жестов на устройстве для всех типов учетных записей.

Примечание.

Не поддерживался в Windows Holographic и Windows Holographic for Business до Windows 10 версии 1903 (обновление за май 2019 г.).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/DeviceUnlock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Разблокировка устройства.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/DeviceUnlock/GroupA

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA

Содержит список поставщиков по GUID, которые должны рассматриваться на первом этапе проверки подлинности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Регулярное выражение: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/GroupB

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB

Содержит список поставщиков по GUID, которые должны рассматриваться на втором этапе проверки подлинности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Регулярное выражение: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/Plugins

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins

Список подключаемых модулей, отслеживаемых пассивным поставщиком для обнаружения присутствия пользователей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Device/DynamicLock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DynamicLock

Динамическая блокировка.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/DynamicLock/DynamicLock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock

Включает или отключает динамическую блокировку.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/DynamicLock/Plugins

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 [10.0.17134] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins

Список подключаемых модулей, которые пассивный поставщик отслеживает для обнаружения отсутствия пользователей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Device/SecurityKey

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1903 [10.0.18362] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/SecurityKey

Ключ безопасности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/SecurityKey/UseSecurityKeyForSignin

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1903 [10.0.18362] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin

Используйте ключ безопасности для входа. Значение 0 отключено. Значение 1 включено. Если этот параметр политики не настроен, значение по умолчанию будет отключено.

Позволяет пользователям входить на свое устройство с помощью ключа безопасности FIDO2 , совместимого с реализацией Майкрософт.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.

Device/UseBiometrics

Примечание.

Эта политика является устаревшей и может быть удалена в будущем выпуске.

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/UseBiometrics

ЭТОТ УЗЕЛ ЯВЛЯЕТСЯ УСТАРЕВШИМ И БУДЕТ УДАЛЕН В СЛЕДУЮЩЕЙ ВЕРСИИ. ВМЕСТО ЭТОГО ИСПОЛЬЗУЙТЕ биометрические данные/UseBiometrics NODE.

Windows Hello для бизнеса позволяет пользователям использовать биометрические жесты, такие как лицо и отпечатки пальцев, в качестве альтернативы жесту ПИН-кода. Однако пользователи по-прежнему должны настроить ПИН-код для использования в случае сбоев.

  • Если этот параметр политики включен или не настроен, Windows Hello для бизнеса разрешает использовать биометрические жесты.

  • Если этот параметр политики отключен, Windows Hello для бизнеса запрещает использование биометрических жестов.

Примечание.

Отключение этой политики запрещает использование биометрических жестов на устройстве для всех типов учетных записей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

User/{TenantId}

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}

Эта политика задает идентификатор клиента в формате глобального уникального идентификатора (GUID) без фигурных скобок { }, который будет использоваться в рамках подготовки и управления Windows Hello для бизнеса.

Чтобы получить идентификатор GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в статье Получение идентификатора клиента Windows Azure Active Directory в Windows PowerShell.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Динамическое именование узлов UniqueName: глобальный уникальный идентификатор (GUID), без фигурных скобок ( { , } ), который используется в рамках подготовки и управления Windows Hello для бизнеса. Чтобы получить GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в разделе https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

User/{TenantId}/Policies

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Корневой узел для политик.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение

User/{TenantId}/Policies/EnablePinRecovery

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Если пользователь забыл свой ПИН-код, его можно изменить на новый ПИН-код с помощью службы восстановления ПИН-кода Windows Hello для бизнеса. Эта облачная служба шифрует секрет восстановления, который хранится локально на клиенте, но может быть расшифрован только облачной службой.

  • Если этот параметр политики включен, секрет восстановления ПИН-кода будет храниться на устройстве, и пользователь сможет измениться на новый ПИН-код, если его ПИН-код будет забыт.

  • Если этот параметр политики отключен или не настроен, секрет восстановления ПИН-кода не будет создан и не сохранен. Если ПИН-код пользователя забыт, единственный способ получить новый ПИН-код — удалить существующий ПИН-код и создать новый, что потребует от пользователя повторной регистрации в любых службах, к которым старый ПИН-код предоставил доступ.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

User/{TenantId}/Policies/PINComplexity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Корневой узел для политик ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
User/{TenantId}/Policies/PINComplexity/Digits
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Используйте этот параметр политики, чтобы настроить использование цифр в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали хотя бы одну цифру в свой ПИН-код.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать цифры в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса требует, чтобы пользователи использовали цифры в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать цифры в ПИН-коде.
1 Требуется использовать по крайней мере одну цифру в ПИН-коде.
2 Не допускает использование цифр в ПИН-коде.
User/{TenantId}/Policies/PINComplexity/Expiration
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Эта политика указывает время истечения срока действия ПИН-кода (в днях). Допустимые значения: от 0 до 730 включительно. Если для этой политики задано значение 0, пин-коды не истечет.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-730]
Значение по умолчанию 0
User/{TenantId}/Policies/PINComplexity/History
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Эта политика указывает количество прошлых ПИН-кодов, которые можно сохранить в журнале, который нельзя использовать. Допустимые значения: от 0 до 50 включительно. Если для этой политики задано значение 0, хранение предыдущих ПИН-кодов не требуется. Журнал ПИН-кодов не сохраняется при сбросе ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-50]
Значение по умолчанию 0
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Используйте этот параметр политики, чтобы настроить использование строчных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну строчную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать строчные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать строчные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать строчные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну строчную букву в ПИН-коде.
2 Не допускает использование строчных букв в ПИН-коде.
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

Максимальная длина ПИН-кода настраивает максимальное число символов, допустимое для ПИН-кода. Наибольшее число, доступное для этого параметра политики, — 127. Наименьшее число, которое можно настроить, должно быть больше, чем число, настроенное в параметре политики Минимальная длина ПИН-кода, или число 4 в зависимости от того, какое из значений больше.

  • При настройке этого параметра политики длина ПИН-кода должна быть меньше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть меньше или равна 127.

Примечание.

Если указанные выше условия для максимальной длины ПИН-кода не выполнены, значения по умолчанию будут использоваться для максимальной и минимальной длины ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 127
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

Минимальная длина ПИН-кода настраивает минимальное количество символов, необходимое для ПИН-кода. Наименьшее число, доступное для этого параметра политики, — 4. Наибольшее число, которое можно настроить, должно быть меньше числа, настроенного в параметре политики Максимальная длина ПИН-кода, или числа 127, в зависимости от того, какое из значений является наименьшим.

  • Если вы настроите этот параметр политики, длина ПИН-кода должна быть больше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть больше или равна 4.

Примечание.

Если указанные выше условия для минимальной длины ПИН-кода не выполнены, для максимальной и минимальной длины ПИН-кода будут использоваться значения по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 4
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Используйте этот параметр политики, чтобы настроить использование специальных символов в жесте ПИН-кода Windows Hello для бизнеса. Допустимые специальные символы для жестов ПИН-кода Windows Hello для бизнеса: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали по крайней мере один специальный символ в свой ПИН-код.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать специальные символы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать специальные символы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать специальные символы в ПИН-коде.
1 Требуется использовать по крайней мере один специальный символ в ПИН-коде.
2 Запрещает использование специальных символов в ПИН-коде.
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Используйте этот параметр политики, чтобы настроить использование прописных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну прописную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать прописные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать прописные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать прописные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну прописную букву в ПИН-коде.
2 Не допускает использование прописных букв в ПИН-коде.

User/{TenantId}/Policies/RequireSecurityDevice

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Доверенный платформенный модуль (TPM) обеспечивает дополнительные преимущества безопасности по сравнению с программным обеспечением, так как данные, хранящиеся в нем, не могут использоваться на других устройствах.

  • Если этот параметр политики включен, windows Hello для бизнеса подготавливают только устройства с пригодным для использования доверенным платформенный платформенный модуль.

  • Если этот параметр политики отключен или не настроен, доверенный платформенный модуль по-прежнему является предпочтительным, но все устройства подготавливают Windows Hello для бизнеса с помощью программного обеспечения, если доверенный платформенный модуль не работает или недоступен.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

User/{TenantId}/Policies/UsePassportForWork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1511 [10.0.10586] и более поздних версий
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello для бизнеса — это альтернативный способ входа в Windows с помощью учетной записи Active Directory или Microsoft Entra, который может заменить пароли, смарт-карты и виртуальные смарт-карты.

  • Если этот параметр политики включен или не настроен, устройство подготавливает Windows Hello для бизнеса для всех пользователей.

  • Если этот параметр политики отключен, устройство не подготавливает Windows Hello для бизнеса ни для одного пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию True

Допустимые значения:

Значение Описание
false Служба отключена.
true (по умолчанию) Включено.

Примеры:

Ниже приведен пример настройки Windows Hello для бизнеса и настройки политик ПИН-кода. Он также включает использование биометрии и доверенного платформенного модуля.

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/>
          </SyncBody>
        </SyncML>

Справочник по поставщикам служб конфигурации