策略 CSP - 身份验证

AllowAadPasswordReset

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset

指定是否为 Microsoft Entra 帐户启用密码重置。

此策略允许Microsoft Entra 租户管理员在 Windows 登录屏幕上启用自助式密码重置功能。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不允许。
1 允许。

AllowEAPCertSSO

范围 版本 适用的操作系统
❌ 设备
✅ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1507 [10.0.10240] 及更高版本
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO

允许对单一登录进行基于 EAP 证书的身份验证 (SSO) 访问内部资源。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不允许。
1 允许。

AllowFastReconnect

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect

允许对 EAP 方法 TLS 尝试 EAP 快速重新连接。 最受限制的值为 0。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 不允许。
1 (默认) 允许。

AllowSecondaryAuthenticationDevice

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice

此策略允许用户使用配套设备(如手机、健身带或 IoT 设备)登录到运行 Windows 10 的台式计算机。 配套设备提供 Windows Hello 的第二个身份验证因素。

  • 如果启用或未配置此策略设置,用户可以使用配套设备向 Windows Hello 进行身份验证。

  • 如果禁用此策略,则用户无法使用配套设备向 Windows Hello 进行身份验证。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不允许。
1 允许。

组策略映射:

名称
名称 MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice
友好名称 允许辅助身份验证的配套设备
位置 “计算机配置”
路径 Windows 组件 > Microsoft辅助身份验证因素
注册表项名称 SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor
注册表值名称 AllowSecondaryAuthenticationDevice
ADMX 文件名 DeviceCredential.admx

ConfigureWebcamAccessDomainNames

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames

指定允许在基于 Web 登录的身份验证方案中访问网络摄像头的域列表。

注意

Web 登录仅在Microsoft已加入 Entra 的电脑上受支持。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: ;)

示例

你的组织联合到“Contoso IDP”,而你的 Web 登录门户需要 signinportal.contoso.com 网络摄像头访问权限。 然后,此策略的值应为:

contoso.com

ConfigureWebSignInAllowedUrls

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB5001339 [10.0.17134.2145] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls

指定在基于 Web 登录的身份验证方案中可导航的 URL 列表。

此策略指定用户可以在某些身份验证方案中访问的域列表。 例如:

  • Microsoft Entra ID PIN 重置
  • Web 登录 Windows 设备方案,其中身份验证由 Active Directory 联合身份验证服务 (AD FS) 或第三方联合标识提供者处理

注意

联合环境中需要此策略,以缓解 CVE-2021-27092 中所述的漏洞。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: ;)

示例

组织的 PIN 重置或 Web 登录身份验证流应导航到以下两个域: accounts.contoso.comsignin.contoso.com。 然后,此策略的值应为:

accounts.contoso.com;signin.contoso.com

EnableFastFirstSignIn

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn

指定新的非管理员Microsoft Entra 帐户是否应自动连接到预先创建的候选本地帐户。

此策略适用于在共享电脑上使用,为用户启用快速首次登录体验。 它的工作原理是自动将新的非管理员Microsoft Entra 帐户连接到预配置的候选本地帐户。

重要提示

预配置的候选本地帐户是在设备上预先配置或添加的任何本地帐户。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 此功能默认为现有 SKU 和设备功能。
1 已启用。 自动将新的非管理员Microsoft Entra 帐户连接到预配置的候选本地帐户。
2 已禁用。 不要将新的非管理员Microsoft Entra 帐户自动连接到预配置的本地帐户。

EnablePasswordlessExperience

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 11 版本 23H2,KB5031455 [10.0.22631.2506] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience

指定已加入 Entra Microsoft 设备上的连接用户是否在 Windows 上获得无密码体验。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 此功能默认为现有版本和设备功能。
1 已启用。 Windows 上将启用无密码体验。
2 已禁用。 不会在 Windows 上启用无密码体验。

EnableWebSignIn

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn

指定是否允许基于 Web 的登录登录到 Windows。

Web 登录是在 Windows 设备上启用基于 Web 的登录体验的凭据提供程序。 Web 登录最初在 Windows 10 中引入,仅支持临时访问密码 (TAP) ,从 Windows 11 版本 22H2 开始扩展其功能,KB5030310。 有关详细信息,请参阅 Windows 的 Web 登录

注意

Web 登录仅在Microsoft已加入 Entra 的电脑上受支持。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 此功能默认为现有 SKU 和设备功能。
1 已启用。 将启用 Web 登录以登录到 Windows。
2 已禁用。 不会为登录 Windows 启用 Web 登录。

PreferredAadTenantDomainName

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName

指定 Microsoft Entra 租户中可用域的首选域。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

示例

组织使用 @contoso.com 租户域名。 然后,此策略的值应为:

contoso.com

对于用户 abby@constoso.com,登录是在用户名字段中使用 abby 而不是 完成的 abby@contoso.com

策略配置服务提供程序