CSP de directiva: autenticación
AllowAadPasswordReset
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Especifica si el restablecimiento de contraseña está habilitado para las cuentas de Microsoft Entra.
Esta directiva permite al administrador de inquilinos de Microsoft Entra habilitar la característica de autoservicio de restablecimiento de contraseña en la pantalla de inicio de sesión de Windows.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. |
| 1 | Permitido. |
AllowEAPCertSSO
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ❌ ✅ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
Permite que una autenticación basada en certificados EAP para un inicio de sesión único (SSO) acceda a los recursos internos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. |
| 1 | Permitido. |
AllowFastReconnect
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
Permite que TLS del método EAP intente la reconexión rápida de EAP. El valor de mayor restricción es 0.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
AllowSecondaryAuthenticationDevice
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
Esta directiva permite a los usuarios usar un dispositivo complementario, como un teléfono, una banda de fitness o un dispositivo IoT, para iniciar sesión en un equipo de escritorio con Windows 10. El dispositivo complementario proporciona un segundo factor de autenticación con Windows Hello.
Si habilita o no establece esta configuración de directiva, los usuarios pueden autenticarse en Windows Hello mediante un dispositivo complementario.
Si deshabilita esta directiva, los usuarios no pueden usar un dispositivo complementario para autenticarse con Windows Hello.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. |
| 1 | Permitido. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| Nombre descriptivo | Permitir el dispositivo complementario para la autenticación secundaria |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Factor de autenticación secundaria de Microsoft |
| Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| Nombre del valor de registro | AllowSecondaryAuthenticationDevice |
| Nombre de archivo ADMX | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Especifica una lista de dominios que pueden acceder a la cámara web en escenarios de autenticación basados en inicio de sesión web.
Nota
El inicio de sesión web solo se admite en equipos unidos a Microsoft Entra.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: ;) |
Ejemplo:
Su organización federa a "Contoso IDP" y el portal de inicio de sesión web en signinportal.contoso.com requiere acceso a la cámara web. A continuación, el valor de esta directiva debe ser:
contoso.com
ConfigureWebSignInAllowedUrls
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB5001339 [10.0.17134.2145] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Especifica una lista de direcciones URL que se pueden navegar en escenarios de autenticación basados en el inicio de sesión web.
Esta directiva especifica la lista de dominios a los que los usuarios pueden acceder en determinados escenarios de autenticación. Por ejemplo:
- Restablecimiento del PIN del identificador de entrada de Microsoft
- Escenarios de dispositivo Windows de inicio de sesión web en los que la autenticación se controla mediante servicios de federación de Active Directory (AD FS) o un proveedor de identidades federado de terceros
Nota
Esta directiva es necesaria en entornos federados como mitigación de la vulnerabilidad descrita en CVE-2021-27092.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: ;) |
Ejemplo:
Se espera que el flujo de autenticación de inicio de sesión web o restablecimiento de PIN de la organización vaya a los dos dominios siguientes: accounts.contoso.com y signin.contoso.com. A continuación, el valor de esta directiva debe ser:
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
Especifica si las nuevas cuentas de Microsoft Entra que no son de administración deben conectarse automáticamente a las cuentas locales candidatas creadas previamente.
Esta directiva está pensada para su uso en equipos compartidos para habilitar una primera experiencia de inicio de sesión rápida para un usuario. Funciona conectando automáticamente nuevas cuentas de Microsoft Entra que no son de administración a las cuentas locales candidatas preconfiguradas.
Importante
Las cuentas locales candidatas preconfiguradas son cuentas locales preconfiguradas o agregadas en el dispositivo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | La característica tiene como valor predeterminado las funcionalidades de sku y dispositivo existentes. |
| 1 | Habilitado. Conecte automáticamente nuevas cuentas de Microsoft Entra que no sean de administración a cuentas locales candidatas preconfiguradas. |
| 2 | Deshabilitado. No conecte automáticamente nuevas cuentas de Microsoft Entra que no sean de administración a cuentas locales preconfiguradas. |
EnablePasswordlessExperience
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 11, versión 23H2 con KB5031455 [10.0.22631.2506] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Especifica si los usuarios conectados en dispositivos unidos a Microsoft Entra reciben una experiencia sin contraseña en Windows.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | La característica tiene como valor predeterminado las funcionalidades de edición y dispositivo existentes. |
| 1 | Habilitado. La experiencia sin contraseña se habilitará en Windows. |
| 2 | Deshabilitado. La experiencia sin contraseña no se habilitará en Windows. |
EnableWebSignIn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Especifica si se permite el inicio de sesión basado en web para iniciar sesión en Windows.
El inicio de sesión web es un proveedor de credenciales que permite una experiencia de inicio de sesión basada en web en dispositivos Windows. Inicialmente introducido en Windows 10 con compatibilidad solo con el pase de acceso temporal (TAP), el inicio de sesión web expandió sus funcionalidades a partir de Windows 11, versión 22H2 con KB5030310. Para obtener más información, consulte Inicio de sesión web para Windows.
Nota
El inicio de sesión web solo se admite en equipos unidos a Microsoft Entra.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | La característica tiene como valor predeterminado las funcionalidades de sku y dispositivo existentes. |
| 1 | Habilitado. El inicio de sesión web se habilitará para iniciar sesión en Windows. |
| 2 | Deshabilitado. El inicio de sesión web no se habilitará para iniciar sesión en Windows. |
PreferredAadTenantDomainName
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Especifica el dominio preferido entre los dominios disponibles en el inquilino de Microsoft Entra.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Ejemplo:
La organización usa el nombre de dominio del @contoso.com inquilino. A continuación, el valor de esta directiva debe ser:
contoso.com
Para el usuario abby@constoso.com, un inicio de sesión se realiza mediante abby en el campo nombre de usuario en lugar de abby@contoso.com.