Política CSP - DeviceLock

Dica

Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).

O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.

Importante

O DeviceLock CSP utiliza o Motor de Política Exchange ActiveSync. Quando são aplicadas regras de complexidade e comprimento da palavra-passe, todas as contas de administrador e utilizador local são marcadas para alterar a palavra-passe no próximo início de sessão para garantir que os requisitos de complexidade são cumpridos. Para obter mais informações, veja Duração e complexidade da palavra-passe suportadas por tipos de conta.

AccountLockoutPolicy

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy

Limiar de bloqueio de conta – esta definição de segurança determina o número de tentativas de início de sessão falhadas que fazem com que uma conta de utilizador seja bloqueada. Não é possível utilizar uma conta bloqueada até ser reposta por um administrador ou até que a duração do bloqueio da conta tenha expirado. Pode definir um valor entre 0 e 999 tentativas de início de sessão falhadas. Se definir o valor como 0, a conta nunca será bloqueada. As tentativas de palavra-passe falhadas em relação a estações de trabalho ou servidores membros que tenham sido bloqueados através de CTRL+ALT+DELETE ou de proteção por palavra-passe são contabilizadas como tentativas de início de sessão falhadas. Predefinição: 0 Duração do bloqueio da conta – esta definição de segurança determina o número de minutos em que uma conta bloqueada permanece bloqueada antes de ser desbloqueada automaticamente. O intervalo disponível é de 0 a 99 9999 minutos. Se definir a duração do bloqueio da conta para 0, a conta será bloqueada até que um administrador a desbloqueie explicitamente. Se for definido um limiar de bloqueio de conta, a duração do bloqueio da conta tem de ser maior ou igual ao tempo de reposição. Predefinição: Nenhuma, porque esta definição de política só tem significado quando é especificado um limiar de bloqueio de Conta. Repor o contador de bloqueio da conta após – esta definição de segurança determina o número de minutos que têm de decorrido após uma tentativa de início de sessão falhada antes de o contador de tentativa de início de sessão falhado ser reposto para 0 tentativas de início de sessão incorretas. O intervalo disponível é de 1 minuto a 99 9999 minutos. Se for definido um limiar de bloqueio de conta, este tempo de reposição tem de ser inferior ou igual à duração do bloqueio da Conta. Predefinição: Nenhuma, porque esta definição de política só tem significado quando é especificado um limiar de bloqueio de Conta.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

AllowAdministratorLockout

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout

Permitir bloqueio da conta de Administrador Esta definição de segurança determina se a conta de Administrador incorporada está sujeita à política de bloqueio de conta.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Permitir bloqueio da conta de Administrador
Caminho Definições de Segurança definições > do Windows Políticas > de Conta Políticas > de Bloqueio de Conta

AllowIdleReturnWithoutPassword

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ❌
Corporativo ❌
Educação ❌
Windows SE ❌
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ❌
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword

Especifica se o utilizador tem de introduzir um PIN ou palavra-passe quando o dispositivo sai de um estado inativo.

Observação

Atualmente, esta política só é suportada no HoloLens 2, HoloLens (1.ª geração) Commercial Suite e HoloLens (1.ª geração) Development Edition.

Observação

Esta política tem de ser encapsulada num comando atómico.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

Valores Permitidos:

Valor Descrição
0 Não permitido.
1 (Predefinição) Permitido.

AllowScreenTimeoutWhileLockedUserConfig

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1607 [10.0.14393] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

Especifica se pretende mostrar uma definição configurável pelo utilizador para controlar o tempo limite do ecrã no ecrã de bloqueio de Windows 10 Mobile dispositivos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
1 Permitir.
0 (Padrão) Bloqueio.

AllowSimpleDevicePassword

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword

Especifica se são permitidos PINs ou palavras-passe como 1111 ou 1234. Para a área de trabalho, ele também controla o uso de senhas com imagem.

Para obter mais informações sobre esta política, veja Descrição Geral do Motor de Política Exchange ActiveSync.

Observação

Esta política tem de ser encapsulada num comando atómico.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

Valores Permitidos:

Valor Descrição
0 Não permitido.
1 (Predefinição) Permitido.

AlphanumericDevicePasswordRequired

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired

Determina o tipo de PIN ou palavra-passe necessário. Esta política só se aplica se a política DeviceLock/DevicePasswordEnabled estiver definida como 0.

Observação

Se AlphanumericDevicePasswordRequired estiver definido como 1 ou 2, minDevicePasswordLength = 0 e MinDevicePasswordComplexCharacters = 1. Se AlphanumericDevicePasswordRequired estiver definido como 0, MinDevicePasswordLength = 4 e MinDevicePasswordComplexCharacters = 2.

Observação

Esta política tem de ser encapsulada num comando atómico. Utilize sempre o comando Substituir em vez de Adicionar para esta política no Windows para edições de ambiente de trabalho (Home, Pro, Enterprise e Education).

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 2
Dependência [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

Valores Permitidos:

Valor Descrição
0 Palavra-passe ou PIN Alfanumérico obrigatório.
1 Palavra-passe ou PIN Numérico obrigatório.
2 (Predefinição) Palavra-passe, PIN Numérico ou PIN Alfanumérico obrigatório.

ClearTextPassword

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword

Armazenar palavras-passe com encriptação reversível Esta definição de segurança determina se o sistema operativo armazena palavras-passe com encriptação reversível. Esta política fornece suporte para aplicações que utilizam protocolos que requerem conhecimento da palavra-passe do utilizador para fins de autenticação. Armazenar palavras-passe com encriptação reversível é essencialmente o mesmo que armazenar versões de texto simples das palavras-passe. Por este motivo, esta política nunca deve ser ativada, a menos que os requisitos da aplicação superem a necessidade de proteger as informações de palavra-passe. Esta política é necessária ao utilizar Challenge-Handshake autenticação do Protocolo de Autenticação (CHAP) através do acesso remoto ou dos Serviços de Autenticação internet (IAS). Também é necessário ao utilizar a Autenticação Resumida nos Serviços de Informação Internet (IIS).

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Armazenar senhas usando criptografia reversível
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

DevicePasswordEnabled

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled

Especifica se o bloqueio do dispositivo está ativado.

Observação

Esta política tem de ser encapsulada num comando atómico. Utilize sempre o comando Substituir em vez de Adicionar para esta política no Windows para edições de ambiente de trabalho.

Importante

A definição DevicePasswordEnabled tem de ser definida como 0 (a palavra-passe do dispositivo está ativada) para que as seguintes definições de política entrem em vigor:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters

Se DevicePasswordEnabled estiver definido como 0 (a palavra-passe do dispositivo está ativada), as seguintes políticas serão definidas:

  • MinDevicePasswordLength está definido como 4
  • MinDevicePasswordComplexCharacters está definido como 1

Se DevicePasswordEnabled estiver definido como 1 (a palavra-passe do dispositivo está desativada), as seguintes políticas DeviceLock estão definidas como 0:

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

DevicePasswordEnabled não deve ser definido como Ativado (0) quando o WMI é utilizado para definir as políticas EAS DeviceLock, uma vez que está Ativado por predefinição no CSP de Política para retrocompatibilidade com Windows 8.x. Se DevicePasswordEnabled estiver definido como Ativado(0), o CSP de Política devolverá um erro a indicar que DevicePasswordEnabled já existe. Windows 8.x não suportava a política DevicePassword. Ao desativar DevicePasswordEnabled (1), deve ser a única política definida a partir do grupo de políticas DeviceLock listado abaixo:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MinDevicePasswordComplexCharacters
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock

Observação

DevicePasswordExpiration não é suportado através de MDMWinsOverGP.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Enabled.
1 (Predefinição) Desabilitado.

DevicePasswordExpiration

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration

Especifica quando a palavra-passe expira (em dias).

Se todos os valores de política = 0, então 0; caso contrário, o valor mínimo da política é o valor mais seguro.

Para obter mais informações sobre esta política, veja Descrição Geral do Motor de Política Exchange ActiveSync.

Observação

Esta política tem de ser encapsulada num comando atómico.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-730]
Valor Padrão 0
Dependência [DeviceLock_DevicePasswordExpiration_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

DevicePasswordHistory

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory

Especifica quantas palavras-passe podem ser armazenadas no histórico que não podem ser utilizadas.

O valor inclui a palavra-passe atual do utilizador. Este valor indica que, com uma definição de 1, o utilizador não pode reutilizar a palavra-passe atual ao escolher uma nova palavra-passe, enquanto uma definição de 5 significa que um utilizador não pode definir a nova palavra-passe para a palavra-passe atual ou qualquer uma das quatro palavras-passe anteriores.

O valor máximo da política é o mais restrito.

Para obter mais informações sobre esta política, veja Descrição Geral do Motor de Política Exchange ActiveSync.

Observação

Esta política tem de ser encapsulada num comando atómico.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-50]
Valor Padrão 0
Dependência [DeviceLock_DevicePasswordHistory_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

EnforceLockScreenAndLogonImage

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1607 [10.0.14393] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Especifica o ecrã de bloqueio predefinido e a imagem de início de sessão apresentada quando nenhum utilizador tem sessão iniciada. Também define a imagem especificada para todos os utilizadores, que substitui a imagem predefinida. A mesma imagem é utilizada para os ecrãs de bloqueio e início de sessão. Os utilizadores não poderão alterar esta imagem. O tipo de valor é uma cadeia, que é o caminho de ficheiro e nome de ficheiro de imagem completos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

EnforceLockScreenProvider

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1607 [10.0.14393] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

MaxDevicePasswordFailedAttempts

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts

O número de falhas de autenticação permitidas antes de o dispositivo ser apagado. Um valor de 0 desativa a funcionalidade de eliminação de dados do dispositivo.

Observação

Esta política tem de ser encapsulada num comando atómico. Esta política tem comportamentos diferentes no dispositivo móvel e no ambiente de trabalho. Num dispositivo móvel, quando o utilizador atinge o valor definido por esta política, o dispositivo é apagado. Num ambiente de trabalho, quando o utilizador atinge o valor definido por esta política, não é apagado. Em vez disso, o ambiente de trabalho é colocado no modo de recuperação BitLocker, o que torna os dados inacessíveis, mas recuperáveis. Se o BitLocker não estiver ativado, a política não pode ser imposta. Antes de atingir o limite de tentativas falhadas, o utilizador é enviado para o ecrã de bloqueio e avisado de que mais tentativas falhadas bloquearão o computador. Quando o utilizador atinge o limite, o dispositivo é reiniciado automaticamente e mostra a página de recuperação do BitLocker. Esta página pede ao utilizador a chave de recuperação BitLocker. O valor mais seguro é 0 se todos os valores de política = 0; caso contrário, o valor mínimo da política é o valor mais seguro. Para obter informações adicionais sobre esta política, veja Descrição Geral do Motor de Política Exchange ActiveSync.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-999]
Valor Padrão 0
Dependência [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

MaximumPasswordAge

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge

Esta definição de segurança determina o período de tempo (em dias) em que uma palavra-passe pode ser utilizada antes de o sistema exigir que o utilizador a altere. Pode definir palavras-passe para expirar após um número de dias entre 1 e 999 ou pode especificar que as palavras-passe nunca expiram ao definir o número de dias como 0. Se a idade máxima da palavra-passe for entre 1 e 999 dias, a Idade mínima da palavra-passe tem de ser inferior à idade máxima da palavra-passe. Se a idade máxima da palavra-passe estiver definida como 0, a idade mínima da palavra-passe pode ser qualquer valor entre 0 e 998 dias.

Observação

É uma melhor prática de segurança ter palavras-passe a expirar a cada 30 a 90 dias, consoante o seu ambiente. Desta forma, um atacante tem um período limitado de tempo para decifrar a palavra-passe de um utilizador e ter acesso aos seus recursos de rede. Predefinição: 42.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-999]
Valor Padrão 42

Mapeamento de política de grupo:

Nome Valor
Nome Tempo de vida máximo da senha
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

MaxInactivityTimeDeviceLock

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock

Especifica o período máximo de tempo (em minutos) permitido após o dispositivo estar inativo, o que fará com que o dispositivo fique bloqueado por PIN ou palavra-passe. Os utilizadores podem selecionar qualquer valor de tempo limite existente inferior ao tempo máximo especificado na aplicação Definições.

No HoloLens, este tempo limite é controlado pelo tempo limite de suspensão do sistema do dispositivo, independentemente do valor definido por esta política.

Observação

Esta política tem de ser encapsulada num comando atómico.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-999]
Valor Padrão 0
Dependência [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

MaxInactivityTimeDeviceLockWithExternalDisplay

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ❌
Corporativo ❌
Educação ❌
Windows SE ❌
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ❌
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay

Define o valor máximo de tempo limite para a apresentação externa.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [1-999]
Valor Padrão 0

MinDevicePasswordComplexCharacters

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters

O número de tipos de elementos complexos (letras maiúsculas e minúsculas, números e pontuação) necessários para um PIN ou palavra-passe forte.

A lista seguinte mostra os valores suportados e os valores reais impostos:

Tipo de Conta Valores Suportados Valores Reais Impostos
Contas locais 1,2,3 3
Contas da Microsoft 1,2 <p2
Contas de Domínio Sem suporte Sem suporte

Valores impostos para Contas Locais e Microsoft:

  • As contas locais suportam valores de 1, 2 e 3, no entanto, impõem sempre um valor de 3.
  • As palavras-passe das contas locais têm de cumprir os seguintes requisitos mínimos:
    • Não contém o nome da conta do utilizador ou partes do nome completo do utilizador que excedam dois carateres consecutivos
    • Ter, pelo menos, seis carateres de comprimento
    • Contenham carateres de três das quatro categorias seguintes:
      • Carateres maiúsculas em inglês (A a Z)
      • Carateres minúsculos ingleses (a a z)
      • Base de 10 dígitos (0 a 9)
      • Carateres especiais (!, $, #, %, etc.)

A imposição de políticas para contas Microsoft ocorre no servidor e o servidor requer um comprimento de palavra-passe de 8 e uma complexidade de 2. Um valor de complexidade de 3 ou 4 não é suportado e definir este valor no servidor torna as contas Microsoft incompatíveis.

Para obter mais informações sobre esta política, veja Exchange ActiveSync artigo Descrição Geral do Motor de Política e KB.

Observação

Esta política tem de ser encapsulada num comando atómico. Utilize sempre o comando Substituir em vez de Adicionar para esta política no Windows para edições de ambiente de trabalho.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1
Dependência [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] Tipo de Dependência: DependsOn DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Valor Permitido da Dependência: [0] [0]
Tipo de Valor Permitido de Dependência: Range Range

Valores Permitidos:

Valor Descrição
1 (Predefinição) Apenas dígitos.
2 São necessários dígitos e letras minúsculas.
3 São necessárias letras minúsculas e letras maiúsculas. Não suportado em contas Microsoft de ambiente de trabalho e contas de domínio.
4 São necessárias letras maiúsculas em minúsculas e carateres especiais. Não suportado no ambiente de trabalho.

MinDevicePasswordLength

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1507 [10.0.10240] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

Especifica o número mínimo ou carateres necessários no PIN ou palavra-passe.

O valor máximo da política é o mais restrito.

Para obter mais informações sobre esta política, veja Exchange ActiveSync artigo Descrição Geral do Motor de Política e KB.

Observação

Esta política tem de ser encapsulada num comando atómico. Utilize sempre o comando Substituir em vez de Adicionar para esta política no Windows para edições de ambiente de trabalho.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [4-16]
Valor Padrão 4
Dependência [DeviceLock_MinDevicePasswordLength_DependencyGroup] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

Exemplo:

O exemplo seguinte mostra como definir o comprimento mínimo da palavra-passe para 4 carateres.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

MinimumPasswordAge

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1709 [10.0.16299] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge

Esta definição de segurança determina o período de tempo (em dias) em que uma palavra-passe tem de ser utilizada antes de o utilizador a poder alterar. Pode definir um valor entre 1 e 998 dias ou pode permitir alterações imediatamente ao definir o número de dias como 0. A idade mínima da palavra-passe tem de ser inferior à Idade máxima da palavra-passe, a menos que a idade máxima da palavra-passe esteja definida como 0, indicando que as palavras-passe nunca expirarão. Se a idade máxima da palavra-passe estiver definida como 0, a idade mínima da palavra-passe pode ser definida para qualquer valor entre 0 e 998. Configure a idade mínima da palavra-passe para ser superior a 0 se quiser que a opção Impor histórico de palavras-passe seja eficaz. Sem uma idade mínima para a palavra-passe, os utilizadores podem percorrer as palavras-passe repetidamente até chegarem a um favorito antigo. A predefinição não segue esta recomendação, para que um administrador possa especificar uma palavra-passe para um utilizador e, em seguida, exigir que o utilizador altere a palavra-passe definida pelo administrador quando o utilizador iniciar sessão. Se o histórico de palavras-passe estiver definido como 0, o utilizador não terá de escolher uma nova palavra-passe. Por este motivo, Impor histórico de palavras-passe está definido como 1 por predefinição.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-998]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome Tempo de vida mínimo da senha
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

MinimumPasswordLength

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength

Esta definição de segurança determina o menor número de carateres que uma palavra-passe de uma conta de utilizador pode conter. O valor máximo para esta definição depende do valor da definição Descontrair limites mínimos de comprimento da palavra-passe. Se a definição Descontrair limites mínimos de comprimento da palavra-passe não estiver definida, esta definição poderá ser configurada de 0 a 14. Se a definição Desativar limites mínimos de comprimento da palavra-passe estiver definida e desativada, esta definição poderá ser configurada de 0 a 14. Se a definição Descontrair limites mínimos de comprimento da palavra-passe estiver definida e ativada, esta definição poderá ser configurada de 0 a 128. Definir o número necessário de carateres como 0 significa que não é necessária nenhuma palavra-passe.

Observação

Por predefinição, os computadores membros seguem a configuração dos controladores de domínio. Valores predefinidos: 7 em controladores de domínio 0 em servidores autónomos Configurar esta definição superior a 14 pode afetar a compatibilidade com clientes, serviços e aplicações. Recomendamos que configure apenas esta definição com mais de 14 anos depois de utilizar a definição Auditoria de comprimento mínimo da palavra-passe para testar possíveis incompatibilidades na nova definição.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-128]
Valor Padrão 0

Mapeamento de política de grupo:

Nome Valor
Nome Tamanho mínimo da senha
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

MinimumPasswordLengthAudit

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit

Esta definição de segurança determina o comprimento mínimo da palavra-passe para o qual os eventos de aviso de auditoria do comprimento da palavra-passe são emitidos. Esta definição pode ser configurada de 1 a 128. Só deve ativar e configurar esta definição quando tentar determinar o efeito potencial do aumento da definição de comprimento mínimo da palavra-passe no seu ambiente. Se esta definição não estiver definida, os eventos de auditoria não serão emitidos. Se esta definição estiver definida e for menor ou igual à definição de comprimento mínimo da palavra-passe, os eventos de auditoria não serão emitidos. Se esta definição estiver definida e for superior à definição de comprimento mínimo da palavra-passe e o comprimento de uma nova palavra-passe de conta for inferior a esta definição, será emitido um evento de auditoria.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [1-128]
Valor Padrão 4294967295

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de comprimento mínimo da palavra-passe
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

PasswordComplexity

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity

A palavra-passe tem de cumprir os requisitos de complexidade. Esta definição de segurança determina se as palavras-passe têm de cumprir os requisitos de complexidade. Se esta política estiver ativada, as palavras-passe têm de cumprir os seguintes requisitos mínimos:

  • Não contém o nome da conta do utilizador ou partes do nome completo do utilizador que excedam dois carateres consecutivos
  • Ter, pelo menos, seis carateres de comprimento
  • Contenham carateres de três das quatro categorias seguintes:
    • Carateres maiúsculas em inglês (A a Z)
    • Carateres minúsculos ingleses (a a z)
    • Base de 10 dígitos (0 a 9)
    • Carateres não alfabéticos (por exemplo, !, $, #, %)

Os requisitos de complexidade são impostos quando as senhas são alteradas ou criadas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-1]
Valor Padrão 1

Mapeamento de política de grupo:

Nome Valor
Nome A senha deve atender aos requisitos de complexidade
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

PasswordHistorySize

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize

Impor histórico de palavras-passe Esta definição de segurança determina o número de novas palavras-passe exclusivas que têm de ser associadas a uma conta de utilizador antes de uma palavra-passe antiga poder ser reutilizada. O valor tem de estar entre 0 e 24 palavras-passe. Esta política permite que os administradores melhorem a segurança ao garantir que as palavras-passe antigas não são reutilizadas continuamente. Predefinição: 24 em controladores de domínio. 0 em servidores autónomos.

Observação

Por predefinição, os computadores membros seguem a configuração dos controladores de domínio. Para manter a eficácia do histórico de palavras-passe, não permita que as palavras-passe sejam alteradas imediatamente após serem alteradas ao ativar também a definição de política de segurança Idade mínima da palavra-passe. Para obter informações sobre a definição mínima da política de segurança da idade da palavra-passe, consulte Idade mínima da palavra-passe.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [0-24]
Valor Padrão 24

Mapeamento de política de grupo:

Nome Valor
Nome Aplicar histórico de senhas
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

PreventEnablingLockScreenCamera

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera

Desativa o botão de alternar da câmara do ecrã de bloqueio nas Definições do PC e impede que uma câmara seja invocada no ecrã de bloqueio.

Por predefinição, os utilizadores podem ativar a invocação de uma câmara disponível no ecrã de bloqueio.

Se ativar esta definição, os utilizadores deixarão de poder ativar ou desativar o acesso à câmara do ecrã de bloqueio nas Definições do PC e a câmara não pode ser invocada no ecrã de bloqueio.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome CPL_Personalization_NoLockScreenCamera
Nome Amigável Impedir a ativação da câmara do ecrã de bloqueio
Location Configuração do Computador
Caminho > Personalização do Painel de Controle
Nome da Chave do Registro Software\Policies\Microsoft\Windows\Personalization
Nome do Valor do Registro NoLockScreenCamera
Nome do Arquivo ADMX ControlPanelDisplay.admx

PreventLockScreenSlideShow

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow

Desativa as definições da apresentação de diapositivos do ecrã de bloqueio nas Definições do PC e impede que uma apresentação de diapositivos seja reproduzida no ecrã de bloqueio.

Por predefinição, os utilizadores podem ativar uma apresentação de diapositivos que será executada depois de bloquearem o computador.

Se ativar esta definição, os utilizadores deixarão de poder modificar as definições da apresentação de diapositivos nas Definições do PC e nenhuma apresentação de diapositivos será iniciada.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome CPL_Personalization_NoLockScreenSlideshow
Nome Amigável Impedir habilitação da apresentação de slides de tela de bloqueio
Location Configuração do Computador
Caminho > Personalização do Painel de Controle
Nome da Chave do Registro Software\Policies\Microsoft\Windows\Personalization
Nome do Valor do Registro NoLockScreenSlideshow
Nome do Arquivo ADMX ControlPanelDisplay.admx

RelaxMinimumPasswordLengthLimits

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits

Esta definição controla se a definição de comprimento mínimo da palavra-passe pode ser aumentada para além do limite legado de 14. Se esta definição não estiver definida, o comprimento mínimo da palavra-passe poderá ser configurado para um máximo de 14. Se esta definição estiver definida e desativada, o comprimento mínimo da palavra-passe poderá ser configurado para um máximo de 14. Se esta definição estiver definida e ativada, o comprimento mínimo da palavra-passe poderá ser configurado com mais de 14.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilitado.
1 Enabled.

Mapeamento de política de grupo:

Nome Valor
Nome Descontraia o comprimento mínimo da palavra-passe
Caminho Política de Palavra-passe das Definições > de Segurança das Definições >> do Windows

ScreenTimeoutWhileLocked

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1607 [10.0.14393] e posterior
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked

Especifica se pretende mostrar uma definição configurável pelo utilizador para controlar o tempo limite do ecrã no ecrã de bloqueio de Windows 10 Mobile dispositivos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Intervalo: [10-1800]
Valor Padrão 10

Provedor de serviço da configuração de política