Política CSP – Kerberos

Dica

Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.

A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.

AllowForestSearchOrder

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

Essa configuração de política define a lista de florestas confiáveis que o cliente Kerberos pesquisa ao tentar resolve SPNs (nomes de entidade de serviço de duas partes).

  • Se você habilitar essa configuração de política, o cliente Kerberos pesquisará as florestas nesta lista, se não conseguir resolve um SPN de duas partes. Se uma correspondência for encontrada, o cliente Kerberos solicitará um tíquete de referência para o domínio apropriado.

  • Se você desabilitar ou não configurar essa configuração de política, o cliente Kerberos não pesquisará as florestas listadas para resolve o SPN. Se o cliente Kerberos não conseguir resolve o SPN porque o nome não foi encontrado, a autenticação NTLM poderá ser usada.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome ForestSearch
Nome Amigável Usar a ordem de pesquisa florestal
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro UseForestSearch
Nome do Arquivo ADMX Kerberos.admx

CloudKerberosTicketRetrievalEnabled

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

Essa configuração de política permite recuperar o Tíquete de Concessão de Tíquete Kerberos Microsoft Entra durante o logon.

  • Se você desabilitar ou não configurar essa configuração de política, o Tíquete de Concessão de Tíquete kerberos Microsoft Entra não será recuperado durante o logon.

  • Se você habilitar essa configuração de política, o Tíquete de Concessão de Tíquete kerberos Microsoft Entra será recuperado durante o logon.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilitado.
1 Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome CloudKerberosTicketRetrievalEnabled
Nome Amigável Permitir a recuperação do tíquete de concessão de tíquete kerberos Azure AD durante o logon
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro CloudKerberosTicketRetrievalEnabled
Nome do Arquivo ADMX Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

Essa configuração de política controla se um dispositivo solicitará declarações e autenticação composta para o blindamento do Dynamic Controle de Acesso e Kerberos usando a autenticação Kerberos com domínios que dão suporte a esses recursos.

  • Se você habilitar essa configuração de política, os computadores cliente solicitarão declarações, fornecerão informações necessárias para criar autenticação composta e blindar mensagens Kerberos em domínios que dão suporte a declarações e autenticação composta para blindagem do Dynamic Controle de Acesso e Kerberos.

  • Se você desabilitar ou não configurar essa configuração de política, os dispositivos cliente não solicitarão declarações, fornecerão informações necessárias para criar autenticação composta e blindar mensagens Kerberos. Os serviços hospedados no dispositivo não poderão recuperar declarações para clientes usando a transição de protocolo Kerberos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome EnableCbacAndArmor
Nome Amigável Suporte ao cliente Kerberos para declarações, autenticação composta e blindagem Kerberos
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro EnableCbacAndArmor
Nome do Arquivo ADMX Kerberos.admx

PKInitHashAlgorithmConfiguration

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 22H2 [10.0.22621] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

Essa configuração de política controla algoritmos de hash ou check-um usados pelo cliente Kerberos ao executar a autenticação de certificado.

  • Se você habilitar essa política, poderá configurar um dos quatro estados para cada algoritmo:

  • "Padrão" define o algoritmo como o estado recomendado.

  • "Com suporte" permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.

  • "Auditado" permite o uso do algoritmo e relata um evento (ID 206) toda vez que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.

  • "Não suportado" desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.

  • Se você desabilitar ou não configurar essa política, cada algoritmo assumirá o estado "Padrão".

Eventos gerados por essa configuração: 205, 206, 207, 208.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilitado/ não configurado.
1 Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome PKInitHashAlgorithmConfiguration
Nome Amigável Configurar algoritmos de hash para logon de certificado
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro PKInitHashAlgorithmConfigurationEnabled
Nome do Arquivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA1

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 22H2 [10.0.22621] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

Essa configuração de política controla a configuração do algoritmo SHA1 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:

  • 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
  • 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
  • 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
  • 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.

Se você não configurar essa política, o algoritmo SHA1 assumirá o estado Padrão .

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependência: DependsOn
URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependência: [1]
Tipo de valor permitido de dependência: Range

Valores Permitidos:

Valor Descrição
0 Não há suporte.
1 (Padrão) Padrão.
2 Auditadas.
3 Com suporte.

Mapeamento de política de grupo:

Nome Valor
Nome PKInitHashAlgorithmConfiguration
Nome Amigável Configurar algoritmos de hash para logon de certificado
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro PKInitHashAlgorithmConfigurationEnabled
Nome do Arquivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA256

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 22H2 [10.0.22621] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

Essa configuração de política controla a configuração do algoritmo SHA256 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:

  • 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
  • 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
  • 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
  • 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.

Se você não configurar essa política, o algoritmo SHA256 assumirá o estado Padrão .

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependência: DependsOn
URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependência: [1]
Tipo de valor permitido de dependência: Range

Valores Permitidos:

Valor Descrição
0 Não há suporte.
1 (Padrão) Padrão.
2 Auditadas.
3 Com suporte.

Mapeamento de política de grupo:

Nome Valor
Nome PKInitHashAlgorithmConfiguration
Nome Amigável Configurar algoritmos de hash para logon de certificado
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro PKInitHashAlgorithmConfigurationEnabled
Nome do Arquivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA384

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 22H2 [10.0.22621] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

Essa configuração de política controla a configuração do algoritmo SHA384 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:

  • 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
  • 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
  • 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
  • 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.

Se você não configurar essa política, o algoritmo SHA384 assumirá o estado Padrão .

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependência: DependsOn
URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependência: [1]
Tipo de valor permitido de dependência: Range

Valores Permitidos:

Valor Descrição
0 Não há suporte.
1 (Padrão) Padrão.
2 Auditadas.
3 Com suporte.

Mapeamento de política de grupo:

Nome Valor
Nome PKInitHashAlgorithmConfiguration
Nome Amigável Configurar algoritmos de hash para logon de certificado
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro PKInitHashAlgorithmConfigurationEnabled
Nome do Arquivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA512

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 22H2 [10.0.22621] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

Essa configuração de política controla a configuração do algoritmo SHA512 usado pelo cliente Kerberos ao executar a autenticação de certificado. Essa política só será imposta se Kerberos/PKInitHashAlgorithmConfiguration estiver habilitada. Você pode configurar um dos quatro estados para este algoritmo:

  • 0 – Sem suporte: esse estado desabilita o uso do algoritmo. Esse estado destina-se a algoritmos considerados inseguros.
  • 1 – Padrão: esse estado define o algoritmo como o estado recomendado.
  • 2 – Auditado: esse estado permite o uso do algoritmo e relata um evento (ID 206) sempre que ele é usado. Esse estado destina-se a verificar se o algoritmo não está sendo usado e pode ser desabilitado com segurança.
  • 3 – Com suporte: esse estado permite o uso do algoritmo. Habilitar algoritmos que foram desabilitados por padrão pode reduzir sua segurança.

Se você não configurar essa política, o algoritmo SHA512 assumirá o estado Padrão .

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependência: DependsOn
URI de dependência: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependência: [1]
Tipo de valor permitido de dependência: Range

Valores Permitidos:

Valor Descrição
0 Não há suporte.
1 (Padrão) Padrão.
2 Auditadas.
3 Com suporte.

Mapeamento de política de grupo:

Nome Valor
Nome PKInitHashAlgorithmConfiguration
Nome Amigável Configurar algoritmos de hash para logon de certificado
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro PKInitHashAlgorithmConfigurationEnabled
Nome do Arquivo ADMX Kerberos.admx

RequireKerberosArmoring

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

Essa configuração de política controla se um computador exige que as trocas de mensagens Kerberos sejam blindadas ao se comunicar com um controlador de domínio.

Aviso

Quando um domínio não dá suporte ao blindamento Kerberos habilitando "Suporte ao blindamento dinâmico Controle de Acesso e Kerberos", toda a autenticação para todos os seus usuários falhará em computadores com essa configuração de política habilitada.

  • Se você habilitar essa configuração de política, os computadores cliente no domínio imporão o uso do blindamento Kerberos somente em trocas de mensagens TGS (serviço de autenticação) e TGS (serviço de concessão de tíquetes) com os controladores de domínio.

Observação

Os Kerberos Política de Grupo "Suporte ao cliente Kerberos para declarações, autenticação composta e blindagem Kerberos" também devem estar habilitados para dar suporte ao blindamento Kerberos.

  • Se você desabilitar ou não configurar essa configuração de política, os computadores cliente no domínio imporão o uso do blindamento Kerberos quando possível, conforme suportado pelo domínio de destino.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome ClientRequireFast
Nome Amigável Solicitações de autenticação de falha quando o blindamento Kerberos não está disponível
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro RequireFast
Nome do Arquivo ADMX Kerberos.admx

RequireStrictKDCValidation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

Essa configuração de política controla o comportamento do cliente Kerberos na validação do certificado KDC para cartão inteligente e logon de certificado do sistema.

  • Se você habilitar essa configuração de política, o cliente Kerberos exigirá que o certificado X.509 do KDC contenha o identificador de objeto de finalidade de chave KDC nas extensões EKU (Uso de Chave Estendida) e que o certificado X.509 do KDC contenha uma extensão dNSName subjectAltName (SAN) que corresponda ao nome DNS do domínio. Se o computador for ingressado em um domínio, o cliente Kerberos exigirá que o certificado X.509 do KDC seja assinado por uma AUTORIDADE de Certificado (AC) no repositório NTAuth. Se o computador não for ingressado em um domínio, o cliente Kerberos permitirá que o certificado de AC raiz no cartão inteligente seja usado na validação de caminho do certificado X.509 do KDC.

  • Se você desabilitar ou não configurar essa configuração de política, o cliente Kerberos exigirá apenas que o certificado KDC contenha o identificador de objeto de finalidade autenticação do servidor nas extensões EKU que podem ser emitidas para qualquer servidor.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome ValidateKDC
Nome Amigável Exigir validação estrita do KDC
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome do Valor do Registro KdcValidation
Nome do Arquivo ADMX Kerberos.admx

SetMaximumContextTokenSize

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

Essa configuração de política permite definir o valor retornado aos aplicativos que solicitam o tamanho máximo do tamanho do buffer do token de contexto SSPI.

O tamanho do buffer de token de contexto determina o tamanho máximo dos tokens de contexto SSPI que um aplicativo espera e aloca. Dependendo do processamento de solicitação de autenticação e associações de grupo, o buffer pode ser menor do que o tamanho real do token de contexto SSPI.

  • Se você habilitar essa configuração de política, o cliente ou servidor Kerberos usará o valor configurado ou o valor máximo permitido localmente, o que for menor.

  • Se você desabilitar ou não configurar essa configuração de política, o cliente ou servidor Kerberos usará o valor configurado localmente ou o valor padrão.

Observação

Essa configuração de política configura o valor de registro MaxTokenSize existente no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, que foi adicionado no Windows XP e no Windows Server 2003, com um valor padrão de 12.000 bytes. Começando com Windows 8 o padrão é 48.000 bytes. Devido à codificação base64 do HTTP de tokens de contexto de autenticação, não é recomendável definir esse valor em mais de 48.000 bytes.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome Valor
Nome MaxTokenSize
Nome Amigável Definir o tamanho máximo do buffer de token de contexto do Kerberos SSPI
Localização Configuração do Computador
Caminho Sistema > Kerberos
Nome da Chave do Registro System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nome do Valor do Registro EnableMaxTokenSize
Nome do Arquivo ADMX Kerberos.admx

UPNNameHints

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

Os dispositivos unidos ao Microsoft Entra ID em um ambiente híbrido precisam interagir com Domínio do Active Directory Controladores, mas não têm a capacidade interna de encontrar um Controlador de Domínio que um dispositivo ingressado no domínio tenha. Isso pode causar falhas quando esse dispositivo precisa resolve um MICROSOFT ENTRA UPN em uma Entidade do Active Directory. Esse parâmetro adiciona uma lista de domínios que um Microsoft Entra dispositivo ingressado deve tentar contatar se não for possível resolve um UPN a uma entidade de segurança.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Provedor de serviço da configuração de política