| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Accounts/AllowAddingNonMicrosoftAccountsManually
指定是否允許使用者新增非 MSA 電子郵件帳戶。 限制程度最高的值為 0。
注意
此原則只會封鎖以UI/UX為基礎的方法,以新增非Microsoft帳戶。 即使強制執行此原則,您仍然可以使用 EMAIL2 CSP 布建非 MSA 帳戶。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Accounts/AllowMicrosoftAccountConnection
指定是否允許使用者針對非電子郵件相關的連線驗證與服務使用 MSA 帳戶。 限制程度最高的值為 0。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Accounts/AllowMicrosoftAccountSignInAssistant
讓IT系統管理員能夠停用 Microsoft Account Sign-In Assistant (wlidsvc) NT 服務。
注意
如果 MSA 服務已停用,Windows Update 將不再提供功能更新給執行 Windows 10 1709 或更新版本的裝置。 請參閱其他更新未提供功能更新。
注意
如果 MSA 服務已停用,訂用帳戶啟用功能將無法正常運作,而且您的使用者將無法從 Windows 10 專業版「逐步執行」至 Windows 10 企業版,因為無法產生授權驗證的 MSA 票證。 機器會保留在 Windows 10 專業版,且啟用設定應用程式中不會顯示任何錯誤。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 停用。 |
| 1 (預設) | 手動啟動。 |
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Accounts/DomainNamesForEmailSync
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Accounts/RestrictToEnterpriseDeviceAuthenticationOnly
此設定會決定是否只允許Microsoft帳戶登入小幫手服務 (wlidsvc) 的企業裝置驗證。 根據預設,此設定會停用,並允許使用者和裝置驗證。 當值設定為 1 時,只允許裝置驗證,並封鎖用戶驗證。
限制程度最高的值為 1。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 允許裝置和用戶驗證。 請勿封鎖用戶驗證。 |
| 1 | 只允許裝置驗證。 封鎖用戶驗證。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | MicrosoftAccount_RestrictToEnterpriseDeviceAuthenticationOnly |
| 易記名稱 | 僅允許Microsoft帳戶助理的裝置驗證 Sign-In |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > Microsoft帳戶 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 登錄值名稱 | EnterpriseDeviceAuthOnly |
| ADMX 檔案名稱 | MSAPolicy.admx |
訓練
模組
保護 Windows Server 使用者帳戶 - Training
確保使用者帳戶的最低權限,並將其放在受保護的使用者群組中,以保護 Active Directory 環境。 了解如何限制驗證範圍,以及補救可能不安全的帳戶。
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。