Provider di servizi di configurazione dei criteri - Sicurezza
AllowAddProvisioningPackage
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
Specifica se consentire all'agente di configurazione di runtime di installare i pacchetti di provisioning.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AllowManualRootCertificateInstallation
Nota
Questo criterio è deprecato e può essere rimosso in una versione futura.
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
❌ Pro ❌ Enterprise ❌ Education ❌Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
questa impostazione è deprecata.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AllowRemoveProvisioningPackage
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
Specifica se consentire all'agente di configurazione del runtime di rimuovere i pacchetti di provisioning.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Operazione non consentita. |
| 1 (impostazione predefinita) | Consentito. |
AntiTheftMode
Nota
Questo criterio è deprecato e può essere rimosso in una versione futura.
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
Non applicabile | ✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
questa impostazione è deprecata.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Disabilitato. |
| 1 (impostazione predefinita) | Abilitata. |
ClearTPMIfNotReady
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1709 [10.0.16299] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
Questa impostazione di criterio configura il sistema per richiedere all'utente di cancellare il TPM se viene rilevato che il TPM si trova in uno stato diverso da Pronto. Questo criterio avrà effetto solo se il TPM del sistema si trova in uno stato diverso da Pronto, incluso se il TPM è "Pronto, con funzionalità ridotte". La richiesta di cancellazione del TPM verrà avviata dopo il riavvio successivo, all'accesso utente solo se l'utente connesso fa parte del gruppo Administrators per il sistema. La richiesta può essere ignorata, ma verrà nuovamente visualizzata dopo ogni riavvio e accesso fino a quando il criterio non viene disabilitato o finché il TPM non è in uno stato Pronto.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Non forza il ripristino da uno stato TPM non pronto. |
| 1 | Richiederà di cancellare il TPM se il TPM è in uno stato non pronto (o con funzionalità ridotte) che può essere corretto con un TPM Clear. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | ClearTPMIfNotReady_Name |
| Nome descrittivo | Configurare il sistema per cancellare il TPM se non è pronto. |
| Posizione | Configurazione computer |
| Percorso | System > Trusted Platform Module Services |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\TPM |
| Nome del valore del registro | ClearTPMIfNotReadyGP |
| Nome file ADMX | TPM.admx |
ConfigurareWindowsPasswords
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Configura l'uso delle password per le funzionalità di Windows.
Nota
Questo criterio è supportato solo in Windows 10 S.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 2 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Non consentire le password (le credenziali asimmetriche verranno alzate di livello per sostituire le password nelle funzionalità di Windows). |
| 1 | Consenti password (le password continuano a essere usate per le funzionalità di Windows). |
| 2 (impostazione predefinita) | In base alle funzionalità dello SKU e del dispositivo. Windows 10 i dispositivi S mostreranno l'impostazione predefinita "Non consentire le password" e tutti gli altri dispositivi avranno il valore predefinito "Consenti password". |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
Specifica se consentire la crittografia automatica del dispositivo durante la configurazione guidata quando il dispositivo viene Microsoft Entra aggiunto.
Per altre informazioni, vedere Crittografia dispositivo BitLocker
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Crittografia abilitata. |
| 1 | Crittografia disabilitata. |
RecoveryEnvironmentAuthentication
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ✅ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
Questo criterio controlla il requisito dell'autenticazione Amministrazione in RecoveryEnvironment.
Procedura di convalida:
Per convalidare questo criterio, controllare se l'aggiornamento ("Mantieni i file") e la reimpostazione ("Rimuovi tutto") richiedono l'autenticazione dell'amministratore in Ambiente ripristino Windows (WinRE).
- Per prima cosa, avviare Reimpostazione pulsante push (PBR) in WinRE. Aprire un prompt dei comandi come amministratore ed eseguire il comando seguente:
reagentc /boottore - Il dispositivo deve essere riavviato in WinRE. Nell'interfaccia di Ambiente ripristino Windows passare a Risoluzione dei problemi e selezionare Reimposta il PC. Verranno visualizzate due opzioni: Mantieni i file e Rimuovi tutto.
- Scegliere l'opzione Mantieni i file. Visualizzare il comportamento per l'autenticazione.
- Selezionare la freccia indietro e scegliere Rimuovi tutto. Visualizzare il comportamento per l'autenticazione.
Invece di tornare indietro, in alternativa è possibile passare attraverso le opzioni di reimpostazione e selezionare Annulla nella pagina di conferma finale. Verrà quindi restituita l'interfaccia WinRE principale.
La tabella seguente illustra il comportamento previsto per le impostazioni dei criteri per ogni scenario:
- ✔️ Richiede l'autenticazione.
- ❌ Non è necessaria alcuna autenticazione e continua con le opzioni di reimpostazione.
| Criteri | Mantenere i file | Rimuovi tutto |
|---|---|---|
Impostazione predefinita (0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Comportamento corrente. |
| 1 | RequireAuthentication: l'autenticazione Amministrazione è sempre necessaria per i componenti in RecoveryEnvironment. |
| 2 | NoRequireAuthentication: l'autenticazione Amministrazione non è necessaria per i componenti in RecoveryEnvironment. |
RequireDeviceEncryption
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1607 [10.0.14393] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
Consente all'azienda di attivare la crittografia dell'archiviazione interna. Il valore con più restrizioni è 1. Importante. Se la crittografia è stata abilitata, non può essere disattivata usando questo criterio.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | La crittografia non è necessaria. |
| 1 | È necessaria la crittografia. |
RequireProvisioningPackageSignature
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
Specifica se i pacchetti di provisioning devono avere un certificato firmato da un'autorità attendibile del dispositivo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Non richiesta. |
| 1 | Obbligatorio. |
RequireRetrieveHealthCertificateOnBoot
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1507 [10.0.10240] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
Specifica se recuperare e registrare i log di avvio del TCG e ottenere o memorizzare nella cache un report di attestazione dell'integrità crittografato o firmato dal servizio di attestazione Microsoft Health al riavvio o all'avvio di un dispositivo. L'impostazione di questo criterio su 1 (Obbligatorio) :D determina se un dispositivo è in grado di attestazione remota dell'integrità del dispositivo, verificando se il dispositivo dispone di TPM 2. 0. Migliora le prestazioni del dispositivo consentendo al dispositivo di recuperare e memorizzare i dati nella cache per ridurre la latenza durante la verifica dell'integrità del dispositivo.
Nota
È consigliabile impostare questo criterio su Obbligatorio dopo la registrazione MDM. Il valore con più restrizioni è 1.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Non richiesta. |
| 1 | Obbligatorio. |