原則 CSP - 驗證


驗證原則

Authentication/AllowAadPasswordReset
Authentication/AllowEAPCertSSO
Authentication/AllowFastReconnect
Authentication/AllowFidoDeviceSignon
Authentication/AllowSecondaryAuthenticationDevice
Authentication/ConfigureWebSignInAllowedUrls
Authentication/ConfigureWebcamAccessDomainNames
Authentication/EnableFastFirstSignIn
Authentication/EnableWebSignIn
Authentication/PreferredAadTenantDomainName

Authentication/AllowAadPasswordReset

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

指定是否啟用 Azure Active Directory 帳戶的密碼重設。 此原則可讓 Azure AD 租使用者系統管理員在 Windows 登入畫面上啟用自助式密碼重設功能。

下列清單顯示支援的值:

  • 0 (預設) – 不允許。
  • 1 - 已允許。

Authentication/AllowEAPCertSSO

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 使用者

允許單一登入的 EAP 憑證型驗證 (SSO) 存取內部資源。

下列清單顯示支援的值:

  • 0 - 不允許。
  • 1 (預設值) - 已允許。

Authentication/AllowFastReconnect

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

允許針對 EAP 方法 TLS 嘗試 EAP 快速重新連線 (EAP Fast Reconnect)。

限制程度最高的值為 0。

下列清單顯示支援的值:

  • 0 - 不允許。
  • 1 (預設值) - 已允許。

Authentication/AllowFidoDeviceSignon

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

在下一個版本中支援。 指定是否可以使用 Fast Identity Online (FIDO) 裝置來登入。 此原則會啟用 FIDO 2.0 的 Windows 登入認證提供者

值類型為整數。

以下是範例案例:在 Contoso,員工全天使用許多共用裝置和 Kiosk,例如,員工使用最多 20 個不同的裝置。 為了將員工每次挑選裝置時都必須使用使用者名稱和密碼登入時的生產力損失降到最低,IT 系統管理員會將 SharePC CSP 和驗證/AllowFidoDeviceSignon 原則部署到共用裝置。 IT 系統管理員會布建 FIDO 2.0 裝置並散發給員工,讓他們能夠向各種共用裝置和電腦進行驗證。

下列清單顯示支援的值:

  • 0 - 不允許。 已停用 FIDO 裝置認證提供者。
  • 1 - 允許。 FIDO 裝置認證提供者已啟用,並允許使用 FIDO 裝置登入 Windows。

Authentication/AllowSecondaryAuthenticationDevice

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

允許次要驗證裝置與 Windows 搭配使用。

針對 (定義為本機或 Microsoft 帳戶連線裝置的取用者裝置,) 和關閉企業裝置的預設值必須為開啟, (例如已加入雲端網域、在內部部署環境中加入雲端網域、在混合式環境中加入雲端網域,以及 BYOD) 。

在下一個主要版本的Windows 10中,消費者裝置的此原則預設值將會變更為關閉。 這項變更只會影響尚未設定次要驗證裝置的使用者。

ADMX 資訊:

  • GP 易記名稱: 允許隨附裝置進行次要驗證
  • GP 名稱: MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice
  • GP 路徑: Windows 元件/Microsoft 次要驗證因素
  • GP ADMX 檔案名: DeviceCredential.admx

下列清單顯示支援的值:

  • 0 - 不允許。
  • 1 - 已允許。

Authentication/ConfigureWebSignInAllowedUrls

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

指定允許在 Azure Active Directory PIN 重設和 Web 登入 Windows 裝置案例中流覽至的網域清單,其中驗證是由 AD FS 或協力廠商同盟識別提供者處理。 請注意,同盟環境中需要此原則,以緩解 CVE-2021-27092中所述的弱點。

範例:如果您組織的 PIN 重設或 Web 登入驗證流程預期會流覽至兩個網域,accounts.contoso.com 和 signin.contoso.com,則原則值應該是 「accounts.contoso.com;signin.contoso.com」。


Authentication/ConfigureWebcamAccessDomainNames

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

指定允許在 Web 登入 Windows 裝置登入案例中存取網路攝影機的功能變數名稱清單。

只有已加入 Azure AD 的電腦才支援 Web 登入。

範例:如果您的組織與 「Contoso IDP」 同盟,而您在 「signinportal.contoso.com」 的 Web 登入入口網站需要網路攝影機存取,則原則值應該是 「contoso.com」。


Authentication/EnableFastFirstSignIn

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

警告

Web 登入功能僅處於私人預覽模式,不適合或建議用於生產環境。 目前不支援這項設定。

此原則適用于共用電腦,以啟用使用者的快速首次登入體驗。 其運作方式是自動將新的非系統管理員 Azure Active Directory (Azure AD) 帳戶連線到預先設定的候選本機帳戶。

重要

預先設定的候選本機帳戶是 (裝置中預先設定或新增) 的任何本機帳戶。

值類型為整數。 支援的值:

  • 0 - (預設) 此功能預設為現有的 SKU 和裝置功能。
  • 1 - 已啟用。 自動將新的非系統管理員 Azure AD 帳戶連線到預先設定的候選本機帳戶
  • 2 - 已停用。 請勿將新的非系統管理員 Azure AD 帳戶自動連線到預先設定的本機帳戶

Authentication/EnableWebSignIn

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

警告

Web 登入功能僅處於私人預覽模式,不適合或建議用於生產環境。 目前不支援這項設定。

「Web 登入」是登入 Windows 電腦的新方式。 它可讓 Windows 登入支援新的 Azure AD 認證,例如暫時存取階段。

注意

只有已加入 Azure AD 的電腦才支援 Web 登入。

值類型為整數。 支援的值:

  • 0 - (預設) 此功能預設為現有的 SKU 和裝置功能。
  • 1 - 已啟用。 將會啟用 Web 認證提供者進行登入。
  • 2 - 已停用。 不會啟用 Web 認證提供者進行登入。

Authentication/PreferredAadTenantDomainName

版本 Windows 10 Windows 11
Home
專業版
Windows SE
商務
企業
教育版

範圍

  • 裝置

指定 Azure AD 租使用者中可用網域之間的慣用網域。

範例:如果您的組織使用 「@contoso.com」 租使用者功能變數名稱,則原則值應該是 「contoso.com」。 針對使用者 「abby@constoso.com」,登入會在使用者名稱欄位中使用 「abby」 來完成,而不是使用 「abby@contoso.com」。

值類型為字串。