Поставщик служб конфигурации PassportForWork

Логотип программы предварительной оценки Windows.

Важно.

Этот CSP содержит некоторые параметры, находящиеся в стадии разработки и применимые только для сборок Windows Insider Preview. Эти параметры могут изменяться и зависеть от других функций или служб в предварительной версии.

Поставщик службы конфигурации PassportForWork используется для подготовки Windows Hello для бизнеса (прежнее название — Microsoft Passport for Work). Он позволяет входить в Windows с помощью учетной записи Active Directory или Microsoft Entra и заменять пароли, смарт-карты и виртуальные смарт-карты.

Важно.

Начиная с Windows 10 версии 1607 все устройства имеют только один ПИН-код, связанный с Windows Hello для бизнеса. Это означает, что на любой PIN-код на устройстве будет распространяться действие политик, указанных в поставщике служб конфигурации PassportForWork. Указанные значения имеют приоритет перед правилами любой сложности, заданными с помощью Exchange ActiveSync (EAS) или поставщика служб конфигурации DeviceLock.

В следующем списке показаны узлы поставщика службы конфигурации PassportForWork:

Device/{TenantId}

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}

Эта политика задает идентификатор клиента в формате глобального уникального идентификатора (GUID) без фигурных скобок{ }, который будет использоваться в рамках Windows Hello для бизнеса подготовки и управления.

Чтобы получить идентификатор GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в статье Получение идентификатора клиента Windows Azure Active Directory в Windows PowerShell.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Динамическое именование узлов UniqueName: глобальный уникальный идентификатор (GUID), без фигурных скобок ( { , } ), который используется в рамках подготовки и управления Windows Hello для бизнеса. Чтобы получить GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в разделе https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

Device/{TenantId}/Policies

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Корневой узел для политик.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение

Device/{TenantId}/Policies/DisablePostLogonProvisioning

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ [10.0.20348.2402] и более поздних версий
✅Windows 10 версии 2004 [10.0.19041.4239] и более поздних версий
✅Windows 11, версия 21H2 с KB5036894 [10.0.22000.2899] и более поздних версий
✅Windows 11 версии 22H2 с KB5035942 [10.0.22621.3374] и более поздних версий
✅Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

Не запускайте подготовку Windows Hello после входа.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Подготовка включена.
true Подготовка отключена.

Device/{TenantId}/Policies/EnablePinRecovery

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Если пользователь забыл свой ПИН-код, его можно изменить на новый ПИН-код с помощью службы восстановления ПИН-кода Windows Hello для бизнеса. Эта облачная служба шифрует секрет восстановления, который хранится локально на клиенте, но может быть расшифрован только облачной службой.

  • Если этот параметр политики включен, секрет восстановления ПИН-кода будет храниться на устройстве, и пользователь сможет измениться на новый ПИН-код, если его ПИН-код будет забыт.

  • Если этот параметр политики отключен или не настроен, секрет восстановления ПИН-кода не будет создан и не сохранен. Если ПИН-код пользователя забыт, единственный способ получить новый ПИН-код — удалить существующий ПИН-код и создать новый, что потребует от пользователя повторной регистрации в любых службах, к которым старый ПИН-код предоставил доступ.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Включите Windows Hello подготовку, если пользователи входят на свои устройства с помощью ключей безопасности FIDO2.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/ExcludeSecurityDevices

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices

Корневой узел для исключенных устройств безопасности.

Примечание.

Не поддерживается в Windows Holographic и Windows Holographic for Business.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

Некоторые доверенные платформенные модули (TPM) соответствуют только более старой редакции 1.2 спецификации доверенного платформенного модуля, определенной группой доверенных вычислений (TCG).

  • Если этот параметр политики включен, модули TPM версии 1.2 будут запрещены для использования с Windows Hello для бизнеса.

  • Если этот параметр политики отключен или не настроен, модули TPM версии 1.2 будут разрешены для использования с Windows Hello для бизнеса.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/PINComplexity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Корневой узел для политик ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Device/{TenantId}/Policies/PINComplexity/Digits
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Используйте этот параметр политики, чтобы настроить использование цифр в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали хотя бы одну цифру в свой ПИН-код.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать цифры в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса требует, чтобы пользователи использовали цифры в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать цифры в ПИН-коде.
1 Требуется использовать по крайней мере одну цифру в ПИН-коде.
2 Не допускает использование цифр в ПИН-коде.
Device/{TenantId}/Policies/PINComplexity/Expiration
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Эта политика указывает время истечения срока действия ПИН-кода (в днях). Допустимые значения: от 0 до 730 включительно. Если для этой политики задано значение 0, пин-коды не истечет.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-730]
Значение по умолчанию 0
Device/{TenantId}/Policies/PINComplexity/History
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Эта политика указывает количество прошлых ПИН-кодов, которые можно сохранить в журнале, который нельзя использовать. Допустимые значения: от 0 до 50 включительно. Если для этой политики задано значение 0, хранение предыдущих ПИН-кодов не требуется. Журнал ПИН-кодов не сохраняется при сбросе ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-50]
Значение по умолчанию 0
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Используйте этот параметр политики, чтобы настроить использование строчных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну строчную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать строчные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать строчные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать строчные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну строчную букву в ПИН-коде.
2 Не допускает использование строчных букв в ПИН-коде.
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

Максимальная длина ПИН-кода настраивает максимальное число символов, допустимое для ПИН-кода. Наибольшее число, доступное для этого параметра политики, — 127. Наименьшее число, которое можно настроить, должно быть больше, чем число, настроенное в параметре политики Минимальная длина ПИН-кода, или число 4 в зависимости от того, какое из значений больше.

  • При настройке этого параметра политики длина ПИН-кода должна быть меньше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть меньше или равна 127.

Примечание.

Если указанные выше условия для максимальной длины ПИН-кода не выполнены, значения по умолчанию будут использоваться для максимальной и минимальной длины ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 127
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

Минимальная длина ПИН-кода настраивает минимальное количество символов, необходимое для ПИН-кода. Наименьшее число, доступное для этого параметра политики, — 4. Наибольшее число, которое можно настроить, должно быть меньше числа, настроенного в параметре политики Максимальная длина ПИН-кода, или числа 127, в зависимости от того, какое из значений является наименьшим.

  • Если вы настроите этот параметр политики, длина ПИН-кода должна быть больше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть больше или равна 4.

Примечание.

Если указанные выше условия для минимальной длины ПИН-кода не выполнены, для максимальной и минимальной длины ПИН-кода будут использоваться значения по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 4
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Используйте этот параметр политики, чтобы настроить использование специальных символов в жесте Windows Hello для бизнеса ПИН-кода. Допустимые специальные символы для жестов ПИН-кода Windows Hello для бизнеса: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере один специальный символ.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать специальные символы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не позволяет пользователям использовать специальные символы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать специальные символы в ПИН-коде.
1 Требуется использовать по крайней мере один специальный символ в ПИН-коде.
2 Запрещает использование специальных символов в ПИН-коде.
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Используйте этот параметр политики, чтобы настроить использование прописных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну прописную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать прописные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не позволяет пользователям использовать прописные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать прописные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну прописную букву в ПИН-коде.
2 Не допускает использование прописных букв в ПИН-коде.

Device/{TenantId}/Policies/Remote

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote

Корневой узел для политик входа по телефону.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Device/{TenantId}/Policies/Remote/UseRemotePassport
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport

Логическое значение, указывающее, можно ли использовать вход по телефону с устройством. Вход с помощью телефона позволяет использовать переносимое зарегистрированное устройство в качестве вспомогательного устройства для проверки подлинности на рабочем столе.

Значение по умолчанию — false.

  • Если этот параметр включен, классическое устройство позволит использовать зарегистрированное дополнительное устройство в качестве фактора проверки подлинности.

  • Если этот параметр отключен, дополнительное устройство не может использоваться в сценариях проверки подлинности на рабочем столе.

Примечание.

Не поддерживается в Windows Holographic и Windows Holographic for Business до Windows 10 версии 1903 (обновление за май 2019 г.).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/RequireSecurityDevice

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Доверенный платформенный модуль (TPM) обеспечивает дополнительные преимущества безопасности по сравнению с программным обеспечением, так как данные, хранящиеся в нем, не могут использоваться на других устройствах.

  • Если этот параметр политики включен, Windows Hello для бизнеса только устройства с возможностью подготовки доверенного платформенного модуля.

  • Если этот параметр политики отключен или не настроен, доверенный платформенный модуль по-прежнему предпочтительнее, но все устройства подготавливают Windows Hello для бизнеса с помощью программного обеспечения, если доверенный платформенный модуль не работает или недоступен.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UseCertificateForOnPremAuth

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth

Windows Hello для бизнеса могут использовать сертификаты для проверки подлинности в локальных ресурсах.

  • Если этот параметр политики включен, Windows Hello для бизнеса будет ожидать, пока устройство не получит полезные данные сертификата от сервера управления мобильными устройствами, прежде чем подготавливать ПИН-код.

  • Если этот параметр политики отключен или не настроен, ПИН-код будет подготовлен при входе пользователя, не дожидаясь полезных данных сертификата.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10 версии 21H2 с KB5010415 [10.0.19044.1566] и более поздних версий
✅Windows 11, версия 21H2 с KB5010414 [10.0.22000.527] и более поздние
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Логическое значение, позволяющее Windows Hello для бизнеса использовать Microsoft Entra Kerberos для проверки подлинности в локальных ресурсах.

  • Если этот параметр политики включен, Windows Hello для бизнеса будет использовать билет Kerberos Microsoft Entra для проверки подлинности в локальных ресурсах. Билет Kerberos Microsoft Entra возвращается клиенту после успешной проверки подлинности, чтобы Microsoft Entra ID, если Microsoft Entra Kerberos включен для клиента и домена.

  • Если этот параметр политики отключен или не настроен, Windows Hello для бизнеса будет использовать ключ или сертификат для проверки подлинности в локальных ресурсах.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
  • Если этот параметр политики включен, приложения используют Windows Hello для бизнеса сертификаты в качестве интеллектуальных сертификатов карта. Биометрические факторы недоступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата. Этот параметр политики предназначен для обеспечения совместимости с приложениями, которые полагаются исключительно на смарт-сертификаты карта.

  • Если этот параметр политики отключен или не настроен, приложения не используют сертификаты Windows Hello для бизнеса в качестве интеллектуальных сертификатов карта, а биометрические факторы будут доступны, когда пользователю предлагается авторизовать использование закрытого ключа сертификата.

Windows требует, чтобы пользователь заблокирует и разблокирует сеанс после изменения этого параметра, если пользователь в настоящее время вошел в систему.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/{TenantId}/Policies/UsePassportForWork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello для бизнеса — это альтернативный способ входа в Windows с помощью учетной записи Active Directory или Microsoft Entra, которая может заменить пароли, смарт-карты и виртуальные смарт-карты.

  • Если этот параметр политики включен или не настроен, устройство подготавливает Windows Hello для бизнеса для всех пользователей.

  • Если этот параметр политики отключен, устройство не подготавливает Windows Hello для бизнеса для любого пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию True

Допустимые значения:

Значение Описание
false Служба отключена.
true (по умолчанию) Включено.

Устройство/биометрия

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/Biometrics

Корневой узел для политик биометрии.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/Biometrics/EnableESSwithSupportedPeripherals

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals

Расширенная безопасность входа (ESS) изолирует как биометрические данные шаблона, так и операции сопоставления с доверенным оборудованием или указанными регионами памяти, что означает, что остальная часть операционной системы не может получить доступ к ним или изменить их. Так как канал обмена данными между датчиками и алгоритмом также защищен, вредоносные программы не могут внедрять или воспроизводить данные, чтобы имитировать вход пользователя в систему или заблокировать пользователя на своем компьютере.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 ESS будет включена в системах с поддержкой программного и аппаратного обеспечения в соответствии с существующим поведением по умолчанию в Windows. Операции проверки подлинности периферийных устройств с поддержкой Windows Hello будут разрешены с учетом текущих ограничений функций. Кроме того, с этим параметром ESS будет включаться на устройствах со смесью биометрических устройств, таких как FPR с поддержкой ESS и камера, не поддерживающая ESS. (не рекомендуется).
1 (по умолчанию) ESS будет включена в системах с поддержкой программного и аппаратного обеспечения в соответствии с существующим поведением по умолчанию в Windows. Операции проверки подлинности любого периферийного биометрического устройства будут заблокированы и недоступны для Windows Hello. (по умолчанию и рекомендуется для обеспечения максимальной безопасности).

Сопоставление групповой политики:

Имя Значение
Имя Включение ESS с поддерживаемыми периферийными устройствами
Путь Passport > AT > WindowsComponents > MSPassportForWorkCategory

Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Этот параметр определяет, требуется ли расширенная защита от спуфингов для проверки подлинности Windows Hello лиц.

  • Если этот параметр включен, Windows требует, чтобы все пользователи на управляемых устройствах использовали расширенную защиту от спуфингов для проверки подлинности Windows Hello лиц. Это отключает проверку подлинности Windows Hello лиц на устройствах, которые не поддерживают расширенную защиту от спуфингов.

  • Если этот параметр отключен или не настроен, Windows не требуется расширенная защита от спуфингов для проверки подлинности Windows Hello лиц.

Обратите внимание, что на неуправляемых устройствах не требуется расширенная защита от спуфингов для проверки подлинности Windows Hello лиц.

Примечание.

Не поддерживается в Windows Holographic и Windows Holographic for Business до Windows 10 версии 1903 (обновление за май 2019 г.).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Устройство,биометрия/UseBiometrics

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics

Windows Hello для бизнеса позволяет пользователям использовать биометрические жесты, такие как лицо и отпечатки пальцев, в качестве альтернативы жесту ПИН-кода. Однако пользователи по-прежнему должны настроить ПИН-код для использования в случае сбоев.

  • Если этот параметр политики включен или не настроен, Windows Hello для бизнеса позволяет использовать биометрические жесты.

  • Если этот параметр политики отключен, Windows Hello для бизнеса запретит использование биометрических жестов.

Примечание.

Отключение этой политики запрещает использование биометрических жестов на устройстве для всех типов учетных записей.

Примечание.

Не поддерживается в Windows Holographic и Windows Holographic for Business до Windows 10 версии 1903 (обновление за май 2019 г.).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/DeviceUnlock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Разблокировка устройства.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/DeviceUnlock/GroupA

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA

Содержит список поставщиков по GUID, которые должны рассматриваться на первом этапе проверки подлинности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Регулярное выражение: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/GroupB

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB

Содержит список поставщиков по GUID, которые должны рассматриваться на втором этапе проверки подлинности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Регулярное выражение: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/Plugins

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins

Список подключаемых модулей, отслеживаемых пассивным поставщиком для обнаружения присутствия пользователей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Device/DynamicLock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DynamicLock

Динамическая блокировка.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/DynamicLock/DynamicLock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock

Включает или отключает динамическую блокировку.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

Device/DynamicLock/Plugins

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins

Список подключаемых модулей, которые пассивный поставщик отслеживает для обнаружения отсутствия пользователей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Device/SecurityKey

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1903 [10.0.18362] и более поздние
./Device/Vendor/MSFT/PassportForWork/SecurityKey

Ключ безопасности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Получите

Device/SecurityKey/UseSecurityKeyForSignin

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1903 [10.0.18362] и более поздние
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin

Используйте ключ безопасности для входа. Значение 0 отключено. Значение 1 включено. Если этот параметр политики не настроен, значение по умолчанию будет отключено.

Позволяет пользователям входить на свое устройство с помощью ключа безопасности FIDO2 , совместимого с реализацией Майкрософт.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.

Device/UseBiometrics

Примечание.

Эта политика является устаревшей и может быть удалена в будущем выпуске.

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./Device/Vendor/MSFT/PassportForWork/UseBiometrics

ЭТОТ УЗЕЛ ЯВЛЯЕТСЯ УСТАРЕВШИМ И БУДЕТ УДАЛЕН В СЛЕДУЮЩЕЙ ВЕРСИИ. ВМЕСТО ЭТОГО ИСПОЛЬЗУЙТЕ биометрические данные/UseBiometrics NODE.

Windows Hello для бизнеса позволяет пользователям использовать биометрические жесты, такие как лицо и отпечатки пальцев, в качестве альтернативы жесту ПИН-кода. Однако пользователи по-прежнему должны настроить ПИН-код для использования в случае сбоев.

  • Если этот параметр политики включен или не настроен, Windows Hello для бизнеса позволяет использовать биометрические жесты.

  • Если этот параметр политики отключен, Windows Hello для бизнеса запретит использование биометрических жестов.

Примечание.

Отключение этой политики запрещает использование биометрических жестов на устройстве для всех типов учетных записей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

User/{TenantId}

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}

Эта политика задает идентификатор клиента в формате глобального уникального идентификатора (GUID) без фигурных скобок{ }, который будет использоваться в рамках Windows Hello для бизнеса подготовки и управления.

Чтобы получить идентификатор GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в статье Получение идентификатора клиента Windows Azure Active Directory в Windows PowerShell.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
Динамическое именование узлов UniqueName: глобальный уникальный идентификатор (GUID), без фигурных скобок ( { , } ), который используется в рамках подготовки и управления Windows Hello для бизнеса. Чтобы получить GUID, используйте командлет PowerShell Get-AzureAccount. Дополнительные сведения см. в разделе https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

User/{TenantId}/Policies

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Корневой узел для политик.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение

User/{TenantId}/Policies/EnablePinRecovery

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Если пользователь забыл свой ПИН-код, его можно изменить на новый ПИН-код с помощью службы восстановления ПИН-кода Windows Hello для бизнеса. Эта облачная служба шифрует секрет восстановления, который хранится локально на клиенте, но может быть расшифрован только облачной службой.

  • Если этот параметр политики включен, секрет восстановления ПИН-кода будет храниться на устройстве, и пользователь сможет измениться на новый ПИН-код, если его ПИН-код будет забыт.

  • Если этот параметр политики отключен или не настроен, секрет восстановления ПИН-кода не будет создан и не сохранен. Если ПИН-код пользователя забыт, единственный способ получить новый ПИН-код — удалить существующий ПИН-код и создать новый, что потребует от пользователя повторной регистрации в любых службах, к которым старый ПИН-код предоставил доступ.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

User/{TenantId}/Policies/PINComplexity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Корневой узел для политик ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат node
Тип доступа Добавление, удаление, получение
User/{TenantId}/Policies/PINComplexity/Digits
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Используйте этот параметр политики, чтобы настроить использование цифр в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали хотя бы одну цифру в свой ПИН-код.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать цифры в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса требует, чтобы пользователи использовали цифры в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать цифры в ПИН-коде.
1 Требуется использовать по крайней мере одну цифру в ПИН-коде.
2 Не допускает использование цифр в ПИН-коде.
User/{TenantId}/Policies/PINComplexity/Expiration
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Эта политика указывает время истечения срока действия ПИН-кода (в днях). Допустимые значения: от 0 до 730 включительно. Если для этой политики задано значение 0, пин-коды не истечет.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-730]
Значение по умолчанию 0
User/{TenantId}/Policies/PINComplexity/History
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Эта политика указывает количество прошлых ПИН-кодов, которые можно сохранить в журнале, который нельзя использовать. Допустимые значения: от 0 до 50 включительно. Если для этой политики задано значение 0, хранение предыдущих ПИН-кодов не требуется. Журнал ПИН-кодов не сохраняется при сбросе ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-50]
Значение по умолчанию 0
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Используйте этот параметр политики, чтобы настроить использование строчных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну строчную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать строчные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не разрешает пользователям использовать строчные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать строчные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну строчную букву в ПИН-коде.
2 Не допускает использование строчных букв в ПИН-коде.
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

Максимальная длина ПИН-кода настраивает максимальное число символов, допустимое для ПИН-кода. Наибольшее число, доступное для этого параметра политики, — 127. Наименьшее число, которое можно настроить, должно быть больше, чем число, настроенное в параметре политики Минимальная длина ПИН-кода, или число 4 в зависимости от того, какое из значений больше.

  • При настройке этого параметра политики длина ПИН-кода должна быть меньше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть меньше или равна 127.

Примечание.

Если указанные выше условия для максимальной длины ПИН-кода не выполнены, значения по умолчанию будут использоваться для максимальной и минимальной длины ПИН-кода.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 127
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

Минимальная длина ПИН-кода настраивает минимальное количество символов, необходимое для ПИН-кода. Наименьшее число, доступное для этого параметра политики, — 4. Наибольшее число, которое можно настроить, должно быть меньше числа, настроенного в параметре политики Максимальная длина ПИН-кода, или числа 127, в зависимости от того, какое из значений является наименьшим.

  • Если вы настроите этот параметр политики, длина ПИН-кода должна быть больше или равна этому числу.

  • Если этот параметр политики не настроен, длина ПИН-кода должна быть больше или равна 4.

Примечание.

Если указанные выше условия для минимальной длины ПИН-кода не выполнены, для максимальной и минимальной длины ПИН-кода будут использоваться значения по умолчанию.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-127]
Значение по умолчанию 4
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Используйте этот параметр политики, чтобы настроить использование специальных символов в жесте Windows Hello для бизнеса ПИН-кода. Допустимые специальные символы для жестов ПИН-кода Windows Hello для бизнеса: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере один специальный символ.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать специальные символы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не позволяет пользователям использовать специальные символы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать специальные символы в ПИН-коде.
1 Требуется использовать по крайней мере один специальный символ в ПИН-коде.
2 Запрещает использование специальных символов в ПИН-коде.
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Используйте этот параметр политики, чтобы настроить использование прописных букв в ПИН-коде Windows Hello для бизнеса.

Значение 1 соответствует значению "Обязательный". Если для этого параметра политики задано значение 1, Windows Hello для бизнеса требует, чтобы пользователи включали в ПИН-код по крайней мере одну прописную букву.

Значение 2 соответствует значению "Запретить". Если для этого параметра политики задано значение 2, Windows Hello для бизнеса запрещает пользователям использовать прописные буквы в ПИН-коде.

Если этот параметр политики не настроен, Windows Hello для бизнеса не позволяет пользователям использовать прописные буквы в ПИН-коде.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Позволяет использовать прописные буквы в ПИН-коде.
1 Требуется использовать по крайней мере одну прописную букву в ПИН-коде.
2 Не допускает использование прописных букв в ПИН-коде.

User/{TenantId}/Policies/RequireSecurityDevice

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Доверенный платформенный модуль (TPM) обеспечивает дополнительные преимущества безопасности по сравнению с программным обеспечением, так как данные, хранящиеся в нем, не могут использоваться на других устройствах.

  • Если этот параметр политики включен, Windows Hello для бизнеса только устройства с возможностью подготовки доверенного платформенного модуля.

  • Если этот параметр политики отключен или не настроен, доверенный платформенный модуль по-прежнему предпочтительнее, но все устройства подготавливают Windows Hello для бизнеса с помощью программного обеспечения, если доверенный платформенный модуль не работает или недоступен.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию False

Допустимые значения:

Значение Описание
false (по умолчанию) Служба отключена.
true Включено.

User/{TenantId}/Policies/UsePassportForWork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ✅
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1511 [10.0.10586] и более поздние версии
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello для бизнеса — это альтернативный способ входа в Windows с помощью учетной записи Active Directory или Microsoft Entra, которая может заменить пароли, смарт-карты и виртуальные смарт-карты.

  • Если этот параметр политики включен или не настроен, устройство подготавливает Windows Hello для бизнеса для всех пользователей.

  • Если этот параметр политики отключен, устройство не подготавливает Windows Hello для бизнеса для любого пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат bool
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию True

Допустимые значения:

Значение Описание
false Служба отключена.
true (по умолчанию) Включено.

Примеры:

Ниже приведен пример настройки Windows Hello для бизнеса и политики ПИН-кода. Он также включает использование биометрии и доверенного платформенного модуля.

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/>
          </SyncBody>
        </SyncML>

Справочник по поставщикам служб конфигурации