Condividi tramite


Provider di servizi di configurazione dei criteri - Sicurezza

AllowAddProvisioningPackage

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1507 [10.0.10240] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage

Specifica se consentire all'agente di configurazione di runtime di installare i pacchetti di provisioning.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Operazione non consentita.
1 (impostazione predefinita) Consentito.

AllowManualRootCertificateInstallation

Nota

Questo criterio è deprecato e può essere rimosso in una versione futura.

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
❌ Pro
❌ Enterprise
❌ Education
❌Windows SE
❌ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1507 [10.0.10240] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation

questa impostazione è deprecata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Operazione non consentita.
1 (impostazione predefinita) Consentito.

AllowRemoveProvisioningPackage

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1507 [10.0.10240] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage

Specifica se consentire all'agente di configurazione del runtime di rimuovere i pacchetti di provisioning.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Operazione non consentita.
1 (impostazione predefinita) Consentito.

AntiTheftMode

Nota

Questo criterio è deprecato e può essere rimosso in una versione futura.

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
Non applicabile ✅Windows 10 versione 1507 [10.0.10240] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode

questa impostazione è deprecata.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilitato.
1 (impostazione predefinita) Abilitata.

ClearTPMIfNotReady

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1709 [10.0.16299] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady

Questa impostazione di criterio configura il sistema per richiedere all'utente di cancellare il TPM se viene rilevato che il TPM si trova in uno stato diverso da Pronto. Questo criterio avrà effetto solo se il TPM del sistema si trova in uno stato diverso da Pronto, incluso se il TPM è "Pronto, con funzionalità ridotte". La richiesta di cancellazione del TPM verrà avviata dopo il riavvio successivo, all'accesso utente solo se l'utente connesso fa parte del gruppo Administrators per il sistema. La richiesta può essere ignorata, ma verrà nuovamente visualizzata dopo ogni riavvio e accesso fino a quando il criterio non viene disabilitato o finché il TPM non è in uno stato Pronto.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Non forza il ripristino da uno stato TPM non pronto.
1 Richiederà di cancellare il TPM se il TPM è in uno stato non pronto (o con funzionalità ridotte) che può essere corretto con un TPM Clear.

Mapping dei criteri di gruppo:

Nome Valore
Nome ClearTPMIfNotReady_Name
Nome descrittivo Configurare il sistema per cancellare il TPM se non è pronto.
Posizione Configurazione computer
Percorso System > Trusted Platform Module Services
Nome della chiave del Registro di sistema Software\Policies\Microsoft\TPM
Nome del valore del registro ClearTPMIfNotReadyGP
Nome file ADMX TPM.admx

ConfigurareWindowsPasswords

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1803 [10.0.17134] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords

Configura l'uso delle password per le funzionalità di Windows.

Nota

Questo criterio è supportato solo in Windows 10 S.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 2

Valori consentiti:

Value Descrizione
0 Non consentire le password (le credenziali asimmetriche verranno alzate di livello per sostituire le password nelle funzionalità di Windows).
1 Consenti password (le password continuano a essere usate per le funzionalità di Windows).
2 (impostazione predefinita) In base alle funzionalità dello SKU e del dispositivo. Windows 10 i dispositivi S mostreranno l'impostazione predefinita "Non consentire le password" e tutti gli altri dispositivi avranno il valore predefinito "Consenti password".

PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1607 [10.0.14393] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices

Specifica se consentire la crittografia automatica del dispositivo durante la configurazione guidata quando il dispositivo viene Microsoft Entra aggiunto.

Per altre informazioni, vedere Crittografia dispositivo BitLocker

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Crittografia abilitata.
1 Crittografia disabilitata.

RecoveryEnvironmentAuthentication

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
✅ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, versione 1809 [10.0.17763] e versioni successive
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication

Questo criterio controlla il requisito dell'autenticazione Amministrazione in RecoveryEnvironment.

Procedura di convalida:

Per convalidare questo criterio, controllare se l'aggiornamento ("Mantieni i file") e la reimpostazione ("Rimuovi tutto") richiedono l'autenticazione dell'amministratore in Ambiente ripristino Windows (WinRE).

  1. Per prima cosa, avviare Reimpostazione pulsante push (PBR) in WinRE. Aprire un prompt dei comandi come amministratore ed eseguire il comando seguente: reagentc /boottore
  2. Il dispositivo deve essere riavviato in WinRE. Nell'interfaccia di Ambiente ripristino Windows passare a Risoluzione dei problemi e selezionare Reimposta il PC. Verranno visualizzate due opzioni: Mantieni i file e Rimuovi tutto.
  3. Scegliere l'opzione Mantieni i file. Visualizzare il comportamento per l'autenticazione.
  4. Selezionare la freccia indietro e scegliere Rimuovi tutto. Visualizzare il comportamento per l'autenticazione.

Invece di tornare indietro, in alternativa è possibile passare attraverso le opzioni di reimpostazione e selezionare Annulla nella pagina di conferma finale. Verrà quindi restituita l'interfaccia WinRE principale.

La tabella seguente illustra il comportamento previsto per le impostazioni dei criteri per ogni scenario:

  • ✔️ Richiede l'autenticazione.
  • ❌ Non è necessaria alcuna autenticazione e continua con le opzioni di reimpostazione.
Criteri Mantenere i file Rimuovi tutto
Impostazione predefinita (0) ✔️
RequireAuthentication" (1) ✔️ ✔️
NoRequireAuthentication" (2)

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Comportamento corrente.
1 RequireAuthentication: l'autenticazione Amministrazione è sempre necessaria per i componenti in RecoveryEnvironment.
2 NoRequireAuthentication: l'autenticazione Amministrazione non è necessaria per i componenti in RecoveryEnvironment.

RequireDeviceEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1607 [10.0.14393] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption

Consente all'azienda di attivare la crittografia dell'archiviazione interna. Il valore con più restrizioni è 1. Importante. Se la crittografia è stata abilitata, non può essere disattivata usando questo criterio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) La crittografia non è necessaria.
1 È necessaria la crittografia.

RequireProvisioningPackageSignature

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1507 [10.0.10240] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature

Specifica se i pacchetti di provisioning devono avere un certificato firmato da un'autorità attendibile del dispositivo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Non richiesta.
1 Obbligatorio.

RequireRetrieveHealthCertificateOnBoot

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 versione 1507 [10.0.10240] e versioni successive
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot

Specifica se recuperare e registrare i log di avvio del TCG e ottenere o memorizzare nella cache un report di attestazione dell'integrità crittografato o firmato dal servizio di attestazione Microsoft Health al riavvio o all'avvio di un dispositivo. L'impostazione di questo criterio su 1 (Obbligatorio) :D determina se un dispositivo è in grado di attestazione remota dell'integrità del dispositivo, verificando se il dispositivo dispone di TPM 2. 0. Migliora le prestazioni del dispositivo consentendo al dispositivo di recuperare e memorizzare i dati nella cache per ridurre la latenza durante la verifica dell'integrità del dispositivo.

Nota

È consigliabile impostare questo criterio su Obbligatorio dopo la registrazione MDM. Il valore con più restrizioni è 1.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Non richiesta.
1 Obbligatorio.

Provider del servizio di configurazione dei criteri