原則 CSP - WindowsLogon
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
AllowAutomaticRestartSignOn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn
此原則設定可控制裝置是否會在系統重新啟動或關機和冷開機之後自動登入並鎖定最後一個互動式使用者。
只有在最後一個互動式使用者未在重新啟動或關機之前註銷時,才會發生這種情況。
如果裝置已加入 Active Directory 或 Microsoft Entra ID,則此原則僅適用於重新啟動 Windows Update。 否則,這會同時套用至 Windows Update 重新啟動和使用者起始的重新啟動和關機。
- 如果您未設定此原則設定,預設會啟用此原則設定。 當原則啟用時,用戶會自動登入,且會話會在裝置開機後,使用為該使用者設定的所有鎖定畫面應用程式自動鎖定。
啟用此原則之後,您可以透過 ConfigAutomaticRestartSignOn 原則來設定其設定,該原則會設定在重新啟動或冷開機之後自動登入並鎖定最後一個互動式使用者的模式。
- 如果您停用此原則設定,裝置就不會設定自動登入。 用戶的鎖定畫面應用程式不會在系統重新啟動之後重新啟動。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | AutomaticRestartSignOn |
| 易記名稱 | 重新啟動後自動登入並鎖定最後一個互動式使用者 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > Windows 登入選項 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 登錄值名稱 | DisableAutomaticRestartSignOn |
| ADMX 檔案名稱 | WinLogon.admx |
ConfigAutomaticRestartSignOn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/ConfigAutomaticRestartSignOn
此原則設定可控制在重新啟動或冷開機之後自動重新啟動和登入和鎖定的設定。 如果您在 [重新啟動后自動登入並鎖定最後一個互動式使用者] 原則中選擇 [已停用],則不會發生自動登入,而且不需要設定此原則。
- 如果啟用此原則設定,您可以選擇下列兩個選項之一:
- 「如果 BitLocker 為開啟且未暫停,則為啟用」指定只有在 BitLocker 為作用中且未在重新啟動或關機期間暫停時,才會自動登入和鎖定。 如果 BitLocker 未在更新期間開啟或暫停,此時可以在裝置的硬碟上存取個人資料。 BitLocker 暫停會暫時移除系統元件和數據的保護,但在某些情況下可能需要它才能成功更新開機關鍵元件。
如果下列狀況,BitLocker 會在更新期間暫停:
- 裝置沒有 TPM 2.0 和 PCR7,或
- 裝置不會使用僅限 TPM 的保護裝置。
- 「一律啟用」指定即使 BitLocker 在重新啟動或關機期間關閉或暫停,也會自動登入。 未啟用 BitLocker 時,個人資料可在硬碟上存取。 只有在您確信已設定的裝置位於安全的實體位置時,才應該在此情況下執行自動重新啟動和登入。
- 如果您停用或未設定此設定,自動登入會預設為「如果 BitLocker 已開啟且未暫停,則為已啟用」行為。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ConfigAutomaticRestartSignOn |
| 易記名稱 | 設定在重新啟動或冷開機後自動登入和鎖定最後一個互動式使用者的模式 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > Windows 登入選項 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| ADMX 檔案名稱 | WinLogon.admx |
DisableLockScreenAppNotifications
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DisableLockScreenAppNotifications
此原則設定可讓您防止應用程式通知出現在鎖定畫面上。
如果啟用此原則設定,鎖定畫面上就不會顯示任何應用程式通知。
如果您停用或未設定此原則設定,用戶可以選擇哪些應用程式會在鎖定畫面上顯示通知。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DisableLockScreenAppNotifications |
| 易記名稱 | 關閉鎖定畫面上的 App 通知 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 登入 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\System |
| 登錄值名稱 | DisableLockScreenAppNotifications |
| ADMX 檔案名稱 | Logon.admx |
DontDisplayNetworkSelectionUI
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI
此原則設定可讓您控制是否有任何人可以在登入畫面上與可用的網路UI互動。
如果您啟用此原則設定,計算機的網路連線狀態就無法在登入 Windows 的情況下變更。
如果您停用或未設定此原則設定,任何使用者都可以中斷計算機與網路的連線,或是將計算機連線到其他可用的網路,而不需要登入 Windows。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DontDisplayNetworkSelectionUI |
| 易記名稱 | 不要顯示網路選取範圍 UI |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 登入 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\System |
| 登錄值名稱 | DontDisplayNetworkSelectionUI |
| ADMX 檔案名稱 | Logon.admx |
範例:
以下是啟用此原則的範例:
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Atomic>
<CmdID>300</CmdID>
<Replace>
<CmdID>301</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><![CDATA[<enabled/>]]></Data>
</Item>
</Replace>
</Atomic>
<Final/>
</SyncBody>
</SyncML>
EnableFirstLogonAnimation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1903 [10.0.18362] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation
此原則設定可讓您控制使用者是否在第一次登入計算機時看到第一個登入動畫。 這適用於完成初始設定之電腦的第一個使用者,以及稍後新增至計算機的使用者。 它也會控制Microsoft帳戶使用者是否會在第一次登入期間收到服務的加入提示。
如果您啟用此原則設定,Microsoft帳戶使用者會看到選擇加入服務提示,而具有其他帳戶的使用者會看到登入動畫。
如果停用此原則設定,使用者將不會看到動畫,Microsoft帳戶使用者將不會看到服務的加入提示。
如果您未設定此原則設定,完成初始 Windows 設定的使用者會在第一次登入時看到動畫。 如果第一個使用者已完成初始設定,而且未設定此原則設定,則這部計算機的新使用者將不會看到動畫。
注意
第一個登入動畫不會顯示在伺服器上,因此此原則不會有任何作用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 停用。 |
| 1 (預設) | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | EnableFirstLogonAnimation |
| 易記名稱 | 顯示首次登入動畫 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 登入 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 登錄值名稱 | EnableFirstLogonAnimation |
| ADMX 檔案名稱 | Logon.admx |
EnableMPRNotifications
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableMPRNotifications
此原則會控制用戶的密碼是否包含在系統中 winlogon 所傳送的 MPR 通知內容中。
如果您停用或未設定此設定,winlogon 會傳送具有使用者驗證資訊空白密碼欄位的 MPR 通知。
如果啟用此設定,winlogon 會在驗證資訊中傳送包含用戶密碼的 MPR 通知。
注意
從 Windows 測試人員組建 25216 開始,EnableMPRNotifications 原則的行為已變更,群組原則 已使用下列文字更新:
- 易記名稱:在 winlogon 傳送的 MPR 通知內容中設定使用者密碼的傳輸
-
描述:此原則可控制用戶的密碼是否包含在系統中 winlogon 所傳送 MPR 通知的內容中。
- 如果您停用或未設定此設定,winlogon 會以使用者驗證資訊的空白密碼欄位傳送 MPR 通知。
- 如果啟用此設定,winlogon 會在驗證資訊中傳送包含用戶密碼的 MPR 通知。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | EnableMPRNotifications |
| 易記名稱 | 在 winlogon 傳送的 MPR 通知內容中設定用戶密碼的傳輸。 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > Windows 登入選項 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 登錄值名稱 | EnableMPR |
| ADMX 檔案名稱 | WinLogon.admx |
EnumerateLocalUsersOnDomainJoinedComputers
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers
此原則設定可讓本機用戶列舉在已加入網域的計算機上。
如果啟用此原則設定,登入UI會列舉已加入網域電腦上的所有本機使用者。
如果您停用或未設定此原則設定,登入UI將不會列舉已加入網域電腦上的本機使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | EnumerateLocalUsers |
| 易記名稱 | 列舉已加入網域電腦上的本機使用者 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 登入 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\System |
| 登錄值名稱 | EnumerateLocalUsers |
| ADMX 檔案名稱 | Logon.admx |
HideFastUserSwitching
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/HideFastUserSwitching
此原則設定可讓您隱藏登入 UI、[開始] 選單和 [任務管理器] 中的 [切換使用者] 介面。
- 如果啟用此原則設定,則嘗試登入或登入已套用此原則之計算機的用戶會隱藏 [切換使用者] 介面。
[切換使用者介面] 出現的位置位於 [登入 UI]、[開始] 功能表和 [任務管理器] 中。
- 如果停用或未設定此原則設定,則三個位置中的使用者可以存取切換使用者介面。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用 (可見) 。 |
| 1 | 啟用 (隱藏) 。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | HideFastUserSwitching |
| 易記名稱 | 隱藏快速切換使用者的進入點 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 登入 |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 登錄值名稱 | HideFastUserSwitching |
| ADMX 檔案名稱 | Logon.admx |
OverrideShellProgram
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621.2338] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/OverrideShellProgram
OverrideShellProgram 原則可讓 IT 系統管理員在裝置上設定 Windows OS 的殼層程式。 此原則的優先順序高於其他設定殼層程式的方式。 原則目前支援下列選項:1。 未設定:將會啟動預設殼層。 2. 套用輕量型殼層:輕量型殼層沒有使用者介面,可協助裝置達到較佳的效能,因為殼層會耗用比默認殼層有限的資源。 輕量型殼層包含一組有限的功能,可供應用程式使用。 如果裝置需要有持續執行的使用者介面應用程式,以取用輕量型殼層所提供的功能,此設定就很有用。 如果您停用或未設定此原則設定,則會啟動默認殼層。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 未設定。 |
| 1 | 套用輕量型殼層。 |