原則 CSP - 驗證
AllowAadPasswordReset
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
指定是否啟用 Microsoft Entra 帳戶的密碼重設。
此原則可讓 Microsoft Entra 租用戶系統管理員在 Windows 登入畫面上啟用自助式密碼重設功能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不允許。 |
| 1 | 已允許。 |
AllowEAPCertSSO
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
❌ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1507 [10.0.10240] 和更新版本 |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
允許單一登錄的 EAP 憑證型驗證 (SSO) 存取內部資源。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不允許。 |
| 1 | 已允許。 |
AllowFastReconnect
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
允許針對 EAP 方法 TLS 嘗試 EAP 快速重新連線 (EAP Fast Reconnect)。 限制程度最高的值為 0。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
AllowSecondaryAuthenticationDevice
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
此原則可讓使用者使用手機、健身帶或IoT裝置等隨附裝置來登入執行 Windows 10 的傳統型電腦。 隨附裝置提供第二個使用 Windows Hello 進行驗證的因素。
如果您啟用或未設定此原則設定,使用者可以使用隨附裝置向 Windows Hello 進行驗證。
如果您停用此原則,使用者就無法使用隨附裝置向 Windows Hello 進行驗證。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 不允許。 |
| 1 | 已允許。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| 易記名稱 | 允許隨附裝置進行次要驗證 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > Microsoft次要驗證因素 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| 登錄值名稱 | AllowSecondaryAuthenticationDevice |
| ADMX 檔案名稱 | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
指定允許在 Web 登入型驗證案例中存取網路攝影機的網域清單。
注意
只有Microsoft加入 Entra 的計算機才支援 Web 登入。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: ;) |
範例:
您的組織會同盟至 「Contoso IDP」,而您的 Web 登入入口網站需要 signinportal.contoso.com 網路攝影機存取。 然後,此原則的值應該是:
contoso.com
ConfigureWebSignInAllowedUrls
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1803,KB5001339 [10.0.17134.2145] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
指定可在 Web 登入型驗證案例中流覽的 URL 清單。
此原則會指定使用者可在特定驗證案例中存取的網域清單。 例如:
- Microsoft編碼標識碼 PIN 重設
- Web 登入 Windows 裝置案例,其中驗證是由 Active Directory 同盟服務 (AD FS) 或第三方同盟識別提供者處理
注意
同盟環境中需要此原則,以緩解 CVE-2021-27092 中所述的弱點。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: ;) |
範例:
您組織的 PIN 重設或 Web 登入驗證流程預期會瀏覽至下列兩個網域:和 signin.contoso.com。 accounts.contoso.com 然後,此原則的值應該是:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
指定新的非系統管理員Microsoft Entra 帳戶是否應該自動連線到預先建立的候選本機帳戶。
此原則適用於共享計算機,以啟用使用者的快速首次登入體驗。 其運作方式是自動將新的非系統管理員Microsoft Entra 帳戶連線到預先設定的候選本機帳戶。
重要
預先設定的候選本機帳戶是在裝置上預先設定或新增的任何本機帳戶。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 此功能預設為現有的 SKU 和裝置功能。 |
| 1 | 啟用。 自動將新的非系統管理員Microsoft Entra 帳戶連線到預先設定的候選本機帳戶。 |
| 2 | 已停用。 請勿自動將新的非系統管理員Microsoft Entra 帳戶連線到預先設定的本機帳戶。 |
EnablePasswordlessExperience
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 11 版本 23H2 與 KB5031455 [10.0.22631.2506] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
指定已加入 Microsoft 裝置上的已連線使用者是否在 Windows 上獲得無密碼體驗。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 此功能預設為現有的版本和裝置功能。 |
| 1 | 啟用。 Windows 上將會啟用無密碼體驗。 |
| 2 | 已停用。 Windows 上將不會啟用無密碼體驗。 |
EnableWebSignIn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
指定是否允許 Web 型登入登入 Windows。
Web 登入是認證提供者,可在 Windows 裝置上啟用 Web 型登入體驗。 一開始是在 Windows 10 中引進,且僅支持臨時存取階段 (TAP) ,從 Windows 11 版本 22H2 開始,Web 登入已擴充其功能,KB5030310。 如需詳細資訊,請參閱 Windows 的 Web 登入。
注意
只有Microsoft加入 Entra 的計算機才支援 Web 登入。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 此功能預設為現有的 SKU 和裝置功能。 |
| 1 | 啟用。 將會啟用 Web 登入以登入 Windows。 |
| 2 | 已停用。 將不會啟用 Web 登入以登入 Windows。 |
PreferredAadTenantDomainName
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
指定 Microsoft Entra 租使用者中可用網域之間的慣用網域。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
範例:
您的組織會使用 @contoso.com 租用戶功能變數名稱。 然後,此原則的值應該是:
contoso.com
針對使用者 abby@constoso.com,登入是在username欄位中使用 abby 來完成,而不是 abby@contoso.com使用 。