Fournisseur de services de configuration de stratégie - DeviceLock

Astuce

Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.

La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.

Important

Le fournisseur de services de configuration DeviceLock utilise le moteur de stratégie Exchange ActiveSync. Lorsque des règles de longueur et de complexité de mot de passe sont appliquées, tous les comptes d’utilisateur et d’administrateur locaux sont marqués pour modifier leur mot de passe lors de la connexion suivante afin de s’assurer que les exigences de complexité sont remplies. Pour plus d’informations, consultez Longueur et complexité du mot de passe pris en charge par les types de comptes.

AccountLockoutPolicy

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy

Seuil de verrouillage de compte : ce paramètre de sécurité détermine le nombre de tentatives d’ouverture de session ayant échoué qui entraînent le verrouillage d’un compte d’utilisateur. Un compte verrouillé ne peut pas être utilisé tant qu’il n’est pas réinitialisé par un administrateur ou que la durée de verrouillage du compte n’a pas expiré. Vous pouvez définir une valeur comprise entre 0 et 999 tentatives d’ouverture de session ayant échoué. Si vous définissez la valeur sur 0, le compte ne sera jamais verrouillé. Les tentatives de mot de passe ayant échoué sur des stations de travail ou des serveurs membres qui ont été verrouillés à l’aide de Ctrl+Alt+Suppr ou d’un écran protégé par mot de passe sont comptabilisées comme des tentatives d’ouverture de session ayant échoué. Valeur par défaut : 0 Durée de verrouillage du compte : ce paramètre de sécurité détermine le nombre de minutes pendant lesquelles un compte verrouillé reste verrouillé avant d’être déverrouillé automatiquement. La plage disponible est comprise entre 0 et 99 999 minutes. Si vous définissez la durée de verrouillage du compte sur 0, le compte est verrouillé jusqu’à ce qu’un administrateur le déverrouille explicitement. Si un seuil de verrouillage de compte est défini, la durée du verrouillage du compte doit être supérieure ou égale à la durée de réinitialisation. Valeur par défaut : Aucune, car ce paramètre de stratégie a une signification uniquement lorsqu’un seuil de verrouillage de compte est spécifié. Réinitialiser le compteur de verrouillage du compte après : ce paramètre de sécurité détermine le nombre de minutes qui doivent s’écouler après l’échec d’une tentative d’ouverture de session avant que le compteur de tentatives d’ouverture de session ayant échoué soit réinitialisé à 0 tentative d’ouverture de session incorrecte. La plage disponible est de 1 minute à 99 999 minutes. Si un seuil de verrouillage de compte est défini, cette durée de réinitialisation doit être inférieure ou égale à la durée de verrouillage du compte. Valeur par défaut : Aucune, car ce paramètre de stratégie a une signification uniquement lorsqu’un seuil de verrouillage de compte est spécifié.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

AllowAdministratorLockout

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout

Autoriser le verrouillage du compte administrateur Ce paramètre de sécurité détermine si le compte Administrateur intégré est soumis à la stratégie de verrouillage de compte.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Autoriser le verrouillage du compte administrateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte Stratégie > de verrouillage de compte

AllowIdleReturnWithoutPassword

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
❌Pro
❌ Enterprise
❌ Éducation
❌Windows SE
❌ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword

Spécifie si l’utilisateur doit entrer un code confidentiel ou un mot de passe lorsque l’appareil passe à l’état inactif.

Remarque

Actuellement, cette stratégie est prise en charge uniquement dans HoloLens 2, HoloLens (1ère génération) Commercial Suite et HoloLens (1ère génération) Development Edition.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AllowScreenTimeoutWhileLockedUserConfig

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

Spécifie s’il faut afficher un paramètre configurable par l’utilisateur pour contrôler le délai d’expiration de l’écran sur l’écran de verrouillage de Windows 10 Mobile appareils.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Autoriser.
0 (par défaut) Bloquer.

AllowSimpleDevicePassword

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword

Spécifie si les codes confidentiels ou les mots de passe tels que 1111 ou 1234 sont autorisés. Pour le Bureau, ce paramètre contrôle également l’utilisation de mots de passe image.

Pour plus d’informations sur cette stratégie, consultez Exchange ActiveSync Vue d’ensemble du moteur de stratégie.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Non autorisé.
1 (par défaut) Autorisé.

AlphanumericDevicePasswordRequired

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired

Détermine le type de code confidentiel ou de mot de passe requis. Cette stratégie s’applique uniquement si la stratégie DeviceLock/DevicePasswordEnabled est définie sur 0.

Remarque

Si AlphanumericDevicePasswordRequired est défini sur 1 ou 2, minDevicePasswordLength = 0 et MinDevicePasswordComplexCharacters = 1. Si AlphanumericDevicePasswordRequired est défini sur 0, minDevicePasswordLength = 4 et MinDevicePasswordComplexCharacters = 2.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic. Utilisez toujours la commande Remplacer au lieu de Ajouter pour cette stratégie dans Windows pour les éditions de bureau (Famille, Professionnel, Entreprise et Éducation).

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 2
Dépendance [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Mot de passe ou code pin alphanumérique requis.
1 Mot de passe ou code pin numérique requis.
2 (par défaut) Mot de passe, code pin numérique ou code pin alphanumérique requis.

ClearTextPassword

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword

Stocker les mots de passe à l’aide du chiffrement réversible Ce paramètre de sécurité détermine si le système d’exploitation stocke les mots de passe à l’aide du chiffrement réversible. Cette stratégie prend en charge les applications qui utilisent des protocoles qui nécessitent une connaissance du mot de passe de l’utilisateur à des fins d’authentification. Le stockage des mots de passe à l’aide du chiffrement réversible est essentiellement identique au stockage de versions en texte clair des mots de passe. Pour cette raison, cette stratégie ne doit jamais être activée, sauf si les exigences de l’application l’emportent sur la nécessité de protéger les informations de mot de passe. Cette stratégie est requise lors de l’utilisation de l’authentification CHAP (Challenge-Handshake Authentication Protocol) via l’accès à distance ou les services d’authentification Internet (IAS). Elle est également requise lors de l’utilisation de l’authentification Digest dans Internet Information Services (IIS).

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Enregistrer les mots de passe en utilisant un chiffrement réversible
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

DevicePasswordEnabled

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled

Spécifie si le verrouillage de l’appareil est activé.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic. Utilisez toujours la commande Remplacer au lieu de Ajouter pour cette stratégie dans Windows pour les éditions de bureau.

Important

Le paramètre DevicePasswordEnabled doit être défini sur 0 (le mot de passe de l’appareil est activé) pour que les paramètres de stratégie suivants prennent effet :

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters

Si DevicePasswordEnabled est défini sur 0 (le mot de passe de l’appareil est activé), les stratégies suivantes sont définies :

  • MinDevicePasswordLength est défini sur 4
  • MinDevicePasswordComplexCharacters est défini sur 1

Si DevicePasswordEnabled est défini sur 1 (le mot de passe de l’appareil est désactivé), les stratégies DeviceLock suivantes sont définies sur 0 :

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

DevicePasswordEnabled ne doit pas être défini sur Activé (0) lorsque WMI est utilisé pour définir les stratégies EAS DeviceLock, étant donné qu’il est Activé par défaut dans le csp Policy pour la compatibilité descendante avec Windows 8.x. Si DevicePasswordEnabled est défini sur Enabled(0), le csp Policy retourne une erreur indiquant que DevicePasswordEnabled existe déjà. Windows 8.x ne prenait pas en charge la stratégie DevicePassword. Lors de la désactivation de DevicePasswordEnabled (1), il doit s’agir de la seule stratégie définie à partir du groupe de stratégies DeviceLock listé ci-dessous :

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MinDevicePasswordComplexCharacters
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock

Remarque

DevicePasswordExpiration n’est pas pris en charge via MDMWinsOverGP.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Activé.
1 (par défaut) Désactivé.

DevicePasswordExpiration

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration

Spécifie le moment où le mot de passe expire (en jours).

Si toutes les valeurs de stratégie = 0, alors 0 ; sinon, la valeur de stratégie Minimale est la valeur la plus sécurisée.

Pour plus d’informations sur cette stratégie, consultez Exchange ActiveSync Vue d’ensemble du moteur de stratégie.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-730]
Valeur par défaut 0
Dépendance [DeviceLock_DevicePasswordExpiration_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

DevicePasswordHistory

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory

Spécifie le nombre de mots de passe qui ne peuvent pas être utilisés dans l’historique.

La valeur inclut le mot de passe actuel de l’utilisateur. Cette valeur indique qu’avec un paramètre de 1, l’utilisateur ne peut pas réutiliser son mot de passe actuel lors du choix d’un nouveau mot de passe, tandis qu’un paramètre de 5 signifie qu’un utilisateur ne peut pas définir son nouveau mot de passe sur son mot de passe actuel ou sur l’un de ses quatre mots de passe précédents.

La valeur de stratégie maximale est la plus restreinte.

Pour plus d’informations sur cette stratégie, consultez Exchange ActiveSync Vue d’ensemble du moteur de stratégie.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-50]
Valeur par défaut 0
Dépendance [DeviceLock_DevicePasswordHistory_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

EnforceLockScreenAndLogonImage

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Spécifie l’écran de verrouillage et l’image d’ouverture de session par défaut affichés lorsqu’aucun utilisateur n’est connecté. Il définit également l’image spécifiée pour tous les utilisateurs, ce qui remplace l’image par défaut. La même image est utilisée pour les écrans de verrouillage et d’ouverture de session. Les utilisateurs ne pourront pas modifier cette image. Le type de valeur est une chaîne, qui est le chemin de fichier et le nom de fichier complets de l’image.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

EnforceLockScreenProvider

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

MaxDevicePasswordFailedAttempts

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts

Nombre d’échecs d’authentification autorisés avant la réinitialisation de l’appareil. La valeur 0 désactive la fonctionnalité de réinitialisation de l’appareil.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic. Cette stratégie a des comportements différents sur l’appareil mobile et le bureau. Sur un appareil mobile, lorsque l’utilisateur atteint la valeur définie par cette stratégie, l’appareil est effacé. Sur un bureau, lorsque l’utilisateur atteint la valeur définie par cette stratégie, il n’est pas effacé. Au lieu de cela, le bureau est mis en mode de récupération BitLocker, ce qui rend les données inaccessibles mais récupérables. Si BitLocker n’est pas activé, la stratégie ne peut pas être appliquée. Avant d’atteindre la limite des tentatives ayant échoué, l’utilisateur est envoyé à l’écran de verrouillage et averti que d’autres tentatives ayant échoué verrouilleront leur ordinateur. Lorsque l’utilisateur atteint la limite, l’appareil redémarre automatiquement et affiche la page de récupération BitLocker. Cette page invite l’utilisateur à entrer la clé de récupération BitLocker. La valeur la plus sécurisée est 0 si toutes les valeurs de stratégie = 0 ; sinon, la valeur de stratégie Minimale est la valeur la plus sécurisée. Pour plus d’informations sur cette stratégie, consultez Exchange ActiveSync Vue d’ensemble du moteur de stratégie.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-999]
Valeur par défaut 0
Dépendance [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

MaximumPasswordAge

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge

Ce paramètre de sécurité détermine la période (en jours) pendant laquelle un mot de passe peut être utilisé avant que le système n’oblige l’utilisateur à le modifier. Vous pouvez définir les mots de passe pour qu’ils expirent après un nombre de jours compris entre 1 et 999, ou vous pouvez spécifier que les mots de passe n’expirent jamais en définissant le nombre de jours sur 0. Si l’âge maximal du mot de passe est compris entre 1 et 999 jours, l’âge minimal du mot de passe doit être inférieur à l’âge maximal du mot de passe. Si l’âge maximal du mot de passe est défini sur 0, l’âge minimal du mot de passe peut être n’importe quelle valeur comprise entre 0 et 998 jours.

Remarque

Il est recommandé de faire expirer les mots de passe tous les 30 à 90 jours, en fonction de votre environnement. De cette façon, un attaquant a un temps limité pour déchiffrer le mot de passe d’un utilisateur et avoir accès à vos ressources réseau. Valeur par défaut : 42.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-999]
Valeur par défaut 42

Mappage de stratégie de groupe :

Nom Valeur
Nom Ancienneté maximale du mot de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

MaxInactivityTimeDeviceLock

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock

Spécifie la durée maximale (en minutes) autorisée une fois que l’appareil est inactif, ce qui entraînera le verrouillage du code confidentiel ou du mot de passe de l’appareil. Les utilisateurs peuvent sélectionner une valeur de délai d’expiration existante inférieure à la durée maximale spécifiée dans l’application Paramètres.

Sur HoloLens, ce délai d’expiration est contrôlé par le délai d’attente du système de l’appareil, quelle que soit la valeur définie par cette stratégie.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-999]
Valeur par défaut 0
Dépendance [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

MaxInactivityTimeDeviceLockWithExternalDisplay

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
❌Pro
❌ Enterprise
❌ Éducation
❌Windows SE
❌ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay

Définit la valeur de délai d’expiration maximale pour l’affichage externe.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [1-999]
Valeur par défaut 0

MinDevicePasswordComplexCharacters

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters

Nombre de types d’éléments complexes (lettres majuscules et minuscules, chiffres et ponctuation) requis pour un code confidentiel ou un mot de passe fort.

La liste suivante présente les valeurs prises en charge et les valeurs appliquées réelles :

Type de compte Valeurs prises en charge Valeurs appliquées réelles
Comptes locaux 1,2,3 3
Comptes Microsoft 1,2 <p2
Comptes de domaine Non pris en charge Non pris en charge

Valeurs appliquées pour les comptes locaux et Microsoft :

  • Les comptes locaux prennent en charge les valeurs 1, 2 et 3, mais ils appliquent toujours une valeur de 3.
  • Les mots de passe des comptes locaux doivent répondre aux exigences minimales suivantes :
    • Ne contient pas le nom de compte de l’utilisateur ou des parties du nom complet de l’utilisateur qui dépassent deux caractères consécutifs
    • Avoir au moins six caractères
    • Contiennent des caractères de trois des quatre catégories suivantes :
      • Caractères majuscules en anglais (A à Z)
      • Caractères minuscules en anglais (a à z)
      • Chiffres de base 10 (0 à 9)
      • Caractères spéciaux ( !, $, #, %, etc.)

L’application des stratégies pour les comptes Microsoft se produit sur le serveur, et le serveur nécessite une longueur de mot de passe de 8 et une complexité de 2. Une valeur de complexité de 3 ou 4 n’est pas prise en charge et la définition de cette valeur sur le serveur rend les comptes Microsoft non conformes.

Pour plus d’informations sur cette stratégie, consultez Exchange ActiveSync article Vue d’ensemble du moteur de stratégie et de la Base de connaissances.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic. Utilisez toujours la commande Remplacer au lieu de Ajouter pour cette stratégie dans Windows pour les éditions de bureau.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] Type de dépendance : DependsOn DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Valeur autorisée de dépendance : [0] [0]
Type de valeur autorisée de dépendance : Range Range

Valeurs autorisées:

Valeur Description
1 (par défaut) Chiffres uniquement.
2 Des chiffres et des lettres minuscules sont requis.
3 Des chiffres en minuscules et en majuscules sont requis. Non pris en charge dans les comptes Microsoft de bureau et les comptes de domaine.
4 Des chiffres en minuscules et des caractères spéciaux sont requis. Non pris en charge dans le bureau.

MinDevicePasswordLength

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1507 [10.0.10240] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

Spécifie le nombre minimal ou les caractères requis dans le code confidentiel ou le mot de passe.

La valeur de stratégie maximale est la plus restreinte.

Pour plus d’informations sur cette stratégie, consultez Exchange ActiveSync article Vue d’ensemble du moteur de stratégie et de la Base de connaissances.

Remarque

Cette stratégie doit être encapsulée dans une commande Atomic. Utilisez toujours la commande Remplacer au lieu de Ajouter pour cette stratégie dans Windows pour les éditions de bureau.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [4-16]
Valeur par défaut 4
Dépendance [DeviceLock_MinDevicePasswordLength_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

Exemple :

L’exemple suivant montre comment définir la longueur minimale du mot de passe sur 4 caractères.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

MinimumPasswordAge

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge

Ce paramètre de sécurité détermine la période (en jours) pendant laquelle un mot de passe doit être utilisé avant que l’utilisateur puisse le modifier. Vous pouvez définir une valeur comprise entre 1 et 998 jours ou autoriser les modifications immédiatement en définissant le nombre de jours sur 0. L’âge minimal du mot de passe doit être inférieur à l’âge maximal du mot de passe, sauf si l’âge maximal du mot de passe est défini sur 0, ce qui indique que les mots de passe n’expireront jamais. Si l’âge maximal du mot de passe est défini sur 0, l’âge minimal du mot de passe peut être défini sur n’importe quelle valeur comprise entre 0 et 998. Configurez l’âge minimal du mot de passe pour qu’il soit supérieur à 0 si vous souhaitez que l’application de l’historique des mots de passe soit effective. Sans âge minimal du mot de passe, les utilisateurs peuvent parcourir les mots de passe à plusieurs reprises jusqu’à ce qu’ils accèdent à un ancien favori. Le paramètre par défaut ne suit pas cette recommandation, de sorte qu’un administrateur peut spécifier un mot de passe pour un utilisateur, puis demander à l’utilisateur de modifier le mot de passe défini par l’administrateur lorsque l’utilisateur se connecte. Si l’historique des mots de passe est défini sur 0, l’utilisateur n’a pas besoin de choisir un nouveau mot de passe. Pour cette raison, Appliquer l’historique des mots de passe est défini sur 1 par défaut.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-998]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Ancienneté minimale du mot de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

MinimumPasswordLength

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength

Ce paramètre de sécurité détermine le moins de caractères qu’un mot de passe d’un compte d’utilisateur peut contenir. La valeur maximale de ce paramètre dépend de la valeur du paramètre Assouplir les limites de longueur minimale du mot de passe. Si le paramètre Assouplir les limites de longueur minimale du mot de passe n’est pas défini, ce paramètre peut être configuré de 0 à 14. Si le paramètre Assouplir les limites de longueur minimale du mot de passe est défini et désactivé, ce paramètre peut être configuré de 0 à 14. Si le paramètre Assouplir les limites de longueur minimale du mot de passe est défini et activé, ce paramètre peut être configuré de 0 à 128. Si vous définissez le nombre de caractères requis sur 0, aucun mot de passe n’est requis.

Remarque

Par défaut, les ordinateurs membres suivent la configuration de leurs contrôleurs de domaine. Valeurs par défaut : 7 sur les contrôleurs de domaine 0 sur les serveurs autonomes La configuration de ce paramètre supérieur à 14 peut affecter la compatibilité avec les clients, les services et les applications. Nous vous recommandons de configurer ce paramètre supérieur à 14 uniquement après avoir utilisé le paramètre d’audit Longueur minimale du mot de passe pour tester les incompatibilités potentielles dans le nouveau paramètre.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-128]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Longueur minimale du mot de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

MinimumPasswordLengthAudit

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit

Ce paramètre de sécurité détermine la longueur minimale du mot de passe pour laquelle les événements d’avertissement d’audit de longueur de mot de passe sont émis. Ce paramètre peut être configuré de 1 à 128. Vous devez uniquement activer et configurer ce paramètre lorsque vous essayez de déterminer l’effet potentiel de l’augmentation du paramètre de longueur minimale du mot de passe dans votre environnement. Si ce paramètre n’est pas défini, les événements d’audit ne sont pas émis. Si ce paramètre est défini et est inférieur ou égal au paramètre de longueur minimale du mot de passe, les événements d’audit ne sont pas émis. Si ce paramètre est défini et est supérieur à la longueur minimale du mot de passe et que la longueur d’un nouveau mot de passe de compte est inférieure à ce paramètre, un événement d’audit est émis.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [1-128]
Valeur par défaut 4294967295

Mappage de stratégie de groupe :

Nom Valeur
Nom Audit de la longueur minimale du mot de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

PasswordComplexité

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity

Le mot de passe doit répondre aux exigences de complexité. Ce paramètre de sécurité détermine si les mots de passe doivent répondre aux exigences de complexité. Si cette stratégie est activée, les mots de passe doivent répondre aux exigences minimales suivantes :

  • Ne contient pas le nom de compte de l’utilisateur ou des parties du nom complet de l’utilisateur qui dépassent deux caractères consécutifs
  • Avoir au moins six caractères
  • Contiennent des caractères de trois des quatre catégories suivantes :
    • Caractères majuscules en anglais (A à Z)
    • Caractères minuscules en anglais (a à z)
    • Chiffres de base 10 (0 à 9)
    • Caractères non alphabétiques (par exemple, !, $, #, %)

Les exigences de complexité sont appliquées lorsque les mots de passe sont modifiés ou créés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Le mot de passe doit respecter des exigences de complexité.
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

PasswordHistorySize

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize

Appliquer l’historique des mots de passe Ce paramètre de sécurité détermine le nombre de nouveaux mots de passe uniques qui doivent être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. La valeur doit être comprise entre 0 et 24 mots de passe. Cette stratégie permet aux administrateurs d’améliorer la sécurité en veillant à ce que les anciens mots de passe ne soient pas réutilisés en permanence. Valeur par défaut : 24 sur les contrôleurs de domaine. 0 sur les serveurs autonomes.

Remarque

Par défaut, les ordinateurs membres suivent la configuration de leurs contrôleurs de domaine. Pour maintenir l’efficacité de l’historique des mots de passe, n’autorisez pas la modification des mots de passe immédiatement après leur modification en activant également le paramètre de stratégie Sécurité minimale de l’âge du mot de passe. Pour plus d’informations sur le paramètre de stratégie de sécurité de l’âge du mot de passe minimal, consultez Âge minimal du mot de passe.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-24]
Valeur par défaut 24

Mappage de stratégie de groupe :

Nom Valeur
Nom Appliquer l’historique des mots de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

PreventEnablingLockScreenCamera

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera

Désactive le bouton bascule de la caméra de l’écran de verrouillage dans les paramètres du PC et empêche l’appel d’une caméra sur l’écran de verrouillage.

Par défaut, les utilisateurs peuvent activer l’appel d’une caméra disponible sur l’écran de verrouillage.

Si vous activez ce paramètre, les utilisateurs ne pourront plus activer ou désactiver l’accès à la caméra de l’écran de verrouillage dans les paramètres du PC, et la caméra ne peut pas être appelée sur l’écran de verrouillage.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom CPL_Personalization_NoLockScreenCamera
Nom convivial Empêcher l’activation de la caméra de l’écran de verrouillage
Location Configuration ordinateur
Chemin d'accès > Personnalisation Panneau de configuration
Nom de la clé de Registre Logiciel\Stratégies\Microsoft\Windows\Personnalisation
Nom de la valeur de Registre NoLockScreenCamera
Nom du fichier ADMX ControlPanelDisplay.admx

PreventLockScreenSlideShow

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow

Désactive les paramètres du diaporama de l’écran de verrouillage dans paramètres du PC et empêche la lecture d’un diaporama sur l’écran de verrouillage.

Par défaut, les utilisateurs peuvent activer un diaporama qui s’exécutera après avoir verrouillé l’ordinateur.

Si vous activez ce paramètre, les utilisateurs ne pourront plus modifier les paramètres du diaporama dans paramètres du PC et aucun diaporama ne démarrera jamais.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom CPL_Personalization_NoLockScreenSlideshow
Nom convivial Empêcher l’activation du diaporama sur l’écran de verrouillage
Location Configuration ordinateur
Chemin d'accès > Personnalisation Panneau de configuration
Nom de la clé de Registre Logiciel\Stratégies\Microsoft\Windows\Personnalisation
Nom de la valeur de Registre NoLockScreenSlideshow
Nom du fichier ADMX ControlPanelDisplay.admx

RelaxMinimumPasswordLengthLimits

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits

Ce paramètre contrôle si la longueur minimale du mot de passe peut être augmentée au-delà de la limite héritée de 14. Si ce paramètre n’est pas défini, la longueur minimale du mot de passe peut être configurée sur 14 au maximum. Si ce paramètre est défini et désactivé, la longueur minimale du mot de passe peut être configurée sur 14 au maximum. Si ce paramètre est défini et activé, la longueur minimale du mot de passe peut être supérieure à 14.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Assouplir la longueur minimale du mot de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de mot de passe

ScreenTimeoutWhileLocked

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1607 [10.0.14393] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked

Spécifie s’il faut afficher un paramètre configurable par l’utilisateur pour contrôler le délai d’expiration de l’écran sur l’écran de verrouillage de Windows 10 Mobile appareils.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [10-1800]
Valeur par défaut 10

Fournisseur de services de configuration de stratégie