CSP de directiva: DeviceLock

Sugerencia

Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.

La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.

Importante

El CSP de DeviceLock usa el motor de directivas de Exchange ActiveSync. Cuando se aplican reglas de complejidad y longitud de contraseña, todas las cuentas de usuario y administrador locales se marcan para cambiar su contraseña en el siguiente inicio de sesión para asegurarse de que se cumplen los requisitos de complejidad. Para obtener más información, vea Longitud y complejidad de la contraseña compatibles con los tipos de cuenta.

AccountLockoutPolicy

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy

Umbral de bloqueo de cuenta: esta configuración de seguridad determina el número de intentos de inicio de sesión con errores que hace que una cuenta de usuario se bloquee. No se puede usar una cuenta bloqueada hasta que un administrador la restablezca o hasta que haya expirado la duración del bloqueo de la cuenta. Puede establecer un valor entre 0 y 999 intentos de inicio de sesión erróneos. Si establece el valor en 0, la cuenta nunca se bloqueará. Los intentos de contraseña erróneos en estaciones de trabajo o servidores miembros que se han bloqueado mediante CTRL+ALT+DELETE o protectores de pantalla protegidos con contraseña cuentan como intentos de inicio de sesión erróneos. Valor predeterminado: 0 Duración del bloqueo de la cuenta: esta configuración de seguridad determina el número de minutos que una cuenta bloqueada permanece bloqueada antes de desbloquearse automáticamente. El intervalo disponible es de 0 minutos a 99 9999 minutos. Si establece la duración del bloqueo de la cuenta en 0, la cuenta se bloqueará hasta que un administrador la desbloquee explícitamente. Si se define un umbral de bloqueo de cuenta, la duración del bloqueo de la cuenta debe ser mayor o igual que el tiempo de restablecimiento. Valor predeterminado: Ninguno, porque esta configuración de directiva solo tiene significado cuando se especifica un umbral de bloqueo de cuenta. Restablecer contador de bloqueo de cuenta después: esta configuración de seguridad determina el número de minutos que deben transcurrir después de un intento de inicio de sesión erróneo antes de que el contador de intentos de inicio de sesión con error se restablezca a 0 intentos de inicio de sesión incorrectos. El intervalo disponible es de 1 minuto a 99 999 minutos. Si se define un umbral de bloqueo de cuenta, este tiempo de restablecimiento debe ser menor o igual que la duración del bloqueo de la cuenta. Valor predeterminado: Ninguno, porque esta configuración de directiva solo tiene significado cuando se especifica un umbral de bloqueo de cuenta.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

AllowAdministratorLockout

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout

Permitir bloqueo de cuenta de administrador Esta configuración de seguridad determina si la cuenta de administrador integrada está sujeta a la directiva de bloqueo de cuenta.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Permitir bloqueo de cuenta de administrador
Ruta de acceso Directivas de > bloqueo de cuenta > de configuración de seguridad de > Configuración de Windows Directivas de bloqueo de cuentas

AllowIdleReturnWithoutPassword

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
❌ Pro
❌ Empresa
❌ Educación
❌ Windows SE
❌ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword

Especifica si el usuario debe introducir un PIN o una contraseña cuando el dispositivo se reanuda desde un estado inactivo.

Nota

Actualmente, esta directiva solo se admite en HoloLens 2, HoloLens (1.ª generación) Commercial Suite y HoloLens (1.ª generación) Development Edition.

Nota

Esta directiva debe encapsularse en un comando atomic.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 No permitido.
1 (valor predeterminado) Permitido.

AllowScreenTimeoutWhileLockedUserConfig

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

Especifica si se debe mostrar una configuración configurable por el usuario para controlar el tiempo de espera de la pantalla mientras se encuentra en la pantalla de bloqueo de Windows 10 Mobile dispositivos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
1 Permitir.
0 (Predeterminado) Bloquear.

AllowSimpleDevicePassword

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword

Especifica si se permiten PIN o contraseñas como 1111 o 1234. Para el escritorio, también se controla el uso de contraseñas de imagen.

Para obtener más información sobre esta directiva, consulte introducción al motor de directivas de Exchange ActiveSync.

Nota

Esta directiva debe encapsularse en un comando atomic.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 No permitido.
1 (valor predeterminado) Permitido.

AlphanumericDevicePasswordRequired

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired

Determina el tipo de PIN o contraseña necesarios. Esta directiva solo se aplica si la directiva DeviceLock/DevicePasswordEnabled está establecida en 0.

Nota

Si AlphanumericDevicePasswordRequired se establece en 1 o 2, MinDevicePasswordLength = 0 y MinDevicePasswordComplexCharacters = 1. Si AlphanumericDevicePasswordRequired está establecido en 0, MinDevicePasswordLength = 4 y MinDevicePasswordComplexCharacters = 2.

Nota

Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio (Home, Pro, Enterprise y Education).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 2
Dependencia [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 Se requiere contraseña o PIN alfanumérico.
1 Se requiere contraseña o PIN numérico.
2 (valor predeterminado) Se requiere contraseña, PIN numérico o PIN alfanumérico.

ClearTextPassword

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword

Almacenar contraseñas mediante cifrado reversible Esta configuración de seguridad determina si el sistema operativo almacena las contraseñas mediante el cifrado reversible. Esta directiva proporciona compatibilidad con aplicaciones que usan protocolos que requieren conocimientos de la contraseña del usuario con fines de autenticación. El almacenamiento de contraseñas mediante cifrado reversible es básicamente el mismo que el almacenamiento de versiones de texto no cifrado de las contraseñas. Por este motivo, esta directiva nunca debe habilitarse a menos que los requisitos de la aplicación superen la necesidad de proteger la información de contraseña. Esta directiva es necesaria cuando se usa la autenticación del Protocolo de autenticación de Challenge-Handshake (CHAP) a través del acceso remoto o los Servicios de autenticación de Internet (IAS). También es necesario cuando se usa la autenticación implícita en Internet Information Services (IIS).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Almacenar contraseñas usando cifrado reversible
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

DevicePasswordEnabled

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled

Especifica si el bloqueo del dispositivo está habilitado.

Nota

Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio.

Importante

La configuración DevicePasswordEnabled debe establecerse en 0 (la contraseña del dispositivo está habilitada) para que la siguiente configuración de directiva surta efecto:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters

Si DevicePasswordEnabled está establecido en 0 (la contraseña del dispositivo está habilitada), se establecen las directivas siguientes:

  • MinDevicePasswordLength está establecido en 4
  • MinDevicePasswordComplexCharacters está establecido en 1

Si DevicePasswordEnabled está establecido en 1 (la contraseña del dispositivo está deshabilitada), las siguientes directivas devicelock se establecen en 0:

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

DevicePasswordEnabled no debe establecerse en Habilitado (0) cuando se usa WMI para establecer las directivas de DeviceLock de EAS, dado que está habilitado de forma predeterminada en CSP de directivas para la compatibilidad con versiones anteriores con Windows 8.x. Si DevicePasswordEnabled está establecido en Enabled(0), policy CSP devolverá un error que indica que DevicePasswordEnabled ya existe. Windows 8.x no admite la directiva DevicePassword. Al deshabilitar DevicePasswordEnabled (1), debe ser el único conjunto de directivas del grupo DeviceLock de las directivas que se enumeran a continuación:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MinDevicePasswordComplexCharacters
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock

Nota

DevicePasswordExpiration no se admite a través de MDMWinsOverGP.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 Habilitada.
1 (valor predeterminado) Deshabilitado.

DevicePasswordExpiration

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration

Especifica cuándo expira la contraseña (en días).

Si todos los valores de directiva = 0, 0; De lo contrario, el valor de directiva min es el valor más seguro.

Para obtener más información sobre esta directiva, consulte introducción al motor de directivas de Exchange ActiveSync.

Nota

Esta directiva debe encapsularse en un comando atomic.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-730]
Valor predeterminado 0
Dependencia [DeviceLock_DevicePasswordExpiration_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

DevicePasswordHistory

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory

Especifica cuántas contraseñas se pueden almacenar en el historial que no se pueden usar.

El valor incluye la contraseña actual del usuario. Este valor indica que, con una configuración de 1, el usuario no puede reutilizar su contraseña actual al elegir una nueva contraseña, mientras que una configuración de 5 significa que un usuario no puede establecer su nueva contraseña en su contraseña actual o en cualquiera de sus cuatro contraseñas anteriores.

El valor máximo de la directiva es el más restringido.

Para obtener más información sobre esta directiva, consulte introducción al motor de directivas de Exchange ActiveSync.

Nota

Esta directiva debe encapsularse en un comando atomic.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-50]
Valor predeterminado 0
Dependencia [DeviceLock_DevicePasswordHistory_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

EnforceLockScreenAndLogonImage

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Especifica la pantalla de bloqueo predeterminada y la imagen de inicio de sesión que se muestran cuando ningún usuario ha iniciado sesión. También establece la imagen especificada para todos los usuarios, que reemplaza a la imagen predeterminada. La misma imagen se usa para las pantallas de bloqueo e inicio de sesión. Los usuarios no podrán cambiar esta imagen. El tipo de valor es una cadena, que es la ruta de archivo de imagen completa y el nombre de archivo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

EnforceLockScreenProvider

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

MaxDevicePasswordFailedAttempts

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts

Número de errores de autenticación permitidos antes de que se borre el dispositivo. Un valor de 0 deshabilita la funcionalidad de borrado de dispositivos.

Nota

Esta directiva debe encapsularse en un comando atomic. Esta directiva tiene comportamientos diferentes en el dispositivo móvil y el escritorio. En un dispositivo móvil, cuando el usuario alcanza el valor establecido por esta directiva, se borra el dispositivo. En un escritorio, cuando el usuario alcanza el valor establecido por esta directiva, no se borra. En su lugar, el escritorio se pone en modo de recuperación de BitLocker, lo que hace que los datos sean inaccesibles pero recuperables. Si BitLocker no está habilitado, no se puede aplicar la directiva. Antes de alcanzar el límite de intentos fallidos, el usuario se envía a la pantalla de bloqueo y se le advierte de que más intentos fallidos bloquearán su equipo. Cuando el usuario alcanza el límite, el dispositivo se reinicia automáticamente y muestra la página de recuperación de BitLocker. Esta página solicita al usuario la clave de recuperación de BitLocker. El valor más seguro es 0 si todos los valores de directiva = 0; De lo contrario, el valor de directiva min es el valor más seguro. Para obtener más información sobre esta directiva, consulte Exchange ActiveSync Información general sobre el motor de directivas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-999]
Valor predeterminado 0
Dependencia [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

MaximumPasswordAge

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge

Esta configuración de seguridad determina el período de tiempo (en días) que se puede usar una contraseña antes de que el sistema requiera que el usuario la cambie. Puede establecer que las contraseñas expiren después de varios días entre 1 y 999, o bien puede especificar que las contraseñas nunca expiren estableciendo el número de días en 0. Si la edad máxima de la contraseña está entre 1 y 999 días, la edad mínima de la contraseña debe ser menor que la edad máxima de la contraseña. Si la antigüedad máxima de la contraseña se establece en 0, la edad mínima de la contraseña puede ser cualquier valor entre 0 y 998 días.

Nota

Es un procedimiento recomendado de seguridad que las contraseñas expiren cada 30 a 90 días, en función de su entorno. De este modo, un atacante tiene una cantidad limitada de tiempo en la que descifrar la contraseña de un usuario y tener acceso a los recursos de red. Valor predeterminado: 42.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-999]
Valor predeterminado 42

Asignación de directivas de grupo:

Nombre Valor
Nombre Vigencia máxima de la contraseña
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

MaxInactivityTimeDeviceLock

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock

Especifica la cantidad máxima de tiempo (en minutos) permitida después de que el dispositivo esté inactivo, lo que hará que el dispositivo se convierta en PIN o contraseña bloqueada. Los usuarios pueden seleccionar cualquier valor de tiempo de espera existente menor que el tiempo máximo especificado en la aplicación Configuración.

En HoloLens, este tiempo de espera se controla mediante el tiempo de espera de suspensión del sistema del dispositivo, independientemente del valor establecido por esta directiva.

Nota

Esta directiva debe encapsularse en un comando atomic.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-999]
Valor predeterminado 0
Dependencia [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

MaxInactivityTimeDeviceLockWithExternalDisplay

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
❌ Pro
❌ Empresa
❌ Educación
❌ Windows SE
❌ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay

Establece el valor de tiempo de espera máximo para la presentación externa.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [1-999]
Valor predeterminado 0

MinDevicePasswordComplexCharacters

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters

Número de tipos de elementos complejos (letras mayúsculas y minúsculas, números y signos de puntuación) necesarios para un PIN o contraseña seguros.

En la lista siguiente se muestran los valores admitidos y los valores aplicados reales:

Tipo de cuenta Valores admitidos Valores aplicados reales
Cuentas locales 1,2,3 3
Cuentas de Microsoft 1,2 <p2
Cuentas de dominio No se admite No se admite

Valores aplicados para cuentas locales y microsoft:

  • Las cuentas locales admiten valores de 1, 2 y 3, pero siempre aplican un valor de 3.
  • Las contraseñas de las cuentas locales deben cumplir los siguientes requisitos mínimos:
    • No contiene el nombre de cuenta del usuario ni partes del nombre completo del usuario que superen dos caracteres consecutivos
    • Tener al menos seis caracteres de longitud
    • Contener caracteres de tres de las cuatro categorías siguientes:
      • Caracteres en mayúsculas en inglés (de A a Z)
      • Caracteres en minúsculas en inglés (de a a z)
      • Dígitos de base 10 (del 0 al 9)
      • Caracteres especiales (!, $, #, %, etc.)

La aplicación de directivas para cuentas de Microsoft se produce en el servidor y el servidor requiere una longitud de contraseña de 8 y una complejidad de 2. No se admite un valor de complejidad de 3 o 4 y establecer este valor en el servidor hace que las cuentas de Microsoft no sean compatibles.

Para obtener más información sobre esta directiva, consulte Exchange ActiveSync artículo introducción al motor de directivas y KB.

Nota

Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] Tipo de dependencia: DependsOn DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Valor permitido de dependencia: [0] [0]
Tipo de valor permitido de dependencia: Range Range

Valores permitidos:

Valor Descripción
1 (valor predeterminado) Solo dígitos.
2 Se requieren dígitos y letras minúsculas.
3 Se requieren dígitos en minúsculas y letras mayúsculas. No se admite en cuentas de escritorio de Microsoft y cuentas de dominio.
4 Se requieren dígitos con letras minúsculas en mayúsculas y caracteres especiales. No se admite en el escritorio.

MinDevicePasswordLength

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

Especifica el número mínimo o los caracteres necesarios en el PIN o la contraseña.

El valor máximo de la directiva es el más restringido.

Para obtener más información sobre esta directiva, consulte Exchange ActiveSync artículo introducción al motor de directivas y KB.

Nota

Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [4-16]
Valor predeterminado 4
Dependencia [DeviceLock_MinDevicePasswordLength_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor permitido de dependencia: [0]
Tipo de valor permitido de dependencia: Range

Ejemplo:

En el ejemplo siguiente se muestra cómo establecer la longitud mínima de la contraseña en 4 caracteres.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

MinimumPasswordAge

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge

Esta configuración de seguridad determina el período de tiempo (en días) que se debe usar una contraseña para que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días, o bien puede permitir los cambios inmediatamente estableciendo el número de días en 0. La antigüedad mínima de la contraseña debe ser menor que la edad máxima de la contraseña, a menos que la antigüedad máxima de la contraseña se establezca en 0, lo que indica que las contraseñas nunca expirarán. Si la antigüedad máxima de la contraseña se establece en 0, la edad mínima de la contraseña se puede establecer en cualquier valor comprendido entre 0 y 998. Configure la antigüedad mínima de la contraseña para que sea mayor que 0 si desea que el historial de la aplicación de contraseñas sea efectivo. Sin una edad mínima de contraseña, los usuarios pueden recorrer repetidamente las contraseñas hasta que lleguen a un favorito antiguo. La configuración predeterminada no sigue esta recomendación, por lo que un administrador puede especificar una contraseña para un usuario y, a continuación, requerir que el usuario cambie la contraseña definida por el administrador cuando el usuario inicia sesión. Si el historial de contraseñas está establecido en 0, el usuario no tiene que elegir una nueva contraseña. Por este motivo, Aplicar historial de contraseñas se establece en 1 de forma predeterminada.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-998]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Vigencia mínima de la contraseña
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

MinimumPasswordLength

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength

Esta configuración de seguridad determina el número mínimo de caracteres que puede contener una contraseña para una cuenta de usuario. El valor máximo de esta configuración depende del valor de la opción Relajar límites mínimos de longitud de contraseña. Si no se define la opción Relajar límites mínimos de longitud de contraseña, esta configuración puede configurarse de 0 a 14. Si la opción Relajar límites mínimos de longitud de contraseña está definida y deshabilitada, esta opción se puede configurar de 0 a 14. Si la opción Relajar límites mínimos de longitud de contraseña está definida y habilitada, esta opción se puede configurar de 0 a 128. Establecer el número necesario de caracteres en 0 significa que no se requiere ninguna contraseña.

Nota

De forma predeterminada, los equipos miembros siguen la configuración de sus controladores de dominio. Valores predeterminados: 7 en los controladores de dominio 0 en servidores independientes La configuración de esta configuración mayor que 14 puede afectar a la compatibilidad con clientes, servicios y aplicaciones. Se recomienda configurar esta configuración solo con más de 14 después de usar la configuración de auditoría Longitud mínima de contraseña para probar posibles incompatibilidades en la nueva configuración.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-128]
Valor predeterminado 0

Asignación de directivas de grupo:

Nombre Valor
Nombre Longitud mínima de la contraseña
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

MinimumPasswordLengthAudit

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit

Esta configuración de seguridad determina la longitud mínima de la contraseña para la que se emiten los eventos de advertencia de auditoría de longitud de contraseña. Esta configuración se puede configurar del 1 al 128. Solo debe habilitar y configurar esta configuración cuando intente determinar el posible efecto de aumentar la configuración de longitud mínima de contraseña en el entorno. Si no se define esta configuración, no se emitirán eventos de auditoría. Si esta configuración está definida y es menor o igual que la configuración de longitud mínima de la contraseña, no se emitirán eventos de auditoría. Si esta configuración está definida y es mayor que la configuración de longitud mínima de la contraseña, y la longitud de una nueva contraseña de cuenta es menor que esta configuración, se emitirá un evento de auditoría.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [1-128]
Valor predeterminado 4294967295

Asignación de directivas de grupo:

Nombre Valor
Nombre Auditoría de longitud mínima de contraseña
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

PasswordComplexity

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity

La contraseña debe cumplir los requisitos de complejidad. Esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si esta directiva está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos:

  • No contiene el nombre de cuenta del usuario ni partes del nombre completo del usuario que superen dos caracteres consecutivos
  • Tener al menos seis caracteres de longitud
  • Contener caracteres de tres de las cuatro categorías siguientes:
    • Caracteres en mayúsculas en inglés (de A a Z)
    • Caracteres en minúsculas en inglés (de a a z)
    • Dígitos de base 10 (del 0 al 9)
    • Caracteres no alfabéticos (por ejemplo, !, $, #, %)

Se aplican requisitos de complejidad cuando se cambian o se crean contraseñas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-1]
Valor predeterminado 1

Asignación de directivas de grupo:

Nombre Valor
Nombre Las contraseñas deben cumplir los requisitos de complejidad
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

PasswordHistorySize

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize

Aplicar historial de contraseñas Esta configuración de seguridad determina el número de contraseñas nuevas únicas que deben asociarse a una cuenta de usuario antes de que se pueda reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad al asegurarse de que las contraseñas antiguas no se reutilizan continuamente. Valor predeterminado: 24 en controladores de dominio. 0 en servidores independientes.

Nota

De forma predeterminada, los equipos miembros siguen la configuración de sus controladores de dominio. Para mantener la eficacia del historial de contraseñas, no permita que las contraseñas se cambien inmediatamente después de que se hayan cambiado al habilitar también la configuración de directiva de seguridad Edad mínima de contraseña. Para obtener información sobre la configuración de la directiva de seguridad de edad mínima de contraseña, consulte Edad mínima de la contraseña.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-24]
Valor predeterminado 24

Asignación de directivas de grupo:

Nombre Valor
Nombre Exigir historial de contraseñas
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

PreventEnablingLockScreenCamera

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera

Deshabilita el interruptor de alternancia de la cámara de pantalla de bloqueo en configuración de PC e impide que se invoque una cámara en la pantalla de bloqueo.

De forma predeterminada, los usuarios pueden habilitar la invocación de una cámara disponible en la pantalla de bloqueo.

Si habilita esta configuración, los usuarios ya no podrán habilitar o deshabilitar el acceso a la cámara de pantalla de bloqueo en la configuración del equipo y la cámara no se puede invocar en la pantalla de bloqueo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre CPL_Personalization_NoLockScreenCamera
Nombre descriptivo Impedir la habilitación de la cámara de pantalla de bloqueo
Ubicación Configuración del equipo
Ruta de acceso > personalización de Panel de control
Nombre de la clave del Registro Software\Policies\Microsoft\Windows\Personalization
Nombre del valor de registro NoLockScreenCamera
Nombre de archivo ADMX ControlPanelDisplay.admx

PreventLockScreenSlideShow

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow

Deshabilita la configuración de la presentación con diapositivas de la pantalla de bloqueo en Configuración de PC e impide que se reprodízca una presentación con diapositivas en la pantalla de bloqueo.

De forma predeterminada, los usuarios pueden habilitar una presentación con diapositivas que se ejecutará después de bloquear la máquina.

Si habilita esta configuración, los usuarios ya no podrán modificar la configuración de presentación con diapositivas en Configuración de PC y no se iniciará ninguna presentación con diapositivas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre CPL_Personalization_NoLockScreenSlideshow
Nombre descriptivo Evitar la activación de la presentación con diapositivas de la pantalla de bloqueo
Ubicación Configuración del equipo
Ruta de acceso > personalización de Panel de control
Nombre de la clave del Registro Software\Policies\Microsoft\Windows\Personalization
Nombre del valor de registro NoLockScreenSlideshow
Nombre de archivo ADMX ControlPanelDisplay.admx

RelaxMinimumPasswordLengthLimits

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits

Esta configuración controla si la configuración de longitud mínima de la contraseña se puede aumentar más allá del límite heredado de 14. Si no se define esta configuración, la longitud mínima de la contraseña puede configurarse en no más de 14. Si esta configuración está definida y deshabilitada, la longitud mínima de la contraseña puede configurarse en no más de 14. Si esta configuración está definida y habilitada, la longitud mínima de la contraseña puede configurarse más de 14.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado.
1 Habilitado.

Asignación de directivas de grupo:

Nombre Valor
Nombre Relajar la longitud mínima de la contraseña
Ruta de acceso Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows

ScreenTimeoutWhileLocked

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked

Especifica si se debe mostrar una configuración configurable por el usuario para controlar el tiempo de espera de la pantalla mientras se encuentra en la pantalla de bloqueo de Windows 10 Mobile dispositivos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [10-1800]
Valor predeterminado 10

Proveedor de servicios de configuración de directivas