Freigeben über


Richtlinien-CSP – ADMX_Smartcard

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AllowCertificatesWithNoEKU

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowCertificatesWithNoEKU

Mit dieser Richtlinieneinstellung können Sie zulassen, dass Zertifikate ohne festgelegte erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für die Anmeldung verwendet werden.

In Windows-Versionen vor Windows Vista erfordern Smartcardzertifikate, die für die Anmeldung verwendet werden, eine Erweiterung für erweiterte Schlüsselverwendung (Extended Key Usage, EKU) mit einem Smartcard-Anmeldeobjektbezeichner. Diese Richtlinieneinstellung kann verwendet werden, um diese Einschränkung zu ändern.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Zertifikate mit den folgenden Attributen auch für die Anmeldung mit einer Smartcard verwendet werden:

  • Zertifikate ohne EKU

  • Zertifikate mit einer allzweck-EKU

  • Zertifikate mit einer Clientauthentifizierungs-EKU.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können nur Zertifikate, die den Smartcard-Anmeldeobjektbezeichner enthalten, für die Anmeldung mit einer Smartcard verwendet werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowCertificatesWithNoEKU
Anzeigename Zulassen von Zertifikaten ohne Zertifikatsattribut für erweiterte Schlüsselverwendung
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes AllowCertificatesWithNoEKU
ADMX-Dateiname Smartcard.admx

AllowIntegratedUnblock

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowIntegratedUnblock

Mit dieser Richtlinieneinstellung können Sie bestimmen, ob das integrierte Feature zum Aufheben der Blockierung in der Benutzeroberfläche für die Anmeldung verfügbar ist.

Um die integrierte Entblockungsfunktion verwenden zu können, muss Ihre Smartcard dieses Feature unterstützen. Wenden Sie sich an Ihren Hardwarehersteller, um zu erfahren, ob Ihre Smartcard dieses Feature unterstützt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, ist die integrierte Funktion zum Aufheben der Blockierung verfügbar.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist die integrierte Funktion zum Aufheben der Blockierung nicht verfügbar.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowIntegratedUnblock
Anzeigename Anzeige des Bildschirms "Integriertes Entsperren" zum Zeitpunkt der Anmeldung zulassen
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes AllowIntegratedUnblock
ADMX-Dateiname Smartcard.admx

AllowSignatureOnlyKeys

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowSignatureOnlyKeys

Mit dieser Richtlinieneinstellung können Sie zulassen, dass auf Signaturschlüsseln basierende Zertifikate aufgelistet und für die Anmeldung verfügbar sind.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle zertifikate, die auf der Smartcard mit einem signaturgeschützten Schlüssel verfügbar sind, auf dem Anmeldebildschirm aufgeführt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle verfügbaren schlüsselbasierten Smartcardsignaturzertifikate nicht auf dem Anmeldebildschirm aufgeführt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowSignatureOnlyKeys
Anzeigename Signaturschlüssel zulassen, die für die Anmeldung gültig sind
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes AllowSignatureOnlyKeys
ADMX-Dateiname Smartcard.admx

AllowTimeInvalidCertificates

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowTimeInvalidCertificates

Mit dieser Richtlinieneinstellung können diese Zertifikate für die Anmeldung angezeigt werden, die entweder abgelaufen oder noch nicht gültig sind.

In früheren Versionen von Microsoft Windows mussten Zertifikate eine gültige Zeit enthalten und waren nicht abgelaufen. Das Zertifikat muss weiterhin vom Domänencontroller akzeptiert werden, damit es verwendet werden kann. Diese Einstellung steuert nur die Anzeige des Zertifikats auf dem Clientcomputer.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden Zertifikate auf dem Anmeldebildschirm aufgelistet, unabhängig davon, ob sie eine ungültige Zeit haben oder ob ihre Gültigkeitsdauer abgelaufen ist.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden abgelaufene oder noch ungültige Zertifikate nicht auf dem Anmeldebildschirm aufgeführt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowTimeInvalidCertificates
Anzeigename Zeit ungültige Zertifikate zulassen
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes AllowTimeInvalidCertificates
ADMX-Dateiname Smartcard.admx

CertPropEnabledString

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/CertPropEnabledString

Mit dieser Richtlinieneinstellung können Sie die Zertifikatweitergabe verwalten, die beim Einfügen einer Smartcard erfolgt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, erfolgt die Zertifikatweitergabe beim Einfügen der Smartcard.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, erfolgt keine Zertifikatweitergabe, und die Zertifikate werden nicht für Anwendungen wie Outlook verfügbar gemacht.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name CertPropEnabledString
Anzeigename Aktivieren der Zertifikatweitergabe über die Smartcard
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\CertProp
Name des Registrierungswertes CertPropEnabled
ADMX-Dateiname Smartcard.admx

CertPropRootCleanupString

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/CertPropRootCleanupString

Mit dieser Richtlinieneinstellung können Sie das Bereinigungsverhalten von Stammzertifikaten verwalten.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, erfolgt die Bereinigung des Stammzertifikats entsprechend der ausgewählten Option.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, erfolgt die Bereinigung des Stammzertifikats bei der Abmeldung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name CertPropRootCleanupString
Anzeigename Konfigurieren der Stammzertifikatbereinigung
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\CertProp
ADMX-Dateiname Smartcard.admx

CertPropRootEnabledString

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/CertPropRootEnabledString

Mit dieser Richtlinieneinstellung können Sie die Weitergabe des Stammzertifikats verwalten, die beim Einfügen einer Smartcard erfolgt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, erfolgt die Weitergabe des Stammzertifikats beim Einfügen der Smartcard.

Hinweis

Damit diese Richtlinieneinstellung funktioniert, muss auch die folgende Richtlinieneinstellung aktiviert sein: Aktivieren der Zertifikatweitergabe über die Smartcard.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Stammzertifikate nicht von der Smartcard weitergegeben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name CertPropRootEnabledString
Anzeigename Aktivieren der Stammzertifikatweitergabe über die Smartcard
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\CertProp
Name des Registrierungswertes EnableRootCertificatePropagation
ADMX-Dateiname Smartcard.admx

DisallowPlaintextPin

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/DisallowPlaintextPin

Diese Richtlinieneinstellung verhindert, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, gibt der Anmeldeinformations-Manager keine Klartext-PIN zurück.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden.

Hinweis

Das Aktivieren dieser Richtlinieneinstellung könnte verhindern, dass bestimmte Smartcards unter Windows funktionieren. Wenden Sie sich an den Hersteller Ihrer Smartcard, um herauszufinden, ob diese Richtlinieneinstellung Sie betrifft.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisallowPlaintextPin
Anzeigename Verhindern, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes DisallowPlaintextPin
ADMX-Dateiname Smartcard.admx

EnumerateECCCerts

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/EnumerateECCCerts

Mit dieser Richtlinieneinstellung können Sie steuern, ob ECC-Zertifikate (Elliptic Curve Cryptography) auf einer Smartcard verwendet werden können, um sich bei einer Domäne anzumelden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können ECC-Zertifikate auf einer Smartcard verwendet werden, um sich bei einer Domäne anzumelden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können ECC-Zertifikate auf einer Smartcard nicht für die Anmeldung bei einer Domäne verwendet werden.

Hinweis

Diese Richtlinieneinstellung wirkt sich nur auf die Möglichkeit eines Benutzers aus, sich bei einer Domäne anzumelden. ECC-Zertifikate auf einer Smartcard, die für andere Anwendungen wie die Dokumentsignatur verwendet werden, sind von dieser Richtlinieneinstellung nicht betroffen.

Hinweis

Wenn Sie einen ECDSA-Schlüssel für die Anmeldung verwenden, müssen Sie auch über einen zugeordneten ECDH-Schlüssel verfügen, um Anmeldungen zuzulassen, wenn Sie nicht mit dem Netzwerk verbunden sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnumerateECCCerts
Anzeigename Zulassen der Verwendung von ECC-Zertifikaten für die Anmeldung und Authentifizierung
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes EnumerateECCCerts
ADMX-Dateiname Smartcard.admx

FilterDuplicateCerts

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/FilterDuplicateCerts

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob alle Gültigen Anmeldezertifikate angezeigt werden.

Während des Zertifikatverlängerungszeitraums kann ein Benutzer mehrere gültige Anmeldezertifikate aus derselben Zertifikatvorlage ausgestellt haben. Dies kann zu Verwirrung darüber führen, welches Zertifikat für die Anmeldung ausgewählt werden soll. Der häufige Fall für dieses Verhalten ist, wenn ein Zertifikat erneuert wird und das alte Zertifikat noch nicht abgelaufen ist. Es wird festgestellt, dass zwei Zertifikate identisch sind, wenn sie von derselben Vorlage mit derselben Hauptversion ausgestellt werden und für denselben Benutzer (bestimmt durch den UPN) gelten.

Wenn zwei oder mehr des "gleichen" Zertifikats auf einer Smartcard vorhanden sind und diese Richtlinie aktiviert ist, wird das Zertifikat angezeigt, das für die Anmeldung unter Windows 2000, Windows XP und Windows 2003 Server verwendet wird. Andernfalls wird das Zertifikat mit der in Zukunft am weitesten entfernten Ablaufzeit angezeigt.

Hinweis

Diese Einstellung wird nach der folgenden Richtlinie angewendet: "Zeit ungültige Zertifikate zulassen".

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, erfolgt die Filterung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, erfolgt keine Filterung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name FilterDuplicateCerts
Anzeigename Filtern doppelter Anmeldezertifikate
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes FilterDuplicateCerts
ADMX-Dateiname Smartcard.admx

ForceReadingAllCertificates

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/ForceReadingAllCertificates

Mit dieser Richtlinieneinstellung können Sie das Lesen aller Zertifikate von der Smartcard für die Anmeldung verwalten.

Während der Anmeldung liest Windows standardmäßig nur das Standardzertifikat von der Smartcard, es sei denn, es unterstützt den Abruf aller Zertifikate in einem einzigen Aufruf. Diese Einstellung zwingt Windows, alle Zertifikate von der Karte zu lesen. Dies kann in bestimmten Situationen zu einer erheblichen Leistungsminderung führen. Wenden Sie sich an Ihren Smartcardanbieter, um festzustellen, ob Ihre Smartcard und der zugehörige CSP das erforderliche Verhalten unterstützen.

  • Wenn Sie diese Einstellung aktivieren, versucht Windows, alle Zertifikate von der Smartcard zu lesen, unabhängig vom Featuresatz des CSP.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, versucht Windows nur, das Standardzertifikat von den Karten zu lesen, die nicht das Abrufen aller Zertifikate in einem einzigen Aufruf unterstützen. Andere Zertifikate als die Standardeinstellung sind für die Anmeldung nicht verfügbar.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ForceReadingAllCertificates
Anzeigename Erzwingen des Lesens aller Zertifikate von der Smartcard
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes ForceReadingAllCertificates
ADMX-Dateiname Smartcard.admx

IntegratedUnblockPromptString

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/IntegratedUnblockPromptString

Mit dieser Richtlinieneinstellung können Sie die angezeigte Meldung verwalten, wenn eine Smartcard blockiert wird.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird dem Benutzer die angegebene Meldung angezeigt, wenn die Smartcard blockiert wird.

Hinweis

Die folgende Richtlinieneinstellung muss aktiviert sein: Anzeige des Bildschirms "Integrierte Blockierung aufheben" zum Zeitpunkt der Anmeldung zulassen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird dem Benutzer die Standardmeldung angezeigt, wenn die Smartcard blockiert wird, wenn das Feature zum Aufheben der integrierten Blockierung aktiviert ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name IntegratedUnblockPromptString
Anzeigename Anzeigen einer Zeichenfolge beim Blockieren der Smartcard
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
ADMX-Dateiname Smartcard.admx

ReverseSubject

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/ReverseSubject

Mit dieser Richtlinieneinstellung können Sie den Antragstellernamen von der Speicherung im Zertifikat umkehren, wenn er während der Anmeldung angezeigt wird.

Standardmäßig wird der Benutzerprinzipalname (UPN) zusätzlich zum allgemeinen Namen angezeigt, damit Benutzer ein Zertifikat von einem anderen unterscheiden können. Wenn der Zertifikatantragsteller z. B. CN=User1, OU=Users, DN=example, DN=com lautet und einen UPN von user1@example.com hatte, wird "User1" zusammen mit "user1@example.com" angezeigt. Wenn der UPN nicht vorhanden ist, wird der gesamte Antragstellername angezeigt. Diese Einstellung steuert die Darstellung dieses Antragstellernamens und muss möglicherweise pro Organisation angepasst werden.

Wenn Sie diese Richtlinieneinstellung aktivieren oder diese Einstellung nicht konfigurieren, wird der Antragstellername umgekehrt.

Wenn Sie deaktivieren, wird der Antragstellername so angezeigt, wie er im Zertifikat angezeigt wird.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ReverseSubject
Anzeigename Umkehren des in einem Zertifikat gespeicherten Antragstellernamens bei der Anzeige
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes ReverseSubject
ADMX-Dateiname Smartcard.admx

SCPnPEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/SCPnPEnabled

Mit dieser Richtlinieneinstellung können Sie steuern, ob Smartcard Plug and Play aktiviert ist.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, wird Smartcard Plug and Play aktiviert, und das System versucht, einen Smartcard-Gerätetreiber zu installieren, wenn eine Karte zum ersten Mal in einen Smartcardleser eingefügt wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Smartcard Plug and Play deaktiviert, und ein Gerätetreiber wird nicht installiert, wenn eine Karte in einen Smartcardleser eingefügt wird.

Hinweis

Diese Richtlinieneinstellung wird nur für Smartcards angewendet, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name SCPnPEnabled
Anzeigename Aktivieren des Smartcard-Plug-and-Play-Diensts
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\ScPnP
Name des Registrierungswertes EnableScPnP
ADMX-Dateiname Smartcard.admx

SCPnPNotification

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/SCPnPNotification

Mit dieser Richtlinieneinstellung können Sie steuern, ob eine Bestätigungsmeldung angezeigt wird, wenn ein Smartcard-Gerätetreiber installiert wird.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, wird eine Bestätigungsmeldung angezeigt, wenn ein Smartcard-Gerätetreiber installiert ist.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, wird keine Bestätigungsmeldung angezeigt, wenn ein Smartcard-Gerätetreiber installiert ist.

Hinweis

Diese Richtlinieneinstellung wird nur für Smartcards angewendet, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name SCPnPNotification
Anzeigename Benachrichtigen des Benutzers über die erfolgreiche Installation des Smartcardtreibers
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\ScPnP
Name des Registrierungswertes ScPnPNotification
ADMX-Dateiname Smartcard.admx

X509HintsNeeded

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/X509HintsNeeded

Mit dieser Richtlinieneinstellung können Sie bestimmen, ob während der Anmeldung und Der Rechteerweiterung ein optionales Feld angezeigt wird, das es einem Benutzer ermöglicht, seinen Benutzernamen oder benutzernamen und seine Domäne einzugeben und diesem Benutzer ein Zertifikat zuzuordnen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird ein optionales Feld angezeigt, mit dem ein Benutzer seinen Benutzernamen oder Benutzernamen und seine Domäne eingeben kann.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird kein optionales Feld angezeigt, in dem Benutzer ihren Benutzernamen oder Benutzernamen und ihre Domäne eingeben können.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name X509HintsNeeded
Anzeigename Benutzernamenhinweis zulassen
Position Computerkonfiguration
Pfad Smartcard für Windows-Komponenten >
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
Name des Registrierungswertes X509HintsNeeded
ADMX-Dateiname Smartcard.admx

Dienstanbieter für die Richtlinienkonfiguration