Provider di servizi di configurazione dei criteri - DeviceLock
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
Importante
Il provider di servizi di configurazione DeviceLock usa il motore dei criteri di Exchange ActiveSync. Quando vengono applicate le regole di lunghezza e complessità della password, tutti gli account utente e amministratore locali vengono contrassegnati per modificare la password al successivo accesso per garantire il rispetto dei requisiti di complessità. Per altre informazioni, vedere Lunghezza e complessità della password supportate dai tipi di account.
AccountLockoutPolicy
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy
Soglia di blocco dell'account: questa impostazione di sicurezza determina il numero di tentativi di accesso non riusciti che causano il blocco di un account utente. Un account bloccato non può essere usato fino a quando non viene reimpostato da un amministratore o finché la durata del blocco per l'account non è scaduta. È possibile impostare un valore compreso tra 0 e 999 tentativi di accesso non riusciti. Se si imposta il valore su 0, l'account non verrà mai bloccato. Tentativi di password non riusciti per workstation o server membri bloccati tramite CTRL+ALT+CANC o i salvaschermi protetti da password vengono conteggiati come tentativi di accesso non riusciti. Impostazione predefinita: 0 Durata blocco account: questa impostazione di sicurezza determina il numero di minuti in cui un account bloccato rimane bloccato prima di essere sbloccato automaticamente. L'intervallo disponibile è compreso tra 0 minuti e 99.999 minuti. Se si imposta la durata del blocco dell'account su 0, l'account verrà bloccato fino a quando un amministratore non lo sblocca in modo esplicito. Se viene definita una soglia di blocco dell'account, la durata del blocco dell'account deve essere maggiore o uguale all'ora di reimpostazione. Impostazione predefinita: Nessuna, perché questa impostazione di criterio ha significato solo quando viene specificata una soglia di blocco dell'account. Reimpostare il contatore di blocco dell'account dopo: questa impostazione di sicurezza determina il numero di minuti che devono trascorrere dopo un tentativo di accesso non riuscito prima che il contatore del tentativo di accesso non riuscito venga reimpostato su 0 tentativi di accesso non validi. L'intervallo disponibile è compreso tra 1 minuto e 99.999 minuti. Se viene definita una soglia di blocco dell'account, il tempo di reimpostazione deve essere minore o uguale alla durata del blocco dell'account. Impostazione predefinita: Nessuna, perché questa impostazione di criterio ha significato solo quando viene specificata una soglia di blocco dell'account.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
AllowAdministratorLockout
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout
Consenti blocco account amministratore Questa impostazione di sicurezza determina se l'account amministratore predefinito è soggetto ai criteri di blocco dell'account.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-1] |
| Valore predefinito | 1 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Consenti blocco account amministratore |
| Percorso | Impostazioni di > sicurezza di Windows Criteri > account > Criteri di blocco account |
AllowIdleReturnWithoutPassword
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
❌ Pro ❌ Enterprise ❌ Education ❌Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword
Specifica se l'utente deve immettere un PIN o una password quando il dispositivo riprende da uno stato di inattività.
Nota
Attualmente, questo criterio è supportato solo in HoloLens 2, HoloLens (prima generazione) Commercial Suite e HoloLens (prima generazione) Development Edition.
Nota
Questo criterio deve essere incluso in un comando Atomic.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AllowScreenTimeoutWhileLockedUserConfig
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
Specifica se visualizzare un'impostazione configurabile dall'utente per controllare il timeout dello schermo nella schermata di blocco dei dispositivi Windows 10 Mobile.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 1 | Consenti. |
| 0 (Predefinito) | Blocca. |
AllowSimpleDevicePassword
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword
Specifica se sono consentiti PIN o password come 1111 o 1234. Per il desktop, controlla anche l'uso di password grafiche.
Per altre informazioni su questo criterio, vedere Panoramica del motore dei criteri Exchange ActiveSync.
Nota
Questo criterio deve essere incluso in un comando Atomic.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AlphanumericDevicePasswordRequired
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Determina il tipo di PIN o password richiesto. Questo criterio si applica solo se il criterio DeviceLock/DevicePasswordEnabled è impostato su 0.
Nota
Se AlphanumericDevicePasswordRequired è impostato su 1 o 2, MinDevicePasswordLength = 0 e MinDevicePasswordComplexCharacters = 1. Se AlphanumericDevicePasswordRequired è impostato su 0, MinDevicePasswordLength = 4 e MinDevicePasswordComplexCharacters = 2.
Nota
Questo criterio deve essere incluso in un comando Atomic. Usare sempre il comando Sostituisci anziché Aggiungi per questo criterio in Windows per le edizioni desktop (Home, Pro, Enterprise ed Education).
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 2 |
| Dipendenza [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Password o PIN alfanumerico obbligatorio. |
| 1 | Password o PIN numerico obbligatorio. |
| 2 (impostazione predefinita) | Password, PIN numerico o PIN alfanumerico necessari. |
ClearTextPassword
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword
Archiviare le password usando la crittografia reversibile Questa impostazione di sicurezza determina se il sistema operativo archivia le password usando la crittografia reversibile. Questo criterio fornisce supporto per le applicazioni che usano protocolli che richiedono la conoscenza della password dell'utente a scopo di autenticazione. L'archiviazione delle password tramite crittografia reversibile equivale essenzialmente all'archiviazione di versioni in testo non crittografato delle password. Per questo motivo, questo criterio non deve mai essere abilitato a meno che i requisiti dell'applicazione non superino la necessità di proteggere le informazioni sulle password. Questo criterio è necessario quando si usa l'autenticazione CHAP (Challenge-Handshake Authentication Protocol) tramite l'accesso remoto o Internet Authentication Services (IAS). È necessario anche quando si usa l'autenticazione del digest in Internet Information Services (IIS).
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-1] |
| Valore predefinito | 0 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Archivia password mediante crittografia reversibile |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
DevicePasswordEnabled
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Specifica se il blocco del dispositivo è abilitato.
Nota
Questo criterio deve essere incluso in un comando Atomic. Usare sempre il comando Sostituisci anziché Aggiungi per questo criterio in Windows per le edizioni desktop.
Importante
L'impostazione DevicePasswordEnabled deve essere impostata su 0 (la password del dispositivo è abilitata) per rendere effettive le impostazioni dei criteri seguenti:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
Se DevicePasswordEnabled è impostato su 0 (la password del dispositivo è abilitata), vengono impostati i criteri seguenti:
- MinDevicePasswordLength è impostato su 4
- MinDevicePasswordComplexCharacters è impostato su 1
Se DevicePasswordEnabled è impostato su 1 (la password del dispositivo è disabilitata), i criteri DeviceLock seguenti sono impostati su 0:
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
DevicePasswordEnabled non deve essere impostato su Abilitato (0) quando WMI viene usato per impostare i criteri DeviceLock di EAS, dato che è abilitato per impostazione predefinita in Policy CSP per la compatibilità con le versioni precedenti con Windows 8.x. Se DevicePasswordEnabled è impostato su Enabled(0), il provider di servizi di configurazione dei criteri restituirà un errore che indica che DevicePasswordEnabled esiste già. Windows 8.x non supportava i criteri DevicePassword. Quando si disabilita DevicePasswordEnabled (1), deve essere l'unico set di criteri del gruppo di criteri DeviceLock elencato di seguito:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
Nota
DevicePasswordExpiration non è supportato tramite MDMWinsOverGP.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Abilitata. |
| 1 (impostazione predefinita) | Disabilitato. |
DevicePasswordExpiration
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration
Specifica quando la password scade (in giorni).
Se tutti i valori dei criteri = 0, allora 0; in caso contrario, il valore minimo dei criteri è il valore più sicuro.
Per altre informazioni su questo criterio, vedere Panoramica del motore dei criteri Exchange ActiveSync.
Nota
Questo criterio deve essere incluso in un comando Atomic.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-730] |
| Valore predefinito | 0 |
| Dipendenza [DeviceLock_DevicePasswordExpiration_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
DevicePasswordHistory
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory
Specifica il numero di password che è possibile archiviare nella cronologia che non è possibile usare.
Il valore include la password corrente dell'utente. Questo valore indica che con l'impostazione 1 l'utente non può riutilizzare la password corrente quando sceglie una nuova password, mentre un'impostazione 5 indica che un utente non può impostare la nuova password sulla password corrente o su una delle quattro password precedenti.
Il valore massimo dei criteri è il più limitato.
Per altre informazioni su questo criterio, vedere Panoramica del motore dei criteri Exchange ActiveSync.
Nota
Questo criterio deve essere incluso in un comando Atomic.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-50] |
| Valore predefinito | 0 |
| Dipendenza [DeviceLock_DevicePasswordHistory_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
EnforceLockScreenAndLogonImage
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
Specifica la schermata di blocco predefinita e l'immagine di accesso visualizzata quando nessun utente ha eseguito l'accesso. Imposta anche l'immagine specificata per tutti gli utenti, che sostituisce l'immagine predefinita. La stessa immagine viene usata sia per le schermate di blocco che per le schermate di accesso. Gli utenti non saranno in grado di modificare questa immagine. Il tipo di valore è una stringa, ovvero il percorso file dell'immagine completa e il nome del file.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
EnforceLockScreenProvider
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
MaxDevicePasswordFailedAttempts
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts
Numero di errori di autenticazione consentiti prima che il dispositivo venga cancellato. Il valore 0 disabilita la funzionalità di cancellazione del dispositivo.
Nota
Questo criterio deve essere incluso in un comando Atomic. Questo criterio presenta comportamenti diversi nel dispositivo mobile e nel desktop. In un dispositivo mobile, quando l'utente raggiunge il valore impostato da questo criterio, il dispositivo viene cancellato. Su un desktop, quando l'utente raggiunge il valore impostato da questo criterio, non viene cancellato. Al contrario, il desktop viene attivato in modalità di ripristino BitLocker, il che rende i dati inaccessibili ma recuperabili. Se BitLocker non è abilitato, i criteri non possono essere applicati. Prima di raggiungere il limite di tentativi non riusciti, l'utente viene inviato alla schermata di blocco e avvisato che altri tentativi non riusciti bloccheranno il computer. Quando l'utente raggiunge il limite, il dispositivo viene riavviato automaticamente e visualizza la pagina di ripristino di BitLocker. Questa pagina richiede all'utente la chiave di ripristino di BitLocker. Il valore più sicuro è 0 se tutti i valori dei criteri = 0; in caso contrario, il valore minimo dei criteri è il valore più sicuro. Per altre informazioni su questo criterio, vedere Panoramica del motore di criteri Exchange ActiveSync.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-999] |
| Valore predefinito | 0 |
| Dipendenza [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
MaximumPasswordAge
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge
Questa impostazione di sicurezza determina il periodo di tempo (in giorni) in cui una password può essere usata prima che il sistema richieda all'utente di modificarla. È possibile impostare le password in modo che scada dopo un numero di giorni compreso tra 1 e 999 oppure è possibile specificare che le password non scadono mai impostando il numero di giorni su 0. Se la durata massima della password è compresa tra 1 e 999 giorni, l'età minima della password deve essere inferiore alla validità massima della password. Se la validità massima della password è impostata su 0, la validità minima della password può essere qualsiasi valore compreso tra 0 e 998 giorni.
Nota
È consigliabile che le password scadono ogni 30-90 giorni, a seconda dell'ambiente in uso. In questo modo, un utente malintenzionato ha un periodo di tempo limitato in cui violare la password di un utente e avere accesso alle risorse di rete. Valore predefinito: 42.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-999] |
| Valore predefinito | 42 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Validità massima password |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
MaxInactivityTimeDeviceLock
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
Specifica la quantità massima di tempo (in minuti) consentita dopo che il dispositivo è inattivo, che causerà il blocco del PIN o della password del dispositivo. Gli utenti possono selezionare qualsiasi valore di timeout esistente inferiore al tempo massimo specificato nell'app Impostazioni.
In HoloLens questo timeout è controllato dal timeout di sospensione del sistema del dispositivo, indipendentemente dal valore impostato da questo criterio.
Nota
Questo criterio deve essere incluso in un comando Atomic.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-999] |
| Valore predefinito | 0 |
| Dipendenza [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
MaxInactivityTimeDeviceLockWithExternalDisplay
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
❌ Pro ❌ Enterprise ❌ Education ❌Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay
Imposta il valore di timeout massimo per la visualizzazione esterna.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [1-999] |
| Valore predefinito | 0 |
MinDevicePasswordComplexCharacters
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters
Numero di tipi di elementi complessi (lettere maiuscole e minuscole, numeri e punteggiatura) necessari per un PIN o una password complessa.
L'elenco seguente mostra i valori supportati e i valori applicati effettivi:
| Tipo di account | Valori supportati | Valori applicati effettivi |
|---|---|---|
| Account locali | 1,2,3 | 3 |
| Account Microsoft | 1,2 | <p2 |
| Account di dominio | Non supportato | Non supportato |
Valori applicati per gli account locali e Microsoft:
- Gli account locali supportano valori pari a 1, 2 e 3, ma applicano sempre un valore pari a 3.
- Le password per gli account locali devono soddisfare i requisiti minimi seguenti:
- Non contiene il nome dell'account dell'utente o parti del nome completo dell'utente che superano due caratteri consecutivi
- Essere di almeno sei caratteri di lunghezza
- Contiene caratteri di tre delle quattro categorie seguenti:
- Caratteri maiuscoli inglesi (da A a Z)
- Caratteri minuscoli inglesi (da a a z)
- Cifre di base 10 (da 0 a 9)
- Caratteri speciali (!, $, #, %e così via)
L'applicazione dei criteri per gli account Microsoft avviene nel server e il server richiede una lunghezza della password pari a 8 e una complessità pari a 2. Un valore di complessità pari a 3 o 4 non è supportato e l'impostazione di questo valore nel server rende gli account Microsoft non conformi.
Per altre informazioni su questo criterio, vedere panoramica del motore dei criteri di Exchange ActiveSync e articolo della Knowledge Base.
Nota
Questo criterio deve essere incluso in un comando Atomic. Usare sempre il comando Sostituisci anziché Aggiungi per questo criterio in Windows per le edizioni desktop.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] | Tipo di dipendenza: DependsOn DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired Valore consentito per le dipendenze: [0] [0] Tipo di valore consentito per le dipendenze: Range Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 1 (impostazione predefinita) | Solo cifre. |
| 2 | Sono necessarie cifre e lettere minuscole. |
| 3 | Sono necessarie lettere minuscole e lettere maiuscole. Non supportato negli account Microsoft desktop e negli account di dominio. |
| 4 | Sono necessarie lettere minuscole e caratteri speciali. Non supportato nel desktop. |
MinDevicePasswordLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
Specifica il numero minimo o i caratteri necessari nel PIN o nella password.
Il valore massimo dei criteri è il più limitato.
Per altre informazioni su questo criterio, vedere panoramica del motore dei criteri di Exchange ActiveSync e articolo della Knowledge Base.
Nota
Questo criterio deve essere incluso in un comando Atomic. Usare sempre il comando Sostituisci anziché Aggiungi per questo criterio in Windows per le edizioni desktop.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [4-16] |
| Valore predefinito | 4 |
| Dipendenza [DeviceLock_MinDevicePasswordLength_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valore consentito per le dipendenze: [0] Tipo di valore consentito per le dipendenze: Range |
Esempio:
Nell'esempio seguente viene illustrato come impostare la lunghezza minima della password su 4 caratteri.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
MinimumPasswordAge
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge
Questa impostazione di sicurezza determina il periodo di tempo (in giorni) in cui deve essere usata una password prima che l'utente possa modificarla. È possibile impostare un valore compreso tra 1 e 998 giorni oppure consentire immediatamente le modifiche impostando il numero di giorni su 0. La validità minima della password deve essere inferiore alla validità massima della password, a meno che la validità massima della password non sia impostata su 0, a indicare che le password non scadranno mai. Se la validità massima della password è impostata su 0, la validità minima della password può essere impostata su qualsiasi valore compreso tra 0 e 998. Configurare la validità minima della password in modo che sia superiore a 0 se si vuole che la cronologia delle password sia efficace. Senza una validità minima delle password, gli utenti possono scorrere ripetutamente le password fino a raggiungere un vecchio preferito. L'impostazione predefinita non segue questa raccomandazione, in modo che un amministratore possa specificare una password per un utente e quindi richiedere all'utente di modificare la password definita dall'amministratore quando l'utente accede. Se la cronologia delle password è impostata su 0, l'utente non deve scegliere una nuova password. Per questo motivo, imponi cronologia password è impostato su 1 per impostazione predefinita.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-998] |
| Valore predefinito | 1 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Validità minima password |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
MinimumPasswordLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength
Questa impostazione di sicurezza determina il numero minimo di caratteri che una password per un account utente può contenere. Il valore massimo per questa impostazione dipende dal valore dell'impostazione Distendi limiti di lunghezza minima della password. Se l'impostazione Relax minimum password length limits non è definita, questa impostazione può essere configurata da 0 a 14. Se l'impostazione Relax minimum password length limits è definita e disabilitata, questa impostazione può essere configurata da 0 a 14. Se l'impostazione Relax minimum password length limits è definita e abilitata, questa impostazione può essere configurata da 0 a 128. Se si imposta il numero di caratteri richiesto su 0, non è necessaria alcuna password.
Nota
Per impostazione predefinita, i computer membri seguono la configurazione dei controller di dominio. Valori predefiniti: 7 nei controller di dominio 0 nei server autonomi La configurazione di questa impostazione maggiore di 14 può influire sulla compatibilità con client, servizi e applicazioni. È consigliabile configurare questa impostazione solo con dimensioni superiori a 14 dopo aver usato l'impostazione di controllo Lunghezza minima password per verificare la presenza di potenziali incompatibilità nella nuova impostazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-128] |
| Valore predefinito | 0 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Lunghezza minima password |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
MinimumPasswordLengthAudit
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit
Questa impostazione di sicurezza determina la lunghezza minima della password per cui vengono generati gli eventi di avviso di controllo della lunghezza della password. Questa impostazione può essere configurata da 1 a 128. È consigliabile abilitare e configurare questa impostazione solo quando si tenta di determinare il potenziale effetto dell'aumento dell'impostazione di lunghezza minima della password nell'ambiente. Se questa impostazione non è definita, gli eventi di controllo non verranno generati. Se questa impostazione è definita ed è minore o uguale all'impostazione di lunghezza minima della password, gli eventi di controllo non verranno generati. Se questa impostazione è definita ed è maggiore dell'impostazione di lunghezza minima della password e la lunghezza di una nuova password dell'account è inferiore a questa impostazione, verrà generato un evento di controllo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [1-128] |
| Valore predefinito | 4294967295 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Controllo della lunghezza minima delle password |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
PasswordComplexity
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity
La password deve soddisfare i requisiti di complessità. Questa impostazione di sicurezza determina se le password devono soddisfare i requisiti di complessità. Se questo criterio è abilitato, le password devono soddisfare i requisiti minimi seguenti:
- Non contiene il nome dell'account dell'utente o parti del nome completo dell'utente che superano due caratteri consecutivi
- Essere di almeno sei caratteri di lunghezza
- Contiene caratteri di tre delle quattro categorie seguenti:
- Caratteri maiuscoli inglesi (da A a Z)
- Caratteri minuscoli inglesi (da a a z)
- Cifre di base 10 (da 0 a 9)
- Caratteri non alfabetici (ad esempio, !, $, #, %)
I requisiti di complessità vengono applicati quando le password vengono modificate o create.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-1] |
| Valore predefinito | 1 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Le password devono essere conformi ai requisiti di complessità |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
PasswordHistorySize
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize
Imponi cronologia password Questa impostazione di sicurezza determina il numero di nuove password univoche che devono essere associate a un account utente prima di poter riutilizzare una password precedente. Il valore deve essere compreso tra 0 e 24 password. Questo criterio consente agli amministratori di migliorare la sicurezza garantendo che le password precedenti non vengano riutilizzate continuamente. Impostazione predefinita: 24 nei controller di dominio. 0 nei server autonomi.
Nota
Per impostazione predefinita, i computer membri seguono la configurazione dei controller di dominio. Per mantenere l'efficacia della cronologia delle password, non consentire la modifica delle password immediatamente dopo che sono state appena modificate abilitando anche l'impostazione dei criteri di sicurezza durata minima password. Per informazioni sull'impostazione dei criteri di sicurezza per l'età minima delle password, vedere Validità minima della password.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-24] |
| Valore predefinito | 24 |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Imporre cronologia delle password |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
PreventEnablingLockScreenCamera
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera
Disabilita l'interruttore della fotocamera della schermata di blocco in Impostazioni PC e impedisce che una fotocamera venga richiamata nella schermata di blocco.
Per impostazione predefinita, gli utenti possono abilitare la chiamata di una fotocamera disponibile nella schermata di blocco.
Se abiliti questa impostazione, gli utenti non saranno più in grado di abilitare o disabilitare l'accesso alla fotocamera della schermata di blocco in Impostazioni PC e la fotocamera non può essere richiamata nella schermata di blocco.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | CPL_Personalization_NoLockScreenCamera |
| Nome descrittivo | Impedisci l'abilitazione della fotocamera della schermata di blocco |
| Posizione | Configurazione computer |
| Percorso | > personalizzazione Pannello di controllo |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\Personalization |
| Nome del valore del registro | NoLockScreenCamera |
| Nome file ADMX | ControlPanelDisplay.admx |
PreventLockScreenSlideShow
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
Disabilita le impostazioni della presentazione della schermata di blocco in Impostazioni PC e impedisce la riproduzione di una presentazione nella schermata di blocco.
Per impostazione predefinita, gli utenti possono abilitare una presentazione che verrà eseguita dopo aver bloccato il computer.
Se si abilita questa impostazione, gli utenti non saranno più in grado di modificare le impostazioni della presentazione in Impostazioni PC e non verrà mai avviata alcuna presentazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | CPL_Personalization_NoLockScreenSlideshow |
| Nome descrittivo | Impedisci abilitazione della presentazione nella schermata di blocco |
| Posizione | Configurazione computer |
| Percorso | > personalizzazione Pannello di controllo |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Windows\Personalization |
| Nome del valore del registro | NoLockScreenSlideshow |
| Nome file ADMX | ControlPanelDisplay.admx |
RelaxMinimumPasswordLengthLimits
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits
Questa impostazione controlla se l'impostazione della lunghezza minima della password può essere aumentata oltre il limite legacy di 14. Se questa impostazione non è definita, la lunghezza minima della password può essere configurata su non più di 14. Se questa impostazione è definita e disabilitata, la lunghezza minima della password può essere configurata su non più di 14. Se questa impostazione è definita e abilitata, la lunghezza minima della password può essere configurata più di 14.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | Ridurre la lunghezza minima della password |
| Percorso | Impostazioni di > windows Impostazioni di > sicurezza Criteri > account Criteri password |
ScreenTimeoutWhileLocked
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked
Specifica se visualizzare un'impostazione configurabile dall'utente per controllare il timeout dello schermo nella schermata di blocco dei dispositivi Windows 10 Mobile.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [10-1800] |
| Valore predefinito | 10 |