PassportForWork-Konfigurationsdienstanbieter
Wichtig
Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.
Der PassportForWork-Konfigurationsdienstanbieter wird verwendet, um Windows Hello for Business (früher Microsoft Passport for Work) bereitzustellen. Damit können Sie sich mit Ihrem Active Directory- oder Microsoft Entra-Konto bei Windows anmelden und Kennwörter, Smartcards und virtuelle Smartcards ersetzen.
Wichtig
Ab Windows 10, Version 1607, verfügen alle Geräte nur über eine PIN, die Windows Hello for Business zugeordnet ist. Somit unterliegen alle PINs eines Geräts den Richtlinien, die im PassportForWork CSP angegeben wurden. Die angegebenen Werte haben Vorrang vor allen Komplexitätsregeln, die über Exchange ActiveSync (EAS) oder DeviceLock CSP festgelegt wurden.
Die folgende Liste enthält die PassportForWork-Konfigurationsdienstanbieterknoten:
- ./Device/Vendor/MSFT/PassportForWork
- {TenantId}
- Biometrie
- DeviceUnlock
- DynamicLock
- SecurityKey
- UseBiometrics
- ./User/Vendor/MSFT/PassportForWork
Device/{TenantId}
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Diese Richtlinie gibt die Mandanten-ID im Format einer GUID (Globally Unique Identifier) ohne geschweifte Klammern { }an, die als Teil der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird.
Verwenden Sie zum Abrufen der GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter Abrufen der Windows Azure Active Directory-Mandanten-ID in Windows PowerShell.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
| Dynamische Knotenbenennung | UniqueName: Eine GUID (Globally Unique Identifier) ohne geschweifte Klammern ( { , } ), die als Teil der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird. Verwenden Sie zum Abrufen einer GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell. |
Device/{TenantId}/Policies
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies
Stammknoten für Richtlinien.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
Device/{TenantId}/Policies/DisablePostLogonProvisioning
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.2402] und höher ✅ Windows 10, Version 2004 [10.0.19041.4239] und höher ✅ Windows 11, Version 21H2 mit KB5036894 [10.0.22000.2899] und höher ✅ Windows 11, Version 22H2 mit KB5035942 [10.0.22621.3374] und höher ✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning
Starten Sie die Windows Hello-Bereitstellung nach der Anmeldung nicht.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Bereitstellung aktiviert. |
| true | Bereitstellung deaktiviert. |
Device/{TenantId}/Policies/EnablePinRecovery
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
Wenn der Benutzer seine PIN vergisst, kann sie mithilfe des Windows Hello for Business-PIN-Wiederherstellungsdiensts in eine neue PIN geändert werden. Dieser Clouddienst verschlüsselt ein Wiederherstellungsgeheimnis, das lokal auf dem Client gespeichert ist, aber nur vom Clouddienst entschlüsselt werden kann.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird das PIN-Wiederherstellungsgeheimnis auf dem Gerät gespeichert, und der Benutzer kann zu einer neuen PIN wechseln, falls seine PIN vergessen wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das PIN-Wiederherstellungsgeheimnis nicht erstellt oder gespeichert. Wenn die PIN des Benutzers vergessen wird, besteht die einzige Möglichkeit zum Abrufen einer neuen PIN darin, die vorhandene PIN zu löschen und eine neue pin zu erstellen. Dadurch muss sich der Benutzer bei allen Diensten, auf die die alte PIN Zugriff gewährt hat, erneut registrieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys
Aktivieren Sie die Windows Hello-Bereitstellung, wenn sich Benutzer mit FIDO2-Sicherheitsschlüsseln bei ihren Geräten anmelden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/ExcludeSecurityDevices
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices
Stammknoten für ausgeschlossene Sicherheitsgeräte.
Hinweis
Nicht unterstützt unter Windows Holographic und Windows Holographic for Business.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Einige Trusted Platform Modules (TPMs) sind nur mit der älteren Revision 1.2 der TPM-Spezifikation kompatibel, die von der Trusted Computing Group (TCG) definiert wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, dürfen TPM-Revision 1.2-Module nicht mit Windows Hello for Business verwendet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, dürfen TPM-Revision 1.2-Module mit Windows Hello for Business verwendet werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/PINComplexity
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
Stammknoten für PIN-Richtlinien.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
Device/{TenantId}/Policies/PINComplexity/Digits
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Ziffern in der Windows Hello for Business-PIN zu konfigurieren.
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens eine Ziffer in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erfordert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Ziffern in der PIN. |
| 1 | Erfordert die Verwendung von mindestens einer Ziffer in der PIN. |
| 2 | Die Verwendung von Ziffern in der PIN ist nicht zulässig. |
Device/{TenantId}/Policies/PINComplexity/Expiration
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
Diese Richtlinie gibt an, wann die PIN abläuft (in Tagen). Gültige Werte sind 0 bis einschließlich 730. Wenn diese Richtlinie auf 0 festgelegt ist, laufen PINs nicht ab.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-730] |
| Standardwert | 0 |
Device/{TenantId}/Policies/PINComplexity/History
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
Diese Richtlinie gibt die Anzahl der vergangenen PINs an, die im Verlauf gespeichert werden können, die nicht verwendet werden können. Gültige Werte sind 0 bis einschließlich 50. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung vorheriger PINs erforderlich. Der PIN-Verlauf wird durch die PIN-Zurücksetzung nicht beibehalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-50] |
| Standardwert | 0 |
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Kleinbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens einen Kleinbuchstaben in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Kleinbuchstaben in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Kleinbuchstaben in ihrer PIN zu verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Kleinbuchstaben in PIN. |
| 1 | Erfordert die Verwendung von mindestens einem Kleinbuchstaben in der PIN. |
| 2 | Die Verwendung von Kleinbuchstaben in PIN ist nicht zulässig. |
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
Die maximale PIN-Länge konfiguriert die maximale Anzahl von Zeichen, die für die PIN zulässig sind. Die größte Anzahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 127. Die niedrigste Zahl, die Sie konfigurieren können, muss größer sein als die Zahl, die in der Richtlinieneinstellung Minimale PIN-Länge oder die Zahl 4 konfiguriert ist, je nachdem, welcher Wert größer ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge kleiner oder gleich dieser Zahl sein.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge kleiner oder gleich 127 sein.
Hinweis
Wenn die oben angegebenen Bedingungen für die maximale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [4-127] |
| Standardwert | 127 |
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
Die minimale PIN-Länge konfiguriert die Mindestanzahl von Zeichen, die für die PIN erforderlich sind. Die niedrigste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 4. Die größte Zahl, die Sie konfigurieren können, muss kleiner als die Zahl sein, die in der Richtlinieneinstellung Maximale PIN-Länge oder die Zahl 127 konfiguriert wurde, je nachdem, welcher Wert die niedrigste ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge größer oder gleich dieser Zahl sein.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge größer oder gleich 4 sein.
Hinweis
Wenn die oben angegebenen Bedingungen für die minimale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [4-127] |
| Standardwert | 4 |
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Sonderzeichen in der Windows Hello for Business-PIN-Geste zu konfigurieren. Gültige Sonderzeichen für Windows Hello for Business-PIN-Gesten: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens ein Sonderzeichen in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Sonderzeichen in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Sonderzeichen in ihrer PIN zu verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Sonderzeichen in der PIN. |
| 1 | Erfordert die Verwendung von mindestens einem Sonderzeichen in der PIN. |
| 2 | Die Verwendung von Sonderzeichen in der PIN ist nicht zulässig. |
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Großbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens einen Großbuchstaben in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Großbuchstaben in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Großbuchstaben in ihrer PIN zu verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Großbuchstaben in PIN. |
| 1 | Erfordert die Verwendung von mindestens einem Großbuchstaben in der PIN. |
| 2 | Die Verwendung von Großbuchstaben in pin ist nicht zulässig. |
Device/{TenantId}/Policies/Remote
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote
Stammknoten für Anmelderichtlinien für Telefone.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
Device/{TenantId}/Policies/Remote/UseRemotePassport
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport
Boolescher Wert, der angibt, ob die Anmeldung per Telefon mit einem Gerät verwendet werden kann. Die Anmeldung per Telefon bietet die Möglichkeit, dass ein tragbares, registriertes Gerät als Begleitgerät für die Desktopauthentifizierung verwendet werden kann.
Der Standardwert ist false.
Wenn Sie diese Einstellung aktivieren, lässt ein Desktopgerät die Verwendung eines registrierten Begleitgeräts als Authentifizierungsfaktor zu.
Wenn Sie diese Einstellung deaktivieren, kann ein Begleitgerät nicht in Desktopauthentifizierungsszenarien verwendet werden.
Hinweis
Nicht unterstützt unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Mai 2019 Update).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/RequireSecurityDevice
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
Ein Trusted Platform Module (TPM) bietet zusätzliche Sicherheitsvorteile gegenüber Software, da darin gespeicherte Daten nicht auf anderen Geräten verwendet werden können.
Wenn Sie diese Richtlinieneinstellung aktivieren, stellen nur Geräte mit einem verwendbaren TPM Windows Hello for Business bereit.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das TPM weiterhin bevorzugt, aber alle Geräte stellen Windows Hello for Business mithilfe von Software bereit, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/UseCertificateForOnPremAuth
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
Windows Hello for Business kann Zertifikate verwenden, um sich bei lokalen Ressourcen zu authentifizieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, wartet Windows Hello for Business, bis das Gerät eine Zertifikatnutzlast vom Verwaltungsserver für mobile Geräte erhalten hat, bevor eine PIN bereitgestellt wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die PIN bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 21H2 mit KB5010415 [10.0.19044.1566] und höher ✅ Windows 11, Version 21H2 mit KB5010414 [10.0.22000.527] und höher ✅ Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
Boolescher Wert, der es Windows Hello for Business ermöglicht, Microsoft Entra Kerberos für die Authentifizierung bei lokalen Ressourcen zu verwenden.
Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet Windows Hello for Business ein Microsoft Entra Kerberos-Ticket für die Authentifizierung bei lokalen Ressourcen. Das Microsoft Entra Kerberos-Ticket wird nach einer erfolgreichen Authentifizierung bei der Microsoft Entra-ID an den Client zurückgegeben, wenn Microsoft Entra Kerberos für den Mandanten und die Domäne aktiviert ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows Hello for Business einen Schlüssel oder ein Zertifikat für die Authentifizierung bei lokalen Ressourcen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Anwendungen Windows Hello for Business-Zertifikate als Smartcardzertifikate. Biometrische Faktoren sind nicht verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren. Diese Richtlinieneinstellung ist so konzipiert, dass sie die Kompatibilität mit Anwendungen ermöglicht, die ausschließlich auf Smartcardzertifikaten basieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwenden Anwendungen keine Windows Hello for Business-Zertifikate als Smartcardzertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.
Windows erfordert, dass ein Benutzer seine Sitzung sperrt und entsperrt, nachdem er diese Einstellung geändert hat, wenn der Benutzer derzeit angemeldet ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/{TenantId}/Policies/UsePassportForWork
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello for Business ist eine alternative Methode für die Anmeldung bei Windows mit Ihrem Active Directory- oder Microsoft Entra-Konto, die Kennwörter, Smartcards und virtuelle Smartcards ersetzen kann.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, stellt das Gerät Windows Hello for Business für alle Benutzer bereit.
Wenn Sie diese Richtlinieneinstellung deaktivieren, stellt das Gerät Windows Hello for Business für keinen Benutzer bereit.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | Wahr |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false | Deaktiviert. |
| true (Standard) | Aktiviert. |
Gerät/Biometrie
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/Biometrics
Stammknoten für Biometrierichtlinien.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Gerät/Biometrie/EnableESSwithSupportedPeripherals
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11, Version 22H2 [10.0.22621] und höher |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
Enhanced Sign-in Security (ESS) isoliert sowohl biometrische Vorlagendaten als auch Abgleichsvorgänge für vertrauenswürdige Hardware oder bestimmte Speicherbereiche, was bedeutet, dass der Rest des Betriebssystems nicht darauf zugreifen oder diese manipulieren kann. Da der Kommunikationskanal zwischen den Sensoren und dem Algorithmus ebenfalls gesichert ist, ist es für Schadsoftware unmöglich, Daten einschleusen oder wiederzugeben, um eine Benutzeranmeldung zu simulieren oder einen Benutzer von seinem Computer zu sperren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | ESS wird auf Systemen mit fähiger Software und Hardware gemäß dem vorhandenen Standardverhalten in Windows aktiviert. Authentifizierungsvorgänge von windows Hello-fähigen Peripheriegeräten sind vorbehaltlich der aktuellen Featurebeschränkungen zulässig. Darüber hinaus wird ESS mit dieser Einstellung auf Geräten mit einer Mischung aus biometrischen Geräten wie einer ESS-fähigen FPR und einer Nicht-ESS-fähigen Kamera aktiviert. (nicht empfohlen). |
| 1 (Standard) | ESS wird auf Systemen mit fähiger Software und Hardware gemäß dem vorhandenen Standardverhalten in Windows aktiviert. Authentifizierungsvorgänge von biometrischen Peripheriegeräten werden blockiert und für Windows Hello nicht verfügbar. (Standard und empfohlen für höchste Sicherheit). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | Aktivieren von ESS mit unterstützten Peripheriegeräten |
| Pfad | Passport > AT > WindowsComponents > MSPassportForWorkCategory |
Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing
Diese Einstellung bestimmt, ob erweitertes Antispoofing für die Windows Hello-Gesichtsauthentifizierung erforderlich ist.
Wenn Sie diese Einstellung aktivieren, erfordert Windows, dass alle Benutzer auf verwalteten Geräten erweitertes Antispoofing für die Windows Hello-Gesichtsauthentifizierung verwenden. Dadurch wird die Windows Hello-Gesichtsauthentifizierung auf Geräten deaktiviert, die kein erweitertes Antispoofing unterstützen.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, erfordert Windows kein erweitertes Anti-Spoofing für die Windows Hello-Gesichtsauthentifizierung.
Beachten Sie, dass erweitertes Antispoofing für die Windows Hello-Gesichtsauthentifizierung auf nicht verwalteten Geräten nicht erforderlich ist.
Hinweis
Nicht unterstützt unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Mai 2019 Update).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Gerät/Biometrie/UseBiometrics
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
Mit Windows Hello for Business können Benutzer biometrische Gesten wie Gesicht und Fingerabdrücke als Alternative zur PIN-Geste verwenden. Benutzer müssen jedoch weiterhin eine PIN konfigurieren, die bei Fehlern verwendet werden kann.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, lässt Windows Hello for Business die Verwendung biometrischer Gesten zu.
Wenn Sie diese Richtlinieneinstellung deaktivieren, verhindert Windows Hello for Business die Verwendung biometrischer Gesten.
Hinweis
Das Deaktivieren dieser Richtlinie verhindert die Verwendung biometrischer Gesten auf dem Gerät für alle Kontotypen.
Hinweis
Nicht unterstützt unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Mai 2019 Update).
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/DeviceUnlock
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock
Gerät entsperren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Device/DeviceUnlock/GroupA
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
Enthält eine Liste der Anbieter nach GUID, die für den ersten Schritt der Authentifizierung berücksichtigt werden sollen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Regulärer Ausdruck: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/GroupB
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
Enthält eine Liste der Anbieter nach GUID, die für den zweiten Schritt der Authentifizierung berücksichtigt werden sollen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Regulärer Ausdruck: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\} |
Device/DeviceUnlock/Plugins
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
Liste der Plug-Ins, die der passive Anbieter überwacht, um die Anwesenheit von Benutzern zu erkennen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Device/DynamicLock
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DynamicLock
Dynamische Sperre.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Device/DynamicLock/DynamicLock
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
Aktiviert/deaktiviert die dynamische Sperre.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
Device/DynamicLock/Plugins
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1803 [10.0.17134] und höher |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins
Liste der Plug-Ins, die der passive Anbieter überwacht, um das Fehlen von Benutzern zu erkennen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Device/SecurityKey
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/PassportForWork/SecurityKey
Sicherheitsschlüssel.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Device/SecurityKey/UseSecurityKeyForSignin
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
Verwenden Sie den Sicherheitsschlüssel für die Anmeldung. 0 ist deaktiviert. 1 ist aktiviert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die Standardeinstellung deaktiviert.
Ermöglicht Benutzern die Anmeldung bei ihrem Gerät mit einem FIDO2-Sicherheitsschlüssel , der mit der Implementierung von Microsoft kompatibel ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktiviert. |
| 1 | Aktiviert. |
Device/UseBiometrics
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./Device/Vendor/MSFT/PassportForWork/UseBiometrics
DIESER KNOTEN IST VERALTET UND WIRD IN EINER ZUKÜNFTIGEN VERSION ENTFERNT. VERWENDEN SIE STATTDESSEN DEN KNOTEN BIOMETRIE/UseBiometrics.
Mit Windows Hello for Business können Benutzer biometrische Gesten wie Gesicht und Fingerabdrücke als Alternative zur PIN-Geste verwenden. Benutzer müssen jedoch weiterhin eine PIN konfigurieren, die bei Fehlern verwendet werden kann.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, lässt Windows Hello for Business die Verwendung biometrischer Gesten zu.
Wenn Sie diese Richtlinieneinstellung deaktivieren, verhindert Windows Hello for Business die Verwendung biometrischer Gesten.
Hinweis
Das Deaktivieren dieser Richtlinie verhindert die Verwendung biometrischer Gesten auf dem Gerät für alle Kontotypen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
User/{TenantId}
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}
Diese Richtlinie gibt die Mandanten-ID im Format einer GUID (Globally Unique Identifier) ohne geschweifte Klammern { }an, die als Teil der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird.
Verwenden Sie zum Abrufen der GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter Abrufen der Windows Azure Active Directory-Mandanten-ID in Windows PowerShell.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
| Dynamische Knotenbenennung | UniqueName: Eine GUID (Globally Unique Identifier) ohne geschweifte Klammern ( { , } ), die als Teil der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird. Verwenden Sie zum Abrufen einer GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell. |
User/{TenantId}/Policies
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies
Stammknoten für Richtlinien.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
User/{TenantId}/Policies/EnablePinRecovery
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1703 [10.0.15063] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
Wenn der Benutzer seine PIN vergisst, kann sie mithilfe des Windows Hello for Business-PIN-Wiederherstellungsdiensts in eine neue PIN geändert werden. Dieser Clouddienst verschlüsselt ein Wiederherstellungsgeheimnis, das lokal auf dem Client gespeichert ist, aber nur vom Clouddienst entschlüsselt werden kann.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird das PIN-Wiederherstellungsgeheimnis auf dem Gerät gespeichert, und der Benutzer kann zu einer neuen PIN wechseln, falls seine PIN vergessen wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das PIN-Wiederherstellungsgeheimnis nicht erstellt oder gespeichert. Wenn die PIN des Benutzers vergessen wird, besteht die einzige Möglichkeit zum Abrufen einer neuen PIN darin, die vorhandene PIN zu löschen und eine neue pin zu erstellen. Dadurch muss sich der Benutzer bei allen Diensten, auf die die alte PIN Zugriff gewährt hat, erneut registrieren.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
User/{TenantId}/Policies/PINComplexity
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity
Stammknoten für PIN-Richtlinien.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen |
User/{TenantId}/Policies/PINComplexity/Digits
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Ziffern in der Windows Hello for Business-PIN zu konfigurieren.
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens eine Ziffer in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erfordert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Ziffern in der PIN. |
| 1 | Erfordert die Verwendung von mindestens einer Ziffer in der PIN. |
| 2 | Die Verwendung von Ziffern in der PIN ist nicht zulässig. |
User/{TenantId}/Policies/PINComplexity/Expiration
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration
Diese Richtlinie gibt an, wann die PIN abläuft (in Tagen). Gültige Werte sind 0 bis einschließlich 730. Wenn diese Richtlinie auf 0 festgelegt ist, laufen PINs nicht ab.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-730] |
| Standardwert | 0 |
User/{TenantId}/Policies/PINComplexity/History
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History
Diese Richtlinie gibt die Anzahl der vergangenen PINs an, die im Verlauf gespeichert werden können, die nicht verwendet werden können. Gültige Werte sind 0 bis einschließlich 50. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung vorheriger PINs erforderlich. Der PIN-Verlauf wird durch die PIN-Zurücksetzung nicht beibehalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [0-50] |
| Standardwert | 0 |
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Kleinbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens einen Kleinbuchstaben in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Kleinbuchstaben in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Kleinbuchstaben in ihrer PIN zu verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Kleinbuchstaben in PIN. |
| 1 | Erfordert die Verwendung von mindestens einem Kleinbuchstaben in der PIN. |
| 2 | Die Verwendung von Kleinbuchstaben in PIN ist nicht zulässig. |
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength
Die maximale PIN-Länge konfiguriert die maximale Anzahl von Zeichen, die für die PIN zulässig sind. Die größte Anzahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 127. Die niedrigste Zahl, die Sie konfigurieren können, muss größer sein als die Zahl, die in der Richtlinieneinstellung Minimale PIN-Länge oder die Zahl 4 konfiguriert ist, je nachdem, welcher Wert größer ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge kleiner oder gleich dieser Zahl sein.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge kleiner oder gleich 127 sein.
Hinweis
Wenn die oben angegebenen Bedingungen für die maximale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [4-127] |
| Standardwert | 127 |
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength
Die minimale PIN-Länge konfiguriert die Mindestanzahl von Zeichen, die für die PIN erforderlich sind. Die niedrigste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 4. Die größte Zahl, die Sie konfigurieren können, muss kleiner als die Zahl sein, die in der Richtlinieneinstellung Maximale PIN-Länge oder die Zahl 127 konfiguriert wurde, je nachdem, welcher Wert die niedrigste ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge größer oder gleich dieser Zahl sein.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge größer oder gleich 4 sein.
Hinweis
Wenn die oben angegebenen Bedingungen für die minimale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | Bereich: [4-127] |
| Standardwert | 4 |
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Sonderzeichen in der Windows Hello for Business-PIN-Geste zu konfigurieren. Gültige Sonderzeichen für Windows Hello for Business-PIN-Gesten: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens ein Sonderzeichen in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Sonderzeichen in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Sonderzeichen in ihrer PIN zu verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Sonderzeichen in der PIN. |
| 1 | Erfordert die Verwendung von mindestens einem Sonderzeichen in der PIN. |
| 2 | Die Verwendung von Sonderzeichen in der PIN ist nicht zulässig. |
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Großbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.
Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens einen Großbuchstaben in ihre PIN einfügen.
Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Großbuchstaben in ihrer PIN verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Großbuchstaben in ihrer PIN zu verwenden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Ermöglicht die Verwendung von Großbuchstaben in PIN. |
| 1 | Erfordert die Verwendung von mindestens einem Großbuchstaben in der PIN. |
| 2 | Die Verwendung von Großbuchstaben in pin ist nicht zulässig. |
User/{TenantId}/Policies/RequireSecurityDevice
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
Ein Trusted Platform Module (TPM) bietet zusätzliche Sicherheitsvorteile gegenüber Software, da darin gespeicherte Daten nicht auf anderen Geräten verwendet werden können.
Wenn Sie diese Richtlinieneinstellung aktivieren, stellen nur Geräte mit einem verwendbaren TPM Windows Hello for Business bereit.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das TPM weiterhin bevorzugt, aber alle Geräte stellen Windows Hello for Business mithilfe von Software bereit, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | False |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false (Standard) | Deaktiviert. |
| true | Aktiviert. |
User/{TenantId}/Policies/UsePassportForWork
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ✅ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 1511 [10.0.10586] und höher |
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
Windows Hello for Business ist eine alternative Methode für die Anmeldung bei Windows mit Ihrem Active Directory- oder Microsoft Entra-Konto, die Kennwörter, Smartcards und virtuelle Smartcards ersetzen kann.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, stellt das Gerät Windows Hello for Business für alle Benutzer bereit.
Wenn Sie diese Richtlinieneinstellung deaktivieren, stellt das Gerät Windows Hello for Business für keinen Benutzer bereit.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | bool |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | Wahr |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| false | Deaktiviert. |
| true (Standard) | Aktiviert. |
Beispiele
Hier ist ein Beispiel für das Festlegen von Windows Hello for Business und das Festlegen der PIN-Richtlinien. Außerdem wird die Verwendung von Biometrie und TPM aktiviert.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>2</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
</LocURI>
</Target>
</Item>
</Add>
<Add>
<CmdID>3</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>4</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>5</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdID>6</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>16</Data>
</Item>
</Add>
<Add>
<CmdID>7</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Add>
<CmdID>8</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>9</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdID>10</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdID>11</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdID>12</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>70</Data>
</Item>
</Add>
<Add>
<CmdID>13</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>14</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>15</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>true</Data>
</Item>
</Add>
<Add>
<CmdID>16</CmdID>
<Item>
<Target>
<LocURI>
./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>0</Data>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>