PassportForWork 云解决方案提供商
重要提示
此云解决方案提供商包含一些正在开发中的设置,仅适用于 Windows Insider Preview 版本。 这些设置可能会发生更改,并且可能依赖于预览版中的其他功能或服务。
PassportForWork 配置服务提供程序用于预配 Windows Hello 企业版 (以前Microsoft Passport for Work) 。 它允许你使用 Active Directory 或 Microsoft Entra 帐户登录到 Windows,并替换密码、智能卡和虚拟智能卡。
重要提示
从 Windows 10 版本 1607 开始,所有设备只有一个与 Windows Hello 企业版关联的 PIN。 这意味着设备上的任何 PIN 将遵循 PassportForWork CSP 中指定的策略。 指定值的优先级高于通过 Exchange ActiveSync (EAS) 或 DeviceLock CSP 设置的任何复杂规则。
以下列表显示了 PassportForWork 配置服务提供程序节点:
- ./Device/Vendor/MSFT/PassportForWork
- {TenantId}
- 生物识别
- DeviceUnlock
- DynamicLock
- SecurityKey
- UseBiometrics
- ./User/Vendor/MSFT/PassportForWork
Device/{TenantId}
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}
此策略以全局唯一标识符的格式指定租户 ID, (GUID) 不带大括号 ,该大括号 { }将用作 Windows Hello 企业版预配和管理的一部分。
若要获取 GUID,请使用 PowerShell cmdlet Get-AzureAccount。 有关详细信息,请参阅 在 Windows PowerShell 中获取 Windows Azure Active Directory 租户 ID。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
| 动态节点命名 | UniqueName:全局唯一标识符 (GUID) ,不带大括号 ( { , } ) ,用作 Windows Hello 企业版预配和管理的一部分。 若要获取 GUID,请使用 PowerShell cmdlet Get-AzureAccount。 有关详细信息,请参阅 https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell。 |
Device/{TenantId}/Policies
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies
策略的根节点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
Device/{TenantId}/Policies/DisablePostLogonProvisioning
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ [10.0.20348.2402] 及更高版本 ✅ Windows 10 版本 2004 [10.0.19041.4239] 及更高版本 ✅Windows 11 版本 21H2,KB5036894 [10.0.22000.2899] 及更高版本 ✅ Windows 11 版本 22H2,KB5035942 [10.0.22621.3374] 及更高版本 ✅ Windows 预览体验成员预览版 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning
登录后不要启动 Windows Hello 预配。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 预配已启用。 |
| true | 预配已禁用。 |
Device/{TenantId}/Policies/EnablePinRecovery
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
如果用户忘记了 PIN,可以使用 Windows Hello 企业版 PIN 恢复服务将其更改为新的 PIN。 此云服务对存储在客户端本地的恢复机密进行加密,但只能由云服务解密。
如果启用此策略设置,PIN 恢复机密将存储在设备上,并且用户将能够更改为新的 PIN,以防忘记其 PIN。
如果禁用或未配置此策略设置,则不会创建或存储 PIN 恢复机密。 如果用户的 PIN 被遗忘,获取新 PIN 的唯一方法是删除现有 PIN 并创建一个新 PIN,这将要求用户重新注册旧 PIN 提供访问权限的任何服务。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 预览体验成员预览版 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
如果用户使用 FIDO2 安全密钥登录到其设备,请启用 Windows Hello 预配。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/ExcludeSecurityDevices
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices
排除的安全设备的根节点。
注意
Windows Holographic 和 Windows Holographic for Business 不支持。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
某些受信任的平台模块 (TPM) 仅符合受信任的计算组 (TCG) 定义的 TPM 规范的旧版本 1.2 版本。
如果启用此策略设置,将禁止将 TPM 修订版 1.2 模块与 Windows Hello 企业版一起使用。
如果禁用或未配置此策略设置,将允许将 TPM 修订版 1.2 模块与 Windows Hello 企业版一起使用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/PINComplexity
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
PIN 策略的根节点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
Device/{TenantId}/Policies/PINComplexity/Digits
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
使用此策略设置来配置 Windows Hello 企业版 PIN 中数字的使用。
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在其 PIN 中至少包含一位数字。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,则 Windows Hello 企业版会阻止用户使用其 PIN 中的数字。
如果未配置此策略设置,Windows Hello 企业版要求用户使用其 PIN 中的数字。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用数字。 |
| 1 | 要求在 PIN 中使用至少一位数字。 |
| 2 | 不允许在 PIN 中使用数字。 |
Device/{TenantId}/Policies/PINComplexity/Expiration
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
此策略指定 PIN 何时过期 ((以天为单位) )。 有效值为 0 到 730(含 0 到 730)。 如果此策略设置为 0,则 PIN 不会过期。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-730] |
| 默认值 | 0 |
Device/{TenantId}/Policies/PINComplexity/History
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
此策略指定在历史记录中存储的、无法使用的过去 PIN 的数量。 有效值为 0 到 50(含)。 如果此策略设置为 0,则不需要存储以前的 PIN。 PIN 历史记录不会通过 PIN 重置来保留。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-50] |
| 默认值 | 0 |
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
使用此策略设置在 Windows Hello 企业版 PIN 中配置小写字母的使用。
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在 PIN 中至少包含一个小写字母。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,则 Windows Hello 企业版会阻止用户在 PIN 中使用小写字母。
如果未配置此策略设置,则 Windows Hello 企业版不允许用户在 PIN 中使用小写字母。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用小写字母。 |
| 1 | 需要在 PIN 中使用至少一个小写字母。 |
| 2 | 不允许在 PIN 中使用小写字母。 |
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
最大 PIN 长度配置 PIN 允许的最大字符数。 可为此策略设置配置的最大数目为 127。 可配置的最小数字必须大于最小 PIN 长度策略设置中配置的数字或数字 4,以较大者为准。
如果配置此策略设置,则 PIN 长度必须小于或等于此数字。
如果未配置此策略设置,则 PIN 长度必须小于或等于 127。
注意
如果不满足上述指定的最大 PIN 长度的条件,则默认值将同时用于最大和最小 PIN 长度。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [4-127] |
| 默认值 | 127 |
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
最小 PIN 长度配置 PIN 所需的最小字符数。 可为此策略设置配置的最小数目为 4。 可以配置的最大数字必须小于“最大 PIN 长度”策略设置中配置的数字或数字 127(以最低值为准)。
如果配置此策略设置,则 PIN 长度必须大于或等于此数字。
如果未配置此策略设置,则 PIN 长度必须大于或等于 4。
注意
如果未满足上述指定最小 PIN 长度的条件,则默认值将同时用于最大和最小 PIN 长度。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [4-127] |
| 默认值 | 4 |
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
使用此策略设置来配置在 Windows Hello 企业版 PIN 手势中使用特殊字符。 Windows Hello 企业版 PIN 笔势的有效特殊字符包括: ! “ # $ % & ' ( ) * + , - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在其 PIN 中包含至少一个特殊字符。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,则 Windows Hello 企业版会阻止用户在 PIN 中使用特殊字符。
如果未配置此策略设置,则 Windows Hello 企业版不允许用户在 PIN 中使用特殊字符。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用特殊字符。 |
| 1 | 要求在 PIN 中使用至少一个特殊字符。 |
| 2 | 不允许在 PIN 中使用特殊字符。 |
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
使用此策略设置在 Windows Hello 企业版 PIN 中配置大写字母的使用。
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在 PIN 中至少包含一个大写字母。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,Windows Hello 企业版会阻止用户在 PIN 中使用大写字母。
如果未配置此策略设置,Windows Hello 企业版不允许用户在 PIN 中使用大写字母。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用大写字母。 |
| 1 | 需要在 PIN 中使用至少一个大写字母。 |
| 2 | 不允许在 PIN 中使用大写字母。 |
Device/{TenantId}/Policies/Remote
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote
手机登录策略的根节点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
Device/{TenantId}/Policies/Remote/UseRemotePassport
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport
指定手机登录是否可以与设备一起使用的布尔值。 手机登录使已注册的便携式设备能够用作桌面身份验证的配套设备。
默认值为 false。
如果启用此设置,桌面设备将允许将已注册的配套设备用作身份验证因素。
如果禁用此设置,则无法在桌面身份验证方案中使用配套设备。
注意
Windows 10 版本 1903 之前的 Windows Holographic 和 Windows Holographic for Business (2019 年 5 月更新) 不支持。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/RequireSecurityDevice
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
受信任的平台模块 (TPM) 提供了比软件更多的安全优势,因为它中存储的数据不能在其他设备上使用。
如果启用此策略设置,则仅具有可用 TPM 的设备预配 Windows Hello 企业版。
如果禁用或未配置此策略设置,TPM 仍是首选,但如果 TPM 不起作用或不可用,则所有设备都使用软件预配 Windows Hello 企业版。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/UseCertificateForOnPremAuth
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
Windows Hello 企业版可以使用证书对本地资源进行身份验证。
如果启用此策略设置,则 Windows Hello 企业版将等到设备从移动设备管理服务器收到证书有效负载后再预配 PIN。
如果禁用或未配置此策略设置,则会在用户登录时预配 PIN,而无需等待证书有效负载。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 21H2,KB5010415 [10.0.19044.1566] 及更高版本 ✅ Windows 11 版本 21H2,KB5010414 [10.0.22000.527] 及更高版本 ✅ Windows 11 版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
使 Windows Hello 企业版能够使用 Microsoft Entra Kerberos 对本地资源进行身份验证的布尔值。
如果启用此策略设置,Windows Hello 企业版将使用Microsoft Entra Kerberos 票证对本地资源进行身份验证。 如果为租户和域启用了 Microsoft Entra Kerberos,则成功身份验证以Microsoft Entra ID 后,Microsoft Entra Kerberos 票证将返回到客户端。
如果禁用或不配置此策略设置,Windows Hello 企业版将使用密钥或证书对本地资源进行身份验证。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
如果启用此策略设置,应用程序将使用 Windows Hello 企业版证书作为智能卡证书。 要求用户授权使用证书私钥时,生物识别因素不可用。 此策略设置旨在允许与仅依赖智能卡证书的应用程序兼容。
如果禁用或未配置此策略设置,应用程序不会将 Windows Hello 企业版证书用作智能卡证书,并且当用户被要求授权使用该证书的私钥时,生物识别因素可用。
如果用户当前已登录,Windows 要求用户在更改此设置后锁定和解锁其会话。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/{TenantId}/Policies/UsePassportForWork
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello 企业版是使用 Active Directory 或 Microsoft Entra 帐户登录到 Windows 的替代方法,可以替换密码、智能卡和虚拟智能卡。
如果启用或未配置此策略设置,设备会为所有用户预配 Windows Hello 企业版。
如果禁用此策略设置,则设备不会为任何用户预配 Windows Hello 企业版。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | True |
允许的值:
| 值 | 说明 |
|---|---|
| false | 已禁用。 |
| true (默认) | 已启用。 |
设备/生物识别
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics
生物识别策略的根节点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | “获取” |
Device/Biometrics/EnableESSwithSupportedPeripherals
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 11 版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
增强的登录安全性 (ESS) 将生物识别模板数据和匹配操作隔离到受信任的硬件或指定的内存区域,这意味着操作系统的其余部分无法访问或篡改它们。 由于传感器和算法之间的通信通道也是安全的,因此恶意软件无法注入或重播数据来模拟用户登录或将用户锁定其计算机。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 说明 |
|---|---|
| 0 | 将按照 Windows 中的现有默认行为,在具有支持软件和硬件的系统上启用 ESS。 将允许支持 Windows Hello 的外围设备的身份验证操作,但受当前功能限制的限制。 此外,使用此设置时,将在混合使用生物识别设备的设备上启用 ESS,例如支持 ESS 的 FPR 和不支持 ESS 的摄像头。 (不建议) 。 |
| 1 (默认) | 将按照 Windows 中的现有默认行为,在具有支持软件和硬件的系统上启用 ESS。 将阻止任何外围生物识别设备的身份验证操作,并且不适用于 Windows Hello。 (默认值,建议将其用于最高安全) 。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | 使用支持的外围设备启用 ESS |
| 路径 | Passport > AT > WindowsComponents > MSPassportForWorkCategory |
Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
此设置确定 Windows Hello 人脸身份验证是否需要增强的反欺骗。
如果启用此设置,Windows 将要求托管设备上的所有用户对 Windows Hello 人脸身份验证使用增强的反欺骗。 这会在不支持增强型反欺骗的设备上禁用 Windows Hello 人脸身份验证。
如果禁用或未配置此设置,则 Windows 不需要针对 Windows Hello 人脸身份验证进行增强的反欺骗。
请注意,非托管设备上不需要 Windows Hello 人脸身份验证的增强反欺骗。
注意
Windows 10 版本 1903 之前的 Windows Holographic 和 Windows Holographic for Business (2019 年 5 月更新) 不支持。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/Biometrics/UseBiometrics
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
Windows Hello 企业版允许用户使用生物识别手势(例如人脸和指纹)作为 PIN 手势的替代方法。 但是,用户仍必须配置 PIN 才能在发生故障时使用。
如果启用或未配置此策略设置,Windows Hello 企业版允许使用生物识别手势。
如果禁用此策略设置,Windows Hello 企业版将阻止使用生物识别手势。
注意
禁用此策略可防止在设备上对所有帐户类型使用生物识别手势。
注意
Windows 10 版本 1903 之前的 Windows Holographic 和 Windows Holographic for Business (2019 年 5 月更新) 不支持。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/DeviceUnlock
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock
设备解锁。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | “获取” |
Device/DeviceUnlock/GroupA
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
包含按 GUID 提供的提供程序列表,这些提供程序将在身份验证的第一步中考虑这些提供程序。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 正则表达式: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/GroupB
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
包含按 GUID 提供的提供程序列表,这些提供程序将在身份验证的第二步中考虑这些提供程序。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 正则表达式: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/Plugins
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
被动提供程序监视以检测用户状态的插件列表。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
Device/DynamicLock
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DynamicLock
动态锁定。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | “获取” |
Device/DynamicLock/DynamicLock
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
启用/禁用动态锁定。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
Device/DynamicLock/Plugins
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins
被动提供程序监视以检测用户缺席的插件列表。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
Device/SecurityKey
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/SecurityKey
安全密钥。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | “获取” |
Device/SecurityKey/UseSecurityKeyForSignin
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
使用安全密钥登录。 0 已禁用。 1 为 enable。 如果未配置此策略设置,则禁用默认值。
使用户能够使用与 Microsoft 实现兼容的 FIDO2 安全密钥 登录到其设备。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 已禁用。 |
| 1 | 已启用。 |
Device/UseBiometrics
注意
此策略已弃用,可能会在将来的版本中删除。
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./Device/Vendor/MSFT/PassportForWork/UseBiometrics
此节点已弃用,并将在未来版本中删除。 请改为使用生物识别/UseBiometrics NODE。
Windows Hello 企业版允许用户使用生物识别手势(例如人脸和指纹)作为 PIN 手势的替代方法。 但是,用户仍必须配置 PIN 才能在发生故障时使用。
如果启用或未配置此策略设置,Windows Hello 企业版允许使用生物识别手势。
如果禁用此策略设置,Windows Hello 企业版将阻止使用生物识别手势。
注意
禁用此策略可防止在设备上对所有帐户类型使用生物识别手势。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
User/{TenantId}
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}
此策略以全局唯一标识符的格式指定租户 ID, (GUID) 不带大括号 ,该大括号 { }将用作 Windows Hello 企业版预配和管理的一部分。
若要获取 GUID,请使用 PowerShell cmdlet Get-AzureAccount。 有关详细信息,请参阅 在 Windows PowerShell 中获取 Windows Azure Active Directory 租户 ID。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
| 动态节点命名 | UniqueName:全局唯一标识符 (GUID) ,不带大括号 ( { , } ) ,用作 Windows Hello 企业版预配和管理的一部分。 若要获取 GUID,请使用 PowerShell cmdlet Get-AzureAccount。 有关详细信息,请参阅 https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell。 |
User/{TenantId}/Policies
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies
策略的根节点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
User/{TenantId}/Policies/EnablePinRecovery
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1703 [10.0.15063] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
如果用户忘记了 PIN,可以使用 Windows Hello 企业版 PIN 恢复服务将其更改为新的 PIN。 此云服务对存储在客户端本地的恢复机密进行加密,但只能由云服务解密。
如果启用此策略设置,PIN 恢复机密将存储在设备上,并且用户将能够更改为新的 PIN,以防忘记其 PIN。
如果禁用或未配置此策略设置,则不会创建或存储 PIN 恢复机密。 如果用户的 PIN 被遗忘,获取新 PIN 的唯一方法是删除现有 PIN 并创建一个新 PIN,这将要求用户重新注册旧 PIN 提供访问权限的任何服务。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
User/{TenantId}/Policies/PINComplexity
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
PIN 策略的根节点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | 添加、删除、获取 |
User/{TenantId}/Policies/PINComplexity/Digits
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
使用此策略设置来配置 Windows Hello 企业版 PIN 中数字的使用。
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在其 PIN 中至少包含一位数字。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,则 Windows Hello 企业版会阻止用户使用其 PIN 中的数字。
如果未配置此策略设置,Windows Hello 企业版要求用户使用其 PIN 中的数字。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用数字。 |
| 1 | 要求在 PIN 中使用至少一位数字。 |
| 2 | 不允许在 PIN 中使用数字。 |
User/{TenantId}/Policies/PINComplexity/Expiration
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
此策略指定 PIN 何时过期 ((以天为单位) )。 有效值为 0 到 730(含 0 到 730)。 如果此策略设置为 0,则 PIN 不会过期。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-730] |
| 默认值 | 0 |
User/{TenantId}/Policies/PINComplexity/History
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
此策略指定在历史记录中存储的、无法使用的过去 PIN 的数量。 有效值为 0 到 50(含)。 如果此策略设置为 0,则不需要存储以前的 PIN。 PIN 历史记录不会通过 PIN 重置来保留。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-50] |
| 默认值 | 0 |
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
使用此策略设置在 Windows Hello 企业版 PIN 中配置小写字母的使用。
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在 PIN 中至少包含一个小写字母。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,则 Windows Hello 企业版会阻止用户在 PIN 中使用小写字母。
如果未配置此策略设置,则 Windows Hello 企业版不允许用户在 PIN 中使用小写字母。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用小写字母。 |
| 1 | 需要在 PIN 中使用至少一个小写字母。 |
| 2 | 不允许在 PIN 中使用小写字母。 |
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
最大 PIN 长度配置 PIN 允许的最大字符数。 可为此策略设置配置的最大数目为 127。 可配置的最小数字必须大于最小 PIN 长度策略设置中配置的数字或数字 4,以较大者为准。
如果配置此策略设置,则 PIN 长度必须小于或等于此数字。
如果未配置此策略设置,则 PIN 长度必须小于或等于 127。
注意
如果不满足上述指定的最大 PIN 长度的条件,则默认值将同时用于最大和最小 PIN 长度。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [4-127] |
| 默认值 | 127 |
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
最小 PIN 长度配置 PIN 所需的最小字符数。 可为此策略设置配置的最小数目为 4。 可以配置的最大数字必须小于“最大 PIN 长度”策略设置中配置的数字或数字 127(以最低值为准)。
如果配置此策略设置,则 PIN 长度必须大于或等于此数字。
如果未配置此策略设置,则 PIN 长度必须大于或等于 4。
注意
如果未满足上述指定最小 PIN 长度的条件,则默认值将同时用于最大和最小 PIN 长度。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [4-127] |
| 默认值 | 4 |
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
使用此策略设置来配置在 Windows Hello 企业版 PIN 手势中使用特殊字符。 Windows Hello 企业版 PIN 笔势的有效特殊字符包括: ! “ # $ % & ' ( ) * + , - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在其 PIN 中包含至少一个特殊字符。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,则 Windows Hello 企业版会阻止用户在 PIN 中使用特殊字符。
如果未配置此策略设置,则 Windows Hello 企业版不允许用户在 PIN 中使用特殊字符。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用特殊字符。 |
| 1 | 要求在 PIN 中使用至少一个特殊字符。 |
| 2 | 不允许在 PIN 中使用特殊字符。 |
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
使用此策略设置在 Windows Hello 企业版 PIN 中配置大写字母的使用。
值 1 对应于“必需”。 如果将此策略设置配置为 1,则 Windows Hello 企业版要求用户在 PIN 中至少包含一个大写字母。
值 2 对应于“Disallow”。 如果将此策略设置配置为 2,Windows Hello 企业版会阻止用户在 PIN 中使用大写字母。
如果未配置此策略设置,Windows Hello 企业版不允许用户在 PIN 中使用大写字母。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 允许在 PIN 中使用大写字母。 |
| 1 | 需要在 PIN 中使用至少一个大写字母。 |
| 2 | 不允许在 PIN 中使用大写字母。 |
User/{TenantId}/Policies/RequireSecurityDevice
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
受信任的平台模块 (TPM) 提供了比软件更多的安全优势,因为它中存储的数据不能在其他设备上使用。
如果启用此策略设置,则仅具有可用 TPM 的设备预配 Windows Hello 企业版。
如果禁用或未配置此策略设置,TPM 仍是首选,但如果 TPM 不起作用或不可用,则所有设备都使用软件预配 Windows Hello 企业版。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | False |
允许的值:
| 值 | 说明 |
|---|---|
| false (默认) | 已禁用。 |
| true | 已启用。 |
User/{TenantId}/Policies/UsePassportForWork
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1511 [10.0.10586] 及更高版本 |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello 企业版是使用 Active Directory 或 Microsoft Entra 帐户登录到 Windows 的替代方法,可以替换密码、智能卡和虚拟智能卡。
如果启用或未配置此策略设置,设备会为所有用户预配 Windows Hello 企业版。
如果禁用此策略设置,则设备不会为任何用户预配 Windows Hello 企业版。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | bool |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | True |
允许的值:
| 值 | 说明 |
|---|---|
| false | 已禁用。 |
| true (默认) | 已启用。 |
示例
下面是设置 Windows Hello 企业版和设置 PIN 策略的示例。 它还会启用生物识别和 TPM 的使用。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
</LocURI>
</Target>
</Item>
</Add>
<Add>
<CmdID>3</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>4</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>5</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdID>6</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>16</Data>
</Item>
</Add>
<Add>
<CmdID>7</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Add>
<CmdID>8</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>9</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdID>10</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>11</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdID>12</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>70</Data>
</Item>
</Add>
<Add>
<CmdID>13</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>14</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>15</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>16</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>