CSP de directiva: DeviceLock
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>
. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
Importante
El CSP de DeviceLock usa el motor de directivas de Exchange ActiveSync. Cuando se aplican reglas de complejidad y longitud de contraseña, todas las cuentas de usuario y administrador locales se marcan para cambiar su contraseña en el siguiente inicio de sesión para asegurarse de que se cumplen los requisitos de complejidad. Para obtener más información, vea Longitud y complejidad de la contraseña compatibles con los tipos de cuenta.
AccountLockoutPolicy
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy
Umbral de bloqueo de cuenta: esta configuración de seguridad determina el número de intentos de inicio de sesión con errores que hace que una cuenta de usuario se bloquee. No se puede usar una cuenta bloqueada hasta que un administrador la restablezca o hasta que haya expirado la duración del bloqueo de la cuenta. Puede establecer un valor entre 0 y 999 intentos de inicio de sesión erróneos. Si establece el valor en 0, la cuenta nunca se bloqueará. Los intentos de contraseña erróneos en estaciones de trabajo o servidores miembros que se han bloqueado mediante CTRL+ALT+DELETE o protectores de pantalla protegidos con contraseña cuentan como intentos de inicio de sesión erróneos. Valor predeterminado: 0 Duración del bloqueo de la cuenta: esta configuración de seguridad determina el número de minutos que una cuenta bloqueada permanece bloqueada antes de desbloquearse automáticamente. El intervalo disponible es de 0 minutos a 99 9999 minutos. Si establece la duración del bloqueo de la cuenta en 0, la cuenta se bloqueará hasta que un administrador la desbloquee explícitamente. Si se define un umbral de bloqueo de cuenta, la duración del bloqueo de la cuenta debe ser mayor o igual que el tiempo de restablecimiento. Valor predeterminado: Ninguno, porque esta configuración de directiva solo tiene significado cuando se especifica un umbral de bloqueo de cuenta. Restablecer contador de bloqueo de cuenta después: esta configuración de seguridad determina el número de minutos que deben transcurrir después de un intento de inicio de sesión erróneo antes de que el contador de intentos de inicio de sesión con error se restablezca a 0 intentos de inicio de sesión incorrectos. El intervalo disponible es de 1 minuto a 99 999 minutos. Si se define un umbral de bloqueo de cuenta, este tiempo de restablecimiento debe ser menor o igual que la duración del bloqueo de la cuenta. Valor predeterminado: Ninguno, porque esta configuración de directiva solo tiene significado cuando se especifica un umbral de bloqueo de cuenta.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
AllowAdministratorLockout
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout
Permitir bloqueo de cuenta de administrador Esta configuración de seguridad determina si la cuenta de administrador integrada está sujeta a la directiva de bloqueo de cuenta.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-1] |
Valor predeterminado | 1 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Permitir bloqueo de cuenta de administrador |
Ruta de acceso | Directivas de > bloqueo de cuenta > de configuración de seguridad de > Configuración de Windows Directivas de bloqueo de cuentas |
AllowIdleReturnWithoutPassword
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
❌ Pro ❌ Empresa ❌ Educación ❌ Windows SE ❌ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword
Especifica si el usuario debe introducir un PIN o una contraseña cuando el dispositivo se reanuda desde un estado inactivo.
Nota
Actualmente, esta directiva solo se admite en HoloLens 2, HoloLens (1.ª generación) Commercial Suite y HoloLens (1.ª generación) Development Edition.
Nota
Esta directiva debe encapsularse en un comando atomic.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 1 |
Dependencia [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
Valor | Descripción |
---|---|
0 | No permitido. |
1 (valor predeterminado) | Permitido. |
AllowScreenTimeoutWhileLockedUserConfig
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
Especifica si se debe mostrar una configuración configurable por el usuario para controlar el tiempo de espera de la pantalla mientras se encuentra en la pantalla de bloqueo de Windows 10 Mobile dispositivos.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 0 |
Valores permitidos:
Valor | Descripción |
---|---|
1 | Permitir. |
0 (Predeterminado) | Bloquear. |
AllowSimpleDevicePassword
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword
Especifica si se permiten PIN o contraseñas como 1111 o 1234. Para el escritorio, también se controla el uso de contraseñas de imagen.
Para obtener más información sobre esta directiva, consulte introducción al motor de directivas de Exchange ActiveSync.
Nota
Esta directiva debe encapsularse en un comando atomic.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 1 |
Dependencia [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
Valor | Descripción |
---|---|
0 | No permitido. |
1 (valor predeterminado) | Permitido. |
AlphanumericDevicePasswordRequired
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Determina el tipo de PIN o contraseña necesarios. Esta directiva solo se aplica si la directiva DeviceLock/DevicePasswordEnabled está establecida en 0.
Nota
Si AlphanumericDevicePasswordRequired se establece en 1 o 2, MinDevicePasswordLength = 0 y MinDevicePasswordComplexCharacters = 1. Si AlphanumericDevicePasswordRequired está establecido en 0, MinDevicePasswordLength = 4 y MinDevicePasswordComplexCharacters = 2.
Nota
Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio (Home, Pro, Enterprise y Education).
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 2 |
Dependencia [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
Valor | Descripción |
---|---|
0 | Se requiere contraseña o PIN alfanumérico. |
1 | Se requiere contraseña o PIN numérico. |
2 (valor predeterminado) | Se requiere contraseña, PIN numérico o PIN alfanumérico. |
ClearTextPassword
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword
Almacenar contraseñas mediante cifrado reversible Esta configuración de seguridad determina si el sistema operativo almacena las contraseñas mediante el cifrado reversible. Esta directiva proporciona compatibilidad con aplicaciones que usan protocolos que requieren conocimientos de la contraseña del usuario con fines de autenticación. El almacenamiento de contraseñas mediante cifrado reversible es básicamente el mismo que el almacenamiento de versiones de texto no cifrado de las contraseñas. Por este motivo, esta directiva nunca debe habilitarse a menos que los requisitos de la aplicación superen la necesidad de proteger la información de contraseña. Esta directiva es necesaria cuando se usa la autenticación del Protocolo de autenticación de Challenge-Handshake (CHAP) a través del acceso remoto o los Servicios de autenticación de Internet (IAS). También es necesario cuando se usa la autenticación implícita en Internet Information Services (IIS).
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-1] |
Valor predeterminado | 0 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Almacenar contraseñas usando cifrado reversible |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
DevicePasswordEnabled
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Especifica si el bloqueo del dispositivo está habilitado.
Nota
Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio.
Importante
La configuración DevicePasswordEnabled debe establecerse en 0 (la contraseña del dispositivo está habilitada) para que la siguiente configuración de directiva surta efecto:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
Si DevicePasswordEnabled está establecido en 0 (la contraseña del dispositivo está habilitada), se establecen las directivas siguientes:
- MinDevicePasswordLength está establecido en 4
- MinDevicePasswordComplexCharacters está establecido en 1
Si DevicePasswordEnabled está establecido en 1 (la contraseña del dispositivo está deshabilitada), las siguientes directivas devicelock se establecen en 0:
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
DevicePasswordEnabled no debe establecerse en Habilitado (0) cuando se usa WMI para establecer las directivas de DeviceLock de EAS, dado que está habilitado de forma predeterminada en CSP de directivas para la compatibilidad con versiones anteriores con Windows 8.x. Si DevicePasswordEnabled está establecido en Enabled(0), policy CSP devolverá un error que indica que DevicePasswordEnabled ya existe. Windows 8.x no admite la directiva DevicePassword. Al deshabilitar DevicePasswordEnabled (1), debe ser el único conjunto de directivas del grupo DeviceLock de las directivas que se enumeran a continuación:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
Nota
DevicePasswordExpiration no se admite a través de MDMWinsOverGP.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 1 |
Valores permitidos:
Valor | Descripción |
---|---|
0 | Habilitada. |
1 (valor predeterminado) | Deshabilitado. |
DevicePasswordExpiration
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration
Especifica cuándo expira la contraseña (en días).
Si todos los valores de directiva = 0, 0; De lo contrario, el valor de directiva min es el valor más seguro.
Para obtener más información sobre esta directiva, consulte introducción al motor de directivas de Exchange ActiveSync.
Nota
Esta directiva debe encapsularse en un comando atomic.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-730] |
Valor predeterminado | 0 |
Dependencia [DeviceLock_DevicePasswordExpiration_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
DevicePasswordHistory
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory
Especifica cuántas contraseñas se pueden almacenar en el historial que no se pueden usar.
El valor incluye la contraseña actual del usuario. Este valor indica que, con una configuración de 1, el usuario no puede reutilizar su contraseña actual al elegir una nueva contraseña, mientras que una configuración de 5 significa que un usuario no puede establecer su nueva contraseña en su contraseña actual o en cualquiera de sus cuatro contraseñas anteriores.
El valor máximo de la directiva es el más restringido.
Para obtener más información sobre esta directiva, consulte introducción al motor de directivas de Exchange ActiveSync.
Nota
Esta directiva debe encapsularse en un comando atomic.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-50] |
Valor predeterminado | 0 |
Dependencia [DeviceLock_DevicePasswordHistory_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
EnforceLockScreenAndLogonImage
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
Especifica la pantalla de bloqueo predeterminada y la imagen de inicio de sesión que se muestran cuando ningún usuario ha iniciado sesión. También establece la imagen especificada para todos los usuarios, que reemplaza a la imagen predeterminada. La misma imagen se usa para las pantallas de bloqueo e inicio de sesión. Los usuarios no podrán cambiar esta imagen. El tipo de valor es una cadena, que es la ruta de archivo de imagen completa y el nombre de archivo.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
EnforceLockScreenProvider
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
MaxDevicePasswordFailedAttempts
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts
Número de errores de autenticación permitidos antes de que se borre el dispositivo. Un valor de 0 deshabilita la funcionalidad de borrado de dispositivos.
Nota
Esta directiva debe encapsularse en un comando atomic. Esta directiva tiene comportamientos diferentes en el dispositivo móvil y el escritorio. En un dispositivo móvil, cuando el usuario alcanza el valor establecido por esta directiva, se borra el dispositivo. En un escritorio, cuando el usuario alcanza el valor establecido por esta directiva, no se borra. En su lugar, el escritorio se pone en modo de recuperación de BitLocker, lo que hace que los datos sean inaccesibles pero recuperables. Si BitLocker no está habilitado, no se puede aplicar la directiva. Antes de alcanzar el límite de intentos fallidos, el usuario se envía a la pantalla de bloqueo y se le advierte de que más intentos fallidos bloquearán su equipo. Cuando el usuario alcanza el límite, el dispositivo se reinicia automáticamente y muestra la página de recuperación de BitLocker. Esta página solicita al usuario la clave de recuperación de BitLocker. El valor más seguro es 0 si todos los valores de directiva = 0; De lo contrario, el valor de directiva min es el valor más seguro. Para obtener más información sobre esta directiva, consulte Exchange ActiveSync Información general sobre el motor de directivas.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-999] |
Valor predeterminado | 0 |
Dependencia [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
MaximumPasswordAge
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge
Esta configuración de seguridad determina el período de tiempo (en días) que se puede usar una contraseña antes de que el sistema requiera que el usuario la cambie. Puede establecer que las contraseñas expiren después de varios días entre 1 y 999, o bien puede especificar que las contraseñas nunca expiren estableciendo el número de días en 0. Si la edad máxima de la contraseña está entre 1 y 999 días, la edad mínima de la contraseña debe ser menor que la edad máxima de la contraseña. Si la antigüedad máxima de la contraseña se establece en 0, la edad mínima de la contraseña puede ser cualquier valor entre 0 y 998 días.
Nota
Es un procedimiento recomendado de seguridad que las contraseñas expiren cada 30 a 90 días, en función de su entorno. De este modo, un atacante tiene una cantidad limitada de tiempo en la que descifrar la contraseña de un usuario y tener acceso a los recursos de red. Valor predeterminado: 42.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-999] |
Valor predeterminado | 42 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Vigencia máxima de la contraseña |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
MaxInactivityTimeDeviceLock
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
Especifica la cantidad máxima de tiempo (en minutos) permitida después de que el dispositivo esté inactivo, lo que hará que el dispositivo se convierta en PIN o contraseña bloqueada. Los usuarios pueden seleccionar cualquier valor de tiempo de espera existente menor que el tiempo máximo especificado en la aplicación Configuración.
En HoloLens, este tiempo de espera se controla mediante el tiempo de espera de suspensión del sistema del dispositivo, independientemente del valor establecido por esta directiva.
Nota
Esta directiva debe encapsularse en un comando atomic.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-999] |
Valor predeterminado | 0 |
Dependencia [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
MaxInactivityTimeDeviceLockWithExternalDisplay
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
❌ Pro ❌ Empresa ❌ Educación ❌ Windows SE ❌ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay
Establece el valor de tiempo de espera máximo para la presentación externa.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [1-999] |
Valor predeterminado | 0 |
MinDevicePasswordComplexCharacters
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters
Número de tipos de elementos complejos (letras mayúsculas y minúsculas, números y signos de puntuación) necesarios para un PIN o contraseña seguros.
En la lista siguiente se muestran los valores admitidos y los valores aplicados reales:
Tipo de cuenta | Valores admitidos | Valores aplicados reales |
---|---|---|
Cuentas locales | 1,2,3 | 3 |
Cuentas de Microsoft | 1,2 | <p2 |
Cuentas de dominio | No se admite | No se admite |
Valores aplicados para cuentas locales y microsoft:
- Las cuentas locales admiten valores de 1, 2 y 3, pero siempre aplican un valor de 3.
- Las contraseñas de las cuentas locales deben cumplir los siguientes requisitos mínimos:
- No contiene el nombre de cuenta del usuario ni partes del nombre completo del usuario que superen dos caracteres consecutivos
- Tener al menos seis caracteres de longitud
- Contener caracteres de tres de las cuatro categorías siguientes:
- Caracteres en mayúsculas en inglés (de A a Z)
- Caracteres en minúsculas en inglés (de a a z)
- Dígitos de base 10 (del 0 al 9)
- Caracteres especiales (!, $, #, %, etc.)
La aplicación de directivas para cuentas de Microsoft se produce en el servidor y el servidor requiere una longitud de contraseña de 8 y una complejidad de 2. No se admite un valor de complejidad de 3 o 4 y establecer este valor en el servidor hace que las cuentas de Microsoft no sean compatibles.
Para obtener más información sobre esta directiva, consulte Exchange ActiveSync artículo introducción al motor de directivas y KB.
Nota
Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 1 |
Dependencia [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] | Tipo de dependencia: DependsOn DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired Valor permitido de dependencia: [0] [0] Tipo de valor permitido de dependencia: Range Range |
Valores permitidos:
Valor | Descripción |
---|---|
1 (valor predeterminado) | Solo dígitos. |
2 | Se requieren dígitos y letras minúsculas. |
3 | Se requieren dígitos en minúsculas y letras mayúsculas. No se admite en cuentas de escritorio de Microsoft y cuentas de dominio. |
4 | Se requieren dígitos con letras minúsculas en mayúsculas y caracteres especiales. No se admite en el escritorio. |
MinDevicePasswordLength
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
Especifica el número mínimo o los caracteres necesarios en el PIN o la contraseña.
El valor máximo de la directiva es el más restringido.
Para obtener más información sobre esta directiva, consulte Exchange ActiveSync artículo introducción al motor de directivas y KB.
Nota
Esta directiva debe encapsularse en un comando atomic. Use siempre el comando Reemplazar en lugar de Agregar para esta directiva en Windows para ediciones de escritorio.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [4-16] |
Valor predeterminado | 4 |
Dependencia [DeviceLock_MinDevicePasswordLength_DependencyGroup] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
Ejemplo:
En el ejemplo siguiente se muestra cómo establecer la longitud mínima de la contraseña en 4 caracteres.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
MinimumPasswordAge
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge
Esta configuración de seguridad determina el período de tiempo (en días) que se debe usar una contraseña para que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días, o bien puede permitir los cambios inmediatamente estableciendo el número de días en 0. La antigüedad mínima de la contraseña debe ser menor que la edad máxima de la contraseña, a menos que la antigüedad máxima de la contraseña se establezca en 0, lo que indica que las contraseñas nunca expirarán. Si la antigüedad máxima de la contraseña se establece en 0, la edad mínima de la contraseña se puede establecer en cualquier valor comprendido entre 0 y 998. Configure la antigüedad mínima de la contraseña para que sea mayor que 0 si desea que el historial de la aplicación de contraseñas sea efectivo. Sin una edad mínima de contraseña, los usuarios pueden recorrer repetidamente las contraseñas hasta que lleguen a un favorito antiguo. La configuración predeterminada no sigue esta recomendación, por lo que un administrador puede especificar una contraseña para un usuario y, a continuación, requerir que el usuario cambie la contraseña definida por el administrador cuando el usuario inicia sesión. Si el historial de contraseñas está establecido en 0, el usuario no tiene que elegir una nueva contraseña. Por este motivo, Aplicar historial de contraseñas se establece en 1 de forma predeterminada.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-998] |
Valor predeterminado | 1 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Vigencia mínima de la contraseña |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
MinimumPasswordLength
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength
Esta configuración de seguridad determina el número mínimo de caracteres que puede contener una contraseña para una cuenta de usuario. El valor máximo de esta configuración depende del valor de la opción Relajar límites mínimos de longitud de contraseña. Si no se define la opción Relajar límites mínimos de longitud de contraseña, esta configuración puede configurarse de 0 a 14. Si la opción Relajar límites mínimos de longitud de contraseña está definida y deshabilitada, esta opción se puede configurar de 0 a 14. Si la opción Relajar límites mínimos de longitud de contraseña está definida y habilitada, esta opción se puede configurar de 0 a 128. Establecer el número necesario de caracteres en 0 significa que no se requiere ninguna contraseña.
Nota
De forma predeterminada, los equipos miembros siguen la configuración de sus controladores de dominio. Valores predeterminados: 7 en los controladores de dominio 0 en servidores independientes La configuración de esta configuración mayor que 14 puede afectar a la compatibilidad con clientes, servicios y aplicaciones. Se recomienda configurar esta configuración solo con más de 14 después de usar la configuración de auditoría Longitud mínima de contraseña para probar posibles incompatibilidades en la nueva configuración.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-128] |
Valor predeterminado | 0 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Longitud mínima de la contraseña |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
MinimumPasswordLengthAudit
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit
Esta configuración de seguridad determina la longitud mínima de la contraseña para la que se emiten los eventos de advertencia de auditoría de longitud de contraseña. Esta configuración se puede configurar del 1 al 128. Solo debe habilitar y configurar esta configuración cuando intente determinar el posible efecto de aumentar la configuración de longitud mínima de contraseña en el entorno. Si no se define esta configuración, no se emitirán eventos de auditoría. Si esta configuración está definida y es menor o igual que la configuración de longitud mínima de la contraseña, no se emitirán eventos de auditoría. Si esta configuración está definida y es mayor que la configuración de longitud mínima de la contraseña, y la longitud de una nueva contraseña de cuenta es menor que esta configuración, se emitirá un evento de auditoría.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [1-128] |
Valor predeterminado | 4294967295 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Auditoría de longitud mínima de contraseña |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
PasswordComplexity
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity
La contraseña debe cumplir los requisitos de complejidad. Esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si esta directiva está habilitada, las contraseñas deben cumplir los siguientes requisitos mínimos:
- No contiene el nombre de cuenta del usuario ni partes del nombre completo del usuario que superen dos caracteres consecutivos
- Tener al menos seis caracteres de longitud
- Contener caracteres de tres de las cuatro categorías siguientes:
- Caracteres en mayúsculas en inglés (de A a Z)
- Caracteres en minúsculas en inglés (de a a z)
- Dígitos de base 10 (del 0 al 9)
- Caracteres no alfabéticos (por ejemplo, !, $, #, %)
Se aplican requisitos de complejidad cuando se cambian o se crean contraseñas.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-1] |
Valor predeterminado | 1 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Las contraseñas deben cumplir los requisitos de complejidad |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
PasswordHistorySize
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize
Aplicar historial de contraseñas Esta configuración de seguridad determina el número de contraseñas nuevas únicas que deben asociarse a una cuenta de usuario antes de que se pueda reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad al asegurarse de que las contraseñas antiguas no se reutilizan continuamente. Valor predeterminado: 24 en controladores de dominio. 0 en servidores independientes.
Nota
De forma predeterminada, los equipos miembros siguen la configuración de sus controladores de dominio. Para mantener la eficacia del historial de contraseñas, no permita que las contraseñas se cambien inmediatamente después de que se hayan cambiado al habilitar también la configuración de directiva de seguridad Edad mínima de contraseña. Para obtener información sobre la configuración de la directiva de seguridad de edad mínima de contraseña, consulte Edad mínima de la contraseña.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [0-24] |
Valor predeterminado | 24 |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Exigir historial de contraseñas |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
PreventEnablingLockScreenCamera
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera
Deshabilita el interruptor de alternancia de la cámara de pantalla de bloqueo en configuración de PC e impide que se invoque una cámara en la pantalla de bloqueo.
De forma predeterminada, los usuarios pueden habilitar la invocación de una cámara disponible en la pantalla de bloqueo.
Si habilita esta configuración, los usuarios ya no podrán habilitar o deshabilitar el acceso a la cámara de pantalla de bloqueo en la configuración del equipo y la cámara no se puede invocar en la pantalla de bloqueo.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | CPL_Personalization_NoLockScreenCamera |
Nombre descriptivo | Impedir la habilitación de la cámara de pantalla de bloqueo |
Ubicación | Configuración del equipo |
Ruta de acceso | > personalización de Panel de control |
Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\Personalization |
Nombre del valor de registro | NoLockScreenCamera |
Nombre de archivo ADMX | ControlPanelDisplay.admx |
PreventLockScreenSlideShow
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
Deshabilita la configuración de la presentación con diapositivas de la pantalla de bloqueo en Configuración de PC e impide que se reprodízca una presentación con diapositivas en la pantalla de bloqueo.
De forma predeterminada, los usuarios pueden habilitar una presentación con diapositivas que se ejecutará después de bloquear la máquina.
Si habilita esta configuración, los usuarios ya no podrán modificar la configuración de presentación con diapositivas en Configuración de PC y no se iniciará ninguna presentación con diapositivas.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | CPL_Personalization_NoLockScreenSlideshow |
Nombre descriptivo | Evitar la activación de la presentación con diapositivas de la pantalla de bloqueo |
Ubicación | Configuración del equipo |
Ruta de acceso | > personalización de Panel de control |
Nombre de la clave del Registro | Software\Policies\Microsoft\Windows\Personalization |
Nombre del valor de registro | NoLockScreenSlideshow |
Nombre de archivo ADMX | ControlPanelDisplay.admx |
RelaxMinimumPasswordLengthLimits
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits
Esta configuración controla si la configuración de longitud mínima de la contraseña se puede aumentar más allá del límite heredado de 14. Si no se define esta configuración, la longitud mínima de la contraseña puede configurarse en no más de 14. Si esta configuración está definida y deshabilitada, la longitud mínima de la contraseña puede configurarse en no más de 14. Si esta configuración está definida y habilitada, la longitud mínima de la contraseña puede configurarse más de 14.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 0 |
Valores permitidos:
Valor | Descripción |
---|---|
0 (Predeterminado) | Deshabilitado. |
1 | Habilitado. |
Asignación de directivas de grupo:
Nombre | Valor |
---|---|
Nombre | Relajar la longitud mínima de la contraseña |
Ruta de acceso | Directiva de contraseña de > directivas > de cuenta de configuración de seguridad de > Configuración de Windows |
ScreenTimeoutWhileLocked
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked
Especifica si se debe mostrar una configuración configurable por el usuario para controlar el tiempo de espera de la pantalla mientras se encuentra en la pantalla de bloqueo de Windows 10 Mobile dispositivos.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | Gama: [10-1800] |
Valor predeterminado | 10 |