Richtlinien-CSP – ADMX_Smartcard
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
AllowCertificatesWithNoEKU
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowCertificatesWithNoEKU
Mit dieser Richtlinieneinstellung können Sie zulassen, dass Zertifikate ohne festgelegte erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für die Anmeldung verwendet werden.
In Windows-Versionen vor Windows Vista erfordern Smartcardzertifikate, die für die Anmeldung verwendet werden, eine Erweiterung für erweiterte Schlüsselverwendung (Extended Key Usage, EKU) mit einem Smartcard-Anmeldeobjektbezeichner. Diese Richtlinieneinstellung kann verwendet werden, um diese Einschränkung zu ändern.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Zertifikate mit den folgenden Attributen auch für die Anmeldung mit einer Smartcard verwendet werden:
Zertifikate ohne EKU
Zertifikate mit einer allzweck-EKU
Zertifikate mit einer Clientauthentifizierungs-EKU.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können nur Zertifikate, die den Smartcard-Anmeldeobjektbezeichner enthalten, für die Anmeldung mit einer Smartcard verwendet werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowCertificatesWithNoEKU |
| Anzeigename | Zulassen von Zertifikaten ohne Zertifikatsattribut für erweiterte Schlüsselverwendung |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | AllowCertificatesWithNoEKU |
| ADMX-Dateiname | Smartcard.admx |
AllowIntegratedUnblock
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowIntegratedUnblock
Mit dieser Richtlinieneinstellung können Sie bestimmen, ob das integrierte Feature zum Aufheben der Blockierung in der Benutzeroberfläche für die Anmeldung verfügbar ist.
Um die integrierte Entblockungsfunktion verwenden zu können, muss Ihre Smartcard dieses Feature unterstützen. Wenden Sie sich an Ihren Hardwarehersteller, um zu erfahren, ob Ihre Smartcard dieses Feature unterstützt.
Wenn Sie diese Richtlinieneinstellung aktivieren, ist die integrierte Funktion zum Aufheben der Blockierung verfügbar.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist die integrierte Funktion zum Aufheben der Blockierung nicht verfügbar.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowIntegratedUnblock |
| Anzeigename | Anzeige des Bildschirms "Integriertes Entsperren" zum Zeitpunkt der Anmeldung zulassen |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | AllowIntegratedUnblock |
| ADMX-Dateiname | Smartcard.admx |
AllowSignatureOnlyKeys
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowSignatureOnlyKeys
Mit dieser Richtlinieneinstellung können Sie zulassen, dass auf Signaturschlüsseln basierende Zertifikate aufgelistet und für die Anmeldung verfügbar sind.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle zertifikate, die auf der Smartcard mit einem signaturgeschützten Schlüssel verfügbar sind, auf dem Anmeldebildschirm aufgeführt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle verfügbaren schlüsselbasierten Smartcardsignaturzertifikate nicht auf dem Anmeldebildschirm aufgeführt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowSignatureOnlyKeys |
| Anzeigename | Signaturschlüssel zulassen, die für die Anmeldung gültig sind |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | AllowSignatureOnlyKeys |
| ADMX-Dateiname | Smartcard.admx |
AllowTimeInvalidCertificates
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/AllowTimeInvalidCertificates
Mit dieser Richtlinieneinstellung können diese Zertifikate für die Anmeldung angezeigt werden, die entweder abgelaufen oder noch nicht gültig sind.
In früheren Versionen von Microsoft Windows mussten Zertifikate eine gültige Zeit enthalten und waren nicht abgelaufen. Das Zertifikat muss weiterhin vom Domänencontroller akzeptiert werden, damit es verwendet werden kann. Diese Einstellung steuert nur die Anzeige des Zertifikats auf dem Clientcomputer.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden Zertifikate auf dem Anmeldebildschirm aufgelistet, unabhängig davon, ob sie eine ungültige Zeit haben oder ob ihre Gültigkeitsdauer abgelaufen ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden abgelaufene oder noch ungültige Zertifikate nicht auf dem Anmeldebildschirm aufgeführt.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | AllowTimeInvalidCertificates |
| Anzeigename | Zeit ungültige Zertifikate zulassen |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | AllowTimeInvalidCertificates |
| ADMX-Dateiname | Smartcard.admx |
CertPropEnabledString
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/CertPropEnabledString
Mit dieser Richtlinieneinstellung können Sie die Zertifikatweitergabe verwalten, die beim Einfügen einer Smartcard erfolgt.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, erfolgt die Zertifikatweitergabe beim Einfügen der Smartcard.
Wenn Sie diese Richtlinieneinstellung deaktivieren, erfolgt keine Zertifikatweitergabe, und die Zertifikate werden nicht für Anwendungen wie Outlook verfügbar gemacht.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | CertPropEnabledString |
| Anzeigename | Aktivieren der Zertifikatweitergabe über die Smartcard |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\CertProp |
| Name des Registrierungswertes | CertPropEnabled |
| ADMX-Dateiname | Smartcard.admx |
CertPropRootCleanupString
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/CertPropRootCleanupString
Mit dieser Richtlinieneinstellung können Sie das Bereinigungsverhalten von Stammzertifikaten verwalten.
Wenn Sie diese Richtlinieneinstellung aktivieren, erfolgt die Bereinigung des Stammzertifikats entsprechend der ausgewählten Option.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, erfolgt die Bereinigung des Stammzertifikats bei der Abmeldung.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | CertPropRootCleanupString |
| Anzeigename | Konfigurieren der Stammzertifikatbereinigung |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\CertProp |
| ADMX-Dateiname | Smartcard.admx |
CertPropRootEnabledString
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/CertPropRootEnabledString
Mit dieser Richtlinieneinstellung können Sie die Weitergabe des Stammzertifikats verwalten, die beim Einfügen einer Smartcard erfolgt.
- Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, erfolgt die Weitergabe des Stammzertifikats beim Einfügen der Smartcard.
Hinweis
Damit diese Richtlinieneinstellung funktioniert, muss auch die folgende Richtlinieneinstellung aktiviert sein: Aktivieren der Zertifikatweitergabe über die Smartcard.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Stammzertifikate nicht von der Smartcard weitergegeben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | CertPropRootEnabledString |
| Anzeigename | Aktivieren der Stammzertifikatweitergabe über die Smartcard |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\CertProp |
| Name des Registrierungswertes | EnableRootCertificatePropagation |
| ADMX-Dateiname | Smartcard.admx |
DisallowPlaintextPin
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/DisallowPlaintextPin
Diese Richtlinieneinstellung verhindert, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, gibt der Anmeldeinformations-Manager keine Klartext-PIN zurück.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden.
Hinweis
Das Aktivieren dieser Richtlinieneinstellung könnte verhindern, dass bestimmte Smartcards unter Windows funktionieren. Wenden Sie sich an den Hersteller Ihrer Smartcard, um herauszufinden, ob diese Richtlinieneinstellung Sie betrifft.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DisallowPlaintextPin |
| Anzeigename | Verhindern, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | DisallowPlaintextPin |
| ADMX-Dateiname | Smartcard.admx |
EnumerateECCCerts
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/EnumerateECCCerts
Mit dieser Richtlinieneinstellung können Sie steuern, ob ECC-Zertifikate (Elliptic Curve Cryptography) auf einer Smartcard verwendet werden können, um sich bei einer Domäne anzumelden.
Wenn Sie diese Richtlinieneinstellung aktivieren, können ECC-Zertifikate auf einer Smartcard verwendet werden, um sich bei einer Domäne anzumelden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können ECC-Zertifikate auf einer Smartcard nicht für die Anmeldung bei einer Domäne verwendet werden.
Hinweis
Diese Richtlinieneinstellung wirkt sich nur auf die Möglichkeit eines Benutzers aus, sich bei einer Domäne anzumelden. ECC-Zertifikate auf einer Smartcard, die für andere Anwendungen wie die Dokumentsignatur verwendet werden, sind von dieser Richtlinieneinstellung nicht betroffen.
Hinweis
Wenn Sie einen ECDSA-Schlüssel für die Anmeldung verwenden, müssen Sie auch über einen zugeordneten ECDH-Schlüssel verfügen, um Anmeldungen zuzulassen, wenn Sie nicht mit dem Netzwerk verbunden sind.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | EnumerateECCCerts |
| Anzeigename | Zulassen der Verwendung von ECC-Zertifikaten für die Anmeldung und Authentifizierung |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | EnumerateECCCerts |
| ADMX-Dateiname | Smartcard.admx |
FilterDuplicateCerts
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/FilterDuplicateCerts
Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob alle Gültigen Anmeldezertifikate angezeigt werden.
Während des Zertifikatverlängerungszeitraums kann ein Benutzer mehrere gültige Anmeldezertifikate aus derselben Zertifikatvorlage ausgestellt haben. Dies kann zu Verwirrung darüber führen, welches Zertifikat für die Anmeldung ausgewählt werden soll. Der häufige Fall für dieses Verhalten ist, wenn ein Zertifikat erneuert wird und das alte Zertifikat noch nicht abgelaufen ist. Es wird festgestellt, dass zwei Zertifikate identisch sind, wenn sie von derselben Vorlage mit derselben Hauptversion ausgestellt werden und für denselben Benutzer (bestimmt durch den UPN) gelten.
Wenn zwei oder mehr des "gleichen" Zertifikats auf einer Smartcard vorhanden sind und diese Richtlinie aktiviert ist, wird das Zertifikat angezeigt, das für die Anmeldung unter Windows 2000, Windows XP und Windows 2003 Server verwendet wird. Andernfalls wird das Zertifikat mit der in Zukunft am weitesten entfernten Ablaufzeit angezeigt.
Hinweis
Diese Einstellung wird nach der folgenden Richtlinie angewendet: "Zeit ungültige Zertifikate zulassen".
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, erfolgt die Filterung.
Wenn Sie diese Richtlinieneinstellung deaktivieren, erfolgt keine Filterung.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | FilterDuplicateCerts |
| Anzeigename | Filtern doppelter Anmeldezertifikate |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | FilterDuplicateCerts |
| ADMX-Dateiname | Smartcard.admx |
ForceReadingAllCertificates
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/ForceReadingAllCertificates
Mit dieser Richtlinieneinstellung können Sie das Lesen aller Zertifikate von der Smartcard für die Anmeldung verwalten.
Während der Anmeldung liest Windows standardmäßig nur das Standardzertifikat von der Smartcard, es sei denn, es unterstützt den Abruf aller Zertifikate in einem einzigen Aufruf. Diese Einstellung zwingt Windows, alle Zertifikate von der Karte zu lesen. Dies kann in bestimmten Situationen zu einer erheblichen Leistungsminderung führen. Wenden Sie sich an Ihren Smartcardanbieter, um festzustellen, ob Ihre Smartcard und der zugehörige CSP das erforderliche Verhalten unterstützen.
Wenn Sie diese Einstellung aktivieren, versucht Windows, alle Zertifikate von der Smartcard zu lesen, unabhängig vom Featuresatz des CSP.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, versucht Windows nur, das Standardzertifikat von den Karten zu lesen, die nicht das Abrufen aller Zertifikate in einem einzigen Aufruf unterstützen. Andere Zertifikate als die Standardeinstellung sind für die Anmeldung nicht verfügbar.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ForceReadingAllCertificates |
| Anzeigename | Erzwingen des Lesens aller Zertifikate von der Smartcard |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | ForceReadingAllCertificates |
| ADMX-Dateiname | Smartcard.admx |
IntegratedUnblockPromptString
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/IntegratedUnblockPromptString
Mit dieser Richtlinieneinstellung können Sie die angezeigte Meldung verwalten, wenn eine Smartcard blockiert wird.
- Wenn Sie diese Richtlinieneinstellung aktivieren, wird dem Benutzer die angegebene Meldung angezeigt, wenn die Smartcard blockiert wird.
Hinweis
Die folgende Richtlinieneinstellung muss aktiviert sein: Anzeige des Bildschirms "Integrierte Blockierung aufheben" zum Zeitpunkt der Anmeldung zulassen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird dem Benutzer die Standardmeldung angezeigt, wenn die Smartcard blockiert wird, wenn das Feature zum Aufheben der integrierten Blockierung aktiviert ist.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | IntegratedUnblockPromptString |
| Anzeigename | Anzeigen einer Zeichenfolge beim Blockieren der Smartcard |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| ADMX-Dateiname | Smartcard.admx |
ReverseSubject
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/ReverseSubject
Mit dieser Richtlinieneinstellung können Sie den Antragstellernamen von der Speicherung im Zertifikat umkehren, wenn er während der Anmeldung angezeigt wird.
Standardmäßig wird der Benutzerprinzipalname (UPN) zusätzlich zum allgemeinen Namen angezeigt, damit Benutzer ein Zertifikat von einem anderen unterscheiden können. Wenn der Zertifikatantragsteller z. B. CN=User1, OU=Users, DN=example, DN=com lautet und einen UPN von user1@example.com hatte, wird "User1" zusammen mit "user1@example.com" angezeigt. Wenn der UPN nicht vorhanden ist, wird der gesamte Antragstellername angezeigt. Diese Einstellung steuert die Darstellung dieses Antragstellernamens und muss möglicherweise pro Organisation angepasst werden.
Wenn Sie diese Richtlinieneinstellung aktivieren oder diese Einstellung nicht konfigurieren, wird der Antragstellername umgekehrt.
Wenn Sie deaktivieren, wird der Antragstellername so angezeigt, wie er im Zertifikat angezeigt wird.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ReverseSubject |
| Anzeigename | Umkehren des in einem Zertifikat gespeicherten Antragstellernamens bei der Anzeige |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | ReverseSubject |
| ADMX-Dateiname | Smartcard.admx |
SCPnPEnabled
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/SCPnPEnabled
Mit dieser Richtlinieneinstellung können Sie steuern, ob Smartcard Plug and Play aktiviert ist.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, wird Smartcard Plug and Play aktiviert, und das System versucht, einen Smartcard-Gerätetreiber zu installieren, wenn eine Karte zum ersten Mal in einen Smartcardleser eingefügt wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Smartcard Plug and Play deaktiviert, und ein Gerätetreiber wird nicht installiert, wenn eine Karte in einen Smartcardleser eingefügt wird.
Hinweis
Diese Richtlinieneinstellung wird nur für Smartcards angewendet, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | SCPnPEnabled |
| Anzeigename | Aktivieren des Smartcard-Plug-and-Play-Diensts |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\ScPnP |
| Name des Registrierungswertes | EnableScPnP |
| ADMX-Dateiname | Smartcard.admx |
SCPnPNotification
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/SCPnPNotification
Mit dieser Richtlinieneinstellung können Sie steuern, ob eine Bestätigungsmeldung angezeigt wird, wenn ein Smartcard-Gerätetreiber installiert wird.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, wird eine Bestätigungsmeldung angezeigt, wenn ein Smartcard-Gerätetreiber installiert ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird keine Bestätigungsmeldung angezeigt, wenn ein Smartcard-Gerätetreiber installiert ist.
Hinweis
Diese Richtlinieneinstellung wird nur für Smartcards angewendet, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | SCPnPNotification |
| Anzeigename | Benachrichtigen des Benutzers über die erfolgreiche Installation des Smartcardtreibers |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\ScPnP |
| Name des Registrierungswertes | ScPnPNotification |
| ADMX-Dateiname | Smartcard.admx |
X509HintsNeeded
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_Smartcard/X509HintsNeeded
Mit dieser Richtlinieneinstellung können Sie bestimmen, ob während der Anmeldung und Der Rechteerweiterung ein optionales Feld angezeigt wird, das es einem Benutzer ermöglicht, seinen Benutzernamen oder benutzernamen und seine Domäne einzugeben und diesem Benutzer ein Zertifikat zuzuordnen.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird ein optionales Feld angezeigt, mit dem ein Benutzer seinen Benutzernamen oder Benutzernamen und seine Domäne eingeben kann.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird kein optionales Feld angezeigt, in dem Benutzer ihren Benutzernamen oder Benutzernamen und ihre Domäne eingeben können.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | X509HintsNeeded |
| Anzeigename | Benutzernamenhinweis zulassen |
| Position | Computerkonfiguration |
| Pfad | Smartcard für Windows-Komponenten > |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider |
| Name des Registrierungswertes | X509HintsNeeded |
| ADMX-Dateiname | Smartcard.admx |