策略 CSP - 身份验证
AllowAadPasswordReset
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1709 [10.0.16299] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
指定是否为 Microsoft Entra 帐户启用密码重置。
此策略允许Microsoft Entra 租户管理员在 Windows 登录屏幕上启用自助式密码重置功能。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 不允许。 |
1 | 允许。 |
AllowEAPCertSSO
范围 | 版本 | 适用的操作系统 |
---|---|---|
❌ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1507 [10.0.10240] 及更高版本 |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
允许对单一登录进行基于 EAP 证书的身份验证 (SSO) 访问内部资源。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 不允许。 |
1 | 允许。 |
AllowFastReconnect
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
允许对 EAP 方法 TLS 尝试 EAP 快速重新连接。 最受限制的值为 0。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 1 |
允许的值:
值 | 说明 |
---|---|
0 | 不允许。 |
1 (默认) | 允许。 |
AllowSecondaryAuthenticationDevice
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1607 [10.0.14393] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
此策略允许用户使用配套设备(如手机、健身带或 IoT 设备)登录到运行 Windows 10 的台式计算机。 配套设备提供 Windows Hello 的第二个身份验证因素。
如果启用或未配置此策略设置,用户可以使用配套设备向 Windows Hello 进行身份验证。
如果禁用此策略,则用户无法使用配套设备向 Windows Hello 进行身份验证。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 不允许。 |
1 | 允许。 |
组策略映射:
名称 | 值 |
---|---|
名称 | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
友好名称 | 允许辅助身份验证的配套设备 |
位置 | “计算机配置” |
路径 | Windows 组件 > Microsoft辅助身份验证因素 |
注册表项名称 | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
注册表值名称 | AllowSecondaryAuthenticationDevice |
ADMX 文件名 | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
指定允许在基于 Web 登录的身份验证方案中访问网络摄像头的域列表。
注意
Web 登录仅在Microsoft已加入 Entra 的电脑上受支持。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: ; ) |
示例:
你的组织联合到“Contoso IDP”,而你的 Web 登录门户需要 signinportal.contoso.com
网络摄像头访问权限。 然后,此策略的值应为:
contoso.com
ConfigureWebSignInAllowedUrls
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1803,KB5001339 [10.0.17134.2145] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
指定在基于 Web 登录的身份验证方案中可导航的 URL 列表。
此策略指定用户可以在某些身份验证方案中访问的域列表。 例如:
- Microsoft Entra ID PIN 重置
- Web 登录 Windows 设备方案,其中身份验证由 Active Directory 联合身份验证服务 (AD FS) 或第三方联合标识提供者处理
注意
联合环境中需要此策略,以缓解 CVE-2021-27092 中所述的漏洞。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
允许的值 | 列表 (分隔符: ; ) |
示例:
组织的 PIN 重置或 Web 登录身份验证流应导航到以下两个域: accounts.contoso.com
和 signin.contoso.com
。 然后,此策略的值应为:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
指定新的非管理员Microsoft Entra 帐户是否应自动连接到预先创建的候选本地帐户。
此策略适用于在共享电脑上使用,为用户启用快速首次登录体验。 它的工作原理是自动将新的非管理员Microsoft Entra 帐户连接到预配置的候选本地帐户。
重要提示
预配置的候选本地帐户是在设备上预先配置或添加的任何本地帐户。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 此功能默认为现有 SKU 和设备功能。 |
1 | 已启用。 自动将新的非管理员Microsoft Entra 帐户连接到预配置的候选本地帐户。 |
2 | 已禁用。 不要将新的非管理员Microsoft Entra 帐户自动连接到预配置的本地帐户。 |
EnablePasswordlessExperience
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 11 版本 23H2,KB5031455 [10.0.22631.2506] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
指定已加入 Entra Microsoft 设备上的连接用户是否在 Windows 上获得无密码体验。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 此功能默认为现有版本和设备功能。 |
1 | 已启用。 Windows 上将启用无密码体验。 |
2 | 已禁用。 不会在 Windows 上启用无密码体验。 |
EnableWebSignIn
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
指定是否允许基于 Web 的登录登录到 Windows。
Web 登录是在 Windows 设备上启用基于 Web 的登录体验的凭据提供程序。 Web 登录最初在 Windows 10 中引入,仅支持临时访问密码 (TAP) ,从 Windows 11 版本 22H2 开始扩展其功能,KB5030310。 有关详细信息,请参阅 Windows 的 Web 登录。
注意
Web 登录仅在Microsoft已加入 Entra 的电脑上受支持。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 | int |
访问类型 | 添加、删除、获取、替换 |
默认值 | 0 |
允许的值:
值 | 说明 |
---|---|
0(默认值) | 此功能默认为现有 SKU 和设备功能。 |
1 | 已启用。 将启用 Web 登录以登录到 Windows。 |
2 | 已禁用。 不会为登录 Windows 启用 Web 登录。 |
PreferredAadTenantDomainName
范围 | 版本 | 适用的操作系统 |
---|---|---|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
指定 Microsoft Entra 租户中可用域的首选域。
描述框架属性:
属性名 | 属性值 |
---|---|
格式 |
chr (字符串) |
访问类型 | 添加、删除、获取、替换 |
示例:
组织使用 @contoso.com
租户域名。 然后,此策略的值应为:
contoso.com
对于用户 abby@constoso.com
,登录是在用户名字段中使用 abby
而不是 完成的 abby@contoso.com
。