原則 CSP - DeviceLock
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
重要
DeviceLock CSP 會利用 Exchange ActiveSync 原則引擎。 套用密碼長度和複雜度規則時,所有本機使用者和系統管理員帳戶都會標示為在下次登入時變更其密碼,以確保符合複雜性需求。 如需詳細資訊,請參閱 帳戶類型支持的密碼長度和複雜度。
AccountLockoutPolicy
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy
帳戶鎖定閾值 - 此安全性設定會決定導致使用者帳戶鎖定的失敗登入嘗試次數。在系統管理員重設鎖定帳戶之前,或直到帳戶的鎖定持續時間過期之前,才能使用鎖定的帳戶。 您可以設定 0 到 999 次登入嘗試失敗的值。 如果您將值設定為 0,帳戶將永遠不會被鎖定。使用 CTRL+ALT+DELETE 或受密碼保護的螢幕儲存器,針對已鎖定的工作站或成員伺服器嘗試失敗的密碼,會視為失敗的登入嘗試。 預設值:0 帳戶鎖定持續時間 - 此安全性設定會決定鎖定的帳戶在自動解除鎖定之前保持鎖定的分鐘數。 可用的範圍是從 0 分鐘到 99,999 分鐘。 如果您將帳戶鎖定持續時間設定為0,帳戶將會被鎖定,直到系統管理員明確解除鎖定為止。 如果已定義帳戶鎖定閾值,帳戶鎖定持續時間必須大於或等於重設時間。 默認值:無,因為此原則設定只有在指定帳戶鎖定閾值時才有意義。 在 之後重設帳戶鎖定計數器 - 此安全性設定會決定在登入嘗試失敗之後必須經過的分鐘數,然後才將失敗的登入嘗試計數器重設為0次不正確的登入嘗試。 可用的範圍為 1 分鐘到 99,999 分鐘。 如果已定義帳戶鎖定閾值,此重設時間必須小於或等於帳戶鎖定持續時間。 默認值:無,因為此原則設定只有在指定帳戶鎖定閾值時才有意義。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
AllowAdministratorLockout
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout
允許系統管理員帳戶鎖定 此安全性設定會判斷內建的系統管理員帳戶是否受限於帳戶鎖定原則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-1] |
| 預設值 | 1 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 允許系統管理員帳戶鎖定 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>帳戶鎖定原則 |
AllowIdleReturnWithoutPassword
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
❌ 專業版 ❌ 企業版 ❌ 教育版 ❌ Windows SE ❌ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword
指定當裝置從閑置狀態繼續時,使用者是否必須輸入 PIN 或密碼。
注意
目前,只有 HoloLens 2、HoloLens (1 代) Commercial Suite 和 HoloLens (第 1 代) Development Edition 才支援此原則。
注意
此原則必須包裝在 Atomic 命令中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
AllowScreenTimeoutWhileLockedUserConfig
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
指定是否要顯示用戶可設定的設定,以控制 Windows 10 行動裝置版 裝置鎖定畫面上的螢幕逾時。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 1 | 允許。 |
| 0 (預設值) | 封鎖: |
AllowSimpleDevicePassword
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword
指定是否允許 PIN 或密碼,例如 1111 或 1234。 針對電腦版本,它也可以控制圖片密碼的使用。
如需此原則的詳細資訊,請參閱 Exchange ActiveSync 原則引擎概觀]。
注意
此原則必須包裝在 Atomic 命令中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不允許。 |
| 1 (預設) | 已允許。 |
AlphanumericDevicePasswordRequired
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
決定所需的 PIN 或密碼類型。 只有在 DeviceLock/DevicePasswordEnabled 原則設定為 0 時,才適用此原則。
注意
如果 AlphanumericDevicePasswordRequired 設定為 1 或 2,則 MinDevicePasswordLength = 0 和 MinDevicePasswordComplexCharacters = 1。 如果 AlphanumericDevicePasswordRequired 設定為 0,則 MinDevicePasswordLength = 4 和 MinDevicePasswordComplexCharacters = 2。
注意
此原則必須包裝在 Atomic 命令中。 在 Windows 傳統型版本中,請一律使用 Replace 命令,而不是 [新增], (家用版、專業版、企業版和教育版) 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 2 |
| 相依性 [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 需要密碼或英數位元 PIN。 |
| 1 | 需要密碼或數值 PIN。 |
| 2 (預設) | 需要密碼、數位 PIN 或英數位元 PIN。 |
ClearTextPassword
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword
使用可還原加密儲存密碼 此安全性設定會決定作業系統是否使用可還原的加密來儲存密碼。 此原則提供應用程式的支持,這些應用程式會使用需要瞭解使用者密碼以進行驗證的通訊協定。 使用可還原加密儲存密碼基本上與儲存純文字版本的密碼相同。 基於這個理由,除非應用程式需求超過保護密碼資訊的需求,否則絕對不應該啟用此原則。 透過遠端訪問或因特網驗證服務 (IAS) ,使用 Challenge-Handshake 驗證通訊協定 (CHAP) 驗證時,需要此原則。 在 Internet Information Services (IIS) 中使用摘要式驗證時,也需要它。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-1] |
| 預設值 | 0 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 使用可還原的加密來存放密碼 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
DevicePasswordEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
指定是否啟用裝置鎖定。
注意
此原則必須包裝在 Atomic 命令中。 請一律使用 Replace 命令,而不是在 Windows 傳統型版本中新增此原則。
重要
DevicePasswordEnabled 設定必須設定為 0, (啟用裝置密碼) ,下列原則設定才會生效:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
如果 DevicePasswordEnabled 設定為 0, (啟用裝置密碼) ,則會設定下列原則:
- MinDevicePasswordLength 設定為 4
- MinDevicePasswordComplexCharacters 設定為 1
如果 DevicePasswordEnabled 設定為 1, () 停用裝置密碼,則下列 DeviceLock 原則會設定為 0:
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
當使用 WMI 來設定 EAS DeviceLock 原則時,DevicePasswordEnabled 不應設定為 [已啟用 (0) ,因為原則 CSP 中預設會啟用此原則,以與 Windows 8.x 回溯兼容。 如果 DevicePasswordEnabled 設定為 [已啟用 (0) 則原則 CSP 會傳回錯誤,指出 DevicePasswordEnabled 已存在。 Windows 8.x 不支援DevicePassword原則。 停用 DevicePasswordEnabled (1) 時,它應該是下列原則的 DeviceLock 群組中唯一設定的原則:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
注意
不支援透過 MDMWinsOverGP 使用 DevicePasswordExpiration。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 啟用。 |
| 1 (預設) | 已停用。 |
DevicePasswordExpiration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration
指定密碼在) 天數 (到期的時間。
如果所有原則值 = 0,則為 0;否則,最小原則值是最安全的值。
如需此原則的詳細資訊,請參閱 Exchange ActiveSync 原則引擎概觀]。
注意
此原則必須包裝在 Atomic 命令中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-730] |
| 預設值 | 0 |
| 相依性 [DeviceLock_DevicePasswordExpiration_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
DevicePasswordHistory
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory
指定無法在歷程記錄中儲存的密碼數目。
此值包含使用者目前的密碼。 此值表示當設定為 1 時,使用者在選擇新密碼時無法重複使用其目前的密碼,而設定為 5 則表示使用者無法將其新密碼設定為其目前密碼或其前四個密碼中的任何密碼。
最大原則值是最受限制的值。
如需此原則的詳細資訊,請參閱 Exchange ActiveSync 原則引擎概觀]。
注意
此原則必須包裝在 Atomic 命令中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-50] |
| 預設值 | 0 |
| 相依性 [DeviceLock_DevicePasswordHistory_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
EnforceLockScreenAndLogonImage
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
指定沒有使用者登入時所顯示的預設鎖定畫面和登入影像。 它也會為所有使用者設定指定的影像,以取代預設影像。 相同的影像同時用於鎖定和登入畫面。 使用者將無法變更此映像。 實值類型是字串,也就是完整的圖像檔路徑和檔名。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
EnforceLockScreenProvider
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
MaxDevicePasswordFailedAttempts
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts
抹除裝置之前允許的驗證失敗數目。 值為 0 會停用裝置抹除功能。
注意
此原則必須包裝在 Atomic 命令中。 此原則在行動裝置和桌面上有不同的行為。 在行動裝置上,當用戶達到此原則所設定的值時,就會抹除裝置。 在桌面上,當用戶達到此原則所設定的值時,不會抹除它。 相反地,桌面會處於 BitLocker 恢復模式,讓數據無法存取但可復原。 如果未啟用 BitLocker,則無法強制執行原則。 在達到失敗的嘗試限制之前,用戶會傳送至鎖定畫面,並警告更多失敗的嘗試將會鎖定其計算機。 當用戶達到限制時,裝置會自動重新啟動並顯示 BitLocker 復原頁面。 此頁面會提示使用者輸入 BitLocker 修復金鑰。 如果所有原則值 = 0,則最安全的值為 0;否則,最小原則值是最安全的值。 如需此原則的其他資訊,請參閱 Exchange ActiveSync 原則引擎概觀]。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-999] |
| 預設值 | 0 |
| 相依性 [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
MaximumPasswordAge
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge
此安全性設定會決定在系統要求使用者變更密碼之前,可以使用密碼) 天 (一段時間。 您可以將密碼設定為在 1 到 999 之間的天數之後過期,或者您可以將天數設定為 0 來指定密碼永遠不會過期。 如果密碼存留期上限介於 1 到 999 天之間,則密碼最小存留期必須小於密碼存留期上限。 如果密碼存留期上限設為0,則密碼最小存留期可以是介於0到998天之間的任何值。
注意
安全性最佳做法是根據您的環境,每 30 到 90 天讓密碼過期一次。 如此一來,攻擊者有有限的時間可以破解用戶的密碼,並可存取您的網路資源。 默認值:42。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-999] |
| 預設值 | 42 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 密碼最長使用期限 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
MaxInactivityTimeDeviceLock
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
指定在裝置閑置之後,) 允許的分鐘 (時間上限,這會導致裝置變成 PIN 或密碼鎖定。 使用者可以在 [設定] 應用程式中選取任何小於指定最大時間的現有逾時值。
在 HoloLens 上,此逾時是由裝置的系統睡眠逾時所控制,不論此原則所設定的值為何。
注意
此原則必須包裝在 Atomic 命令中。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-999] |
| 預設值 | 0 |
| 相依性 [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
MaxInactivityTimeDeviceLockWithExternalDisplay
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
❌ 專業版 ❌ 企業版 ❌ 教育版 ❌ Windows SE ❌ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay
設定外部顯示器的最大逾時值。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-999] |
| 預設值 | 0 |
MinDevicePasswordComplexCharacters
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters
強式 PIN 或密碼所需的複數項目類型 (大寫和小寫字母、數位和標點符號) 。
下列清單顯示支援的值和實際的強制值:
| 帳戶類型 | 支援的值 | 實際強制值 |
|---|---|---|
| 本機帳戶 | 1,2,3 | 3 |
| Microsoft 帳戶 | 1,2 | <p2 |
| 網域帳戶 | 不支援 | 不支援 |
本機和Microsoft帳戶的強制值:
- 本機帳戶支援 1、2 和 3 的值,但一律會強制執行值 3。
- 本機帳戶的密碼必須符合下列最低需求:
- 不包含使用者的帳戶名稱或使用者完整名稱中超過兩個連續字元的部分
- 長度至少為六個字元
- 包含下列四個類別中三個類別的字元:
- 從 A 到 Z) (英文大寫字元
- 英文小寫字元 (到 z)
- 基底 10 位數 (0 到 9)
- 特殊字元 (!、$、#、% 等 )
伺服器上會強制執行Microsoft帳戶的原則,而伺服器需要密碼長度為8且複雜度為2。 不支援複雜度值 3 或 4,而且在伺服器上設定此值會使Microsoft帳戶不符合規範。
如需此原則的詳細資訊,請參閱 Exchange ActiveSync 原則引擎概觀和 KB 一文。
注意
此原則必須包裝在 Atomic 命令中。 請一律使用 Replace 命令,而不是在 Windows 傳統型版本中新增此原則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] | 相依性類型: DependsOn DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired 相依性允許的值: [0] [0] 相依性允許的值類型: Range Range |
允許的值:
| 值 | 描述 |
|---|---|
| 1 (預設) | 僅限數位。 |
| 2 | 需要數位和小寫字母。 |
| 3 | 需要小寫字母和大寫字母。 桌面Microsoft帳戶和網域帳戶不支援。 |
| 4 | 需要小寫字母大寫字母和特殊字元。 桌面電腦不支援。 |
MinDevicePasswordLength
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1507 [10.0.10240] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
指定 PIN 或密碼中所需的最小數目或字元。
最大原則值是最受限制的值。
如需此原則的詳細資訊,請參閱 Exchange ActiveSync 原則引擎概觀和 KB 一文。
注意
此原則必須包裝在 Atomic 命令中。 請一律使用 Replace 命令,而不是在 Windows 傳統型版本中新增此原則。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [4-16] |
| 預設值 | 4 |
| 相依性 [DeviceLock_MinDevicePasswordLength_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 相依性允許的值: [0] 相依性允許的值類型: Range |
範例:
下列範例示範如何將密碼長度下限設定為 4 個字元。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
MinimumPasswordAge
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge
此安全性設定會決定) 用戶變更密碼之前,必須使用密碼的天數 (一段時間。 您可以設定介於 1 到 998 天的值,也可以將天數設定為 0,以立即允許變更。 除非密碼存留期上限設為0,否則密碼最小使用期限必須小於密碼存留期上限,表示密碼永遠不會過期。 如果密碼存留期上限設定為0,則密碼最小存留期可以設定為介於0到998之間的任何值。 如果您想要讓 [強制執行密碼歷程記錄] 生效,請將密碼最小存留期設定為超過 0。 如果沒有最短的密碼存留期,用戶可以重複迴圈使用密碼,直到到達舊的我的最愛為止。 默認設定不會遵循此建議,因此系統管理員可以指定使用者的密碼,然後要求使用者在使用者登入時變更系統管理員定義的密碼。 如果密碼歷程記錄設定為0,使用者就不需要選擇新的密碼。 因此,[強制密碼歷程記錄] 預設為1。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-998] |
| 預設值 | 1 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 密碼最短使用期限 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
MinimumPasswordLength
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength
此安全性設定會決定用戶帳戶密碼可能包含的字元數目下限。 此設定的最大值取決於 [放寬密碼長度限制] 設定的值。 如果未定義 [放寬密碼長度限制] 設定,此設定可能會從0設定為14。 如果已定義並停用 [放寬密碼長度限制] 設定,此設定可能會從0設定為14。 如果已定義並啟用 [放寬密碼長度限制] 設定,此設定可能會從0設定為128。 將所需的字元數設為 0 表示不需要密碼。
注意
根據預設,成員計算機會遵循其域控制器的設定。 預設值:獨立伺服器上域控制器 0 上的 7 個設定大於 14 可能會影響與客戶端、服務和應用程式的相容性。 建議您只在使用 [密碼長度下限] 稽核設定來測試新設定中的潛在不相容性之後,才將此設定設定為大於 14。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-128] |
| 預設值 | 0 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 密碼長度下限 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
MinimumPasswordLengthAudit
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit
此安全性設定會決定發出密碼長度稽核警告事件的最小密碼長度。 此設定可從 1 到 128 進行設定。 當您嘗試判斷增加環境中密碼長度下限設定的潛在效果時,您應該只啟用並設定此設定。 如果未定義此設定,則不會發出稽核事件。 如果此設定已定義且小於或等於密碼長度下限設定,則不會發出稽核事件。 如果此設定已定義且大於密碼長度下限設定,而且新帳戶密碼的長度小於此設定,則會發出稽核事件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [1-128] |
| 預設值 | 4294967295 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 密碼長度下限稽核 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
PasswordComplexity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity
密碼必須符合複雜性需求。 此安全性設定會判斷密碼是否必須符合複雜性需求。 如果啟用此原則,密碼必須符合下列最低需求:
- 不包含使用者的帳戶名稱或使用者完整名稱中超過兩個連續字元的部分
- 長度至少為六個字元
- 包含下列四個類別中三個類別的字元:
- 從 A 到 Z) (英文大寫字元
- 英文小寫字元 (到 z)
- 基底 10 位數 (0 到 9)
- 非字母字元 (例如!、$、#、%)
變更或建立密碼時,會強制執行複雜性需求。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-1] |
| 預設值 | 1 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 密碼必須符合複雜性需求 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
PasswordHistorySize
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize
強制執行密碼歷程記錄 此安全性設定會決定必須與使用者帳戶相關聯的唯一新密碼數目,才能重複使用舊密碼。 值必須介於 0 到 24 個密碼之間。 此原則可讓系統管理員確保不會持續重複使用舊密碼,藉此增強安全性。 預設值:域控制器上為24。 獨立伺服器上的 0。
注意
根據預設,成員計算機會遵循其域控制器的設定。 若要維持密碼歷程記錄的有效性,也請同時啟用 [密碼存留期下限] 安全策略設定,讓密碼在剛變更之後立即變更。 如需密碼存留期下限安全策略設定的詳細資訊,請參閱密碼最短存留期。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [0-24] |
| 預設值 | 24 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 強制密碼歷程記錄 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
PreventEnablingLockScreenCamera
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera
停用計算機設定中的鎖定螢幕相機切換開關,並防止在鎖定畫面上叫用相機。
根據預設,用戶可以在鎖定畫面上啟用可用相機的叫用。
如果啟用此設定,使用者將無法再啟用或停用計算機設定中的鎖定螢幕相機存取,且無法在鎖定畫面上叫用相機。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | CPL_Personalization_NoLockScreenCamera |
| 易記名稱 | 防止啟用鎖定螢幕相機 |
| 位置 | [電腦設定] |
| 路徑 | >控制台 個人化 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\Personalization |
| 登錄值名稱 | NoLockScreenCamera |
| ADMX 檔案名稱 | ControlPanelDisplay.admx |
PreventLockScreenSlideShow
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
停用電腦設定中的鎖定畫面幻燈片放映設定,並防止在鎖定畫面上播放幻燈片放映。
根據預設,用戶可以啟用在鎖定計算機之後執行的幻燈片放映。
如果啟用此設定,使用者將無法再修改計算機設定中的幻燈片放映設定,也無法開始任何幻燈片放映。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | CPL_Personalization_NoLockScreenSlideshow |
| 易記名稱 | 防止啟用鎖定畫面投影片放映 |
| 位置 | [電腦設定] |
| 路徑 | >控制台 個人化 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\Personalization |
| 登錄值名稱 | NoLockScreenSlideshow |
| ADMX 檔案名稱 | ControlPanelDisplay.admx |
RelaxMinimumPasswordLengthLimits
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits
此設定可控制是否可以將密碼長度下限設定增加到超過14的舊版限制。 如果未定義此設定,則密碼長度下限可能會設定為不超過 14。 如果定義並停用此設定,則密碼長度下限可能會設定為不超過 14。 如果已定義並啟用此設定,則密碼長度下限可能會超過14。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 放寬密碼長度下限 |
| 路徑 | Windows 設定安全性>設定帳戶原則>>密碼原則 |
ScreenTimeoutWhileLocked
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1607 [10.0.14393] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked
指定是否要在 Windows 10 行動裝置版 裝置的鎖定畫面上顯示用戶可設定的設定,以控制螢幕逾時。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 範圍: [10-1800] |
| 預設值 | 10 |