Freigeben über


PassportForWork-Konfigurationsdienstanbieter

Logo von Windows Insider.

Wichtig

Dieser CSP enthält einige Einstellungen, die sich in der Entwicklung befinden und nur für Windows Insider Preview-Builds gelten. Diese Einstellungen können geändert werden und weisen möglicherweise Abhängigkeiten von anderen Vorschau-Features oder -Diensten auf.

Der PassportForWork-Konfigurationsdienstanbieter wird verwendet, um Windows Hello for Business (früher Microsoft Passport for Work) bereitzustellen. Damit können Sie sich mit Ihrem Active Directory- oder Microsoft Entra-Konto bei Windows anmelden und Kennwörter, Smartcards und virtuelle Smartcards ersetzen.

Wichtig

Ab Windows 10 Version 1607 ist allen Geräten nur eine PIN Windows Hello for Business zugeordnet. Somit unterliegen alle PINs eines Geräts den Richtlinien, die im PassportForWork CSP angegeben wurden. Die angegebenen Werte haben Vorrang vor allen Komplexitätsregeln, die über Exchange ActiveSync (EAS) oder DeviceLock CSP festgelegt wurden.

Die folgende Liste enthält die PassportForWork-Konfigurationsdienstanbieterknoten:

Device/{TenantId}

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}

Diese Richtlinie gibt die Mandanten-ID im Format einer GUID (Globally Unique Identifier) ohne geschweifte Klammern { }an, die als Teil der Bereitstellung und Verwaltung Windows Hello for Business verwendet wird.

Verwenden Sie zum Abrufen der GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter Abrufen der Windows Azure Active Directory-Mandanten-ID in Windows PowerShell.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen
Dynamische Knotenbenennung UniqueName: Eine GUID (Globally Unique Identifier) ohne geschweifte Klammern ( { , } ), die im Rahmen der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird. Verwenden Sie zum Abrufen einer GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

Device/{TenantId}/Policies

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Stammknoten für Richtlinien.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen

Device/{TenantId}/Policies/DisablePostLogonProvisioning

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2402] und höher
✅Windows 10, Version 2004 [10.0.19041.4239] und höher
✅Windows 11, Version 21H2 mit KB5036894 [10.0.22000.2899] und höher
✅Windows 11, Version 22H2 mit KB5035942 [10.0.22621.3374] und höher
✅Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

Starten Sie nach der Anmeldung nicht mit Windows Hello Bereitstellung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Bereitstellung aktiviert.
true Bereitstellung deaktiviert.

Device/{TenantId}/Policies/EnablePinRecovery

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Wenn der Benutzer seine PIN vergisst, kann sie mithilfe des Windows Hello for Business PIN-Wiederherstellungsdiensts in eine neue PIN geändert werden. Dieser Clouddienst verschlüsselt ein Wiederherstellungsgeheimnis, das lokal auf dem Client gespeichert ist, aber nur vom Clouddienst entschlüsselt werden kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird das PIN-Wiederherstellungsgeheimnis auf dem Gerät gespeichert, und der Benutzer kann zu einer neuen PIN wechseln, falls seine PIN vergessen wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das PIN-Wiederherstellungsgeheimnis nicht erstellt oder gespeichert. Wenn die PIN des Benutzers vergessen wird, besteht die einzige Möglichkeit zum Abrufen einer neuen PIN darin, die vorhandene PIN zu löschen und eine neue pin zu erstellen. Dadurch muss sich der Benutzer bei allen Diensten, auf die die alte PIN Zugriff gewährt hat, erneut registrieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Aktivieren Sie Windows Hello Bereitstellung, wenn sich Benutzer mit FIDO2-Sicherheitsschlüsseln bei ihren Geräten anmelden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/ExcludeSecurityDevices

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices

Stammknoten für ausgeschlossene Sicherheitsgeräte.

Hinweis

Nicht unterstützt unter Windows Holographic und Windows Holographic for Business.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

Einige Trusted Platform Modules (TPMs) sind nur mit der älteren Revision 1.2 der TPM-Spezifikation kompatibel, die von der Trusted Computing Group (TCG) definiert wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, dürfen TPM-Revision 1.2-Module nicht mit Windows Hello for Business verwendet werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, dürfen TPM-Revision 1.2-Module mit Windows Hello for Business verwendet werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/PINComplexity

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Stammknoten für PIN-Richtlinien.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen
Device/{TenantId}/Policies/PINComplexity/Digits
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Ziffern in der Windows Hello for Business PIN zu konfigurieren.

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens eine Ziffer in ihre PIN einschließen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erfordert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Ziffern in der PIN.
1 Erfordert die Verwendung von mindestens einer Ziffer in der PIN.
2 Die Verwendung von Ziffern in der PIN ist nicht zulässig.
Device/{TenantId}/Policies/PINComplexity/Expiration
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Diese Richtlinie gibt an, wann die PIN abläuft (in Tagen). Gültige Werte sind 0 bis einschließlich 730. Wenn diese Richtlinie auf 0 festgelegt ist, laufen PINs nicht ab.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-730]
Standardwert 0
Device/{TenantId}/Policies/PINComplexity/History
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Diese Richtlinie gibt die Anzahl der vergangenen PINs an, die im Verlauf gespeichert werden können, die nicht verwendet werden können. Gültige Werte sind 0 bis einschließlich 50. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung vorheriger PINs erforderlich. Der PIN-Verlauf wird durch die PIN-Zurücksetzung nicht beibehalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-50]
Standardwert 0
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Kleinbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, müssen Benutzer Windows Hello for Business mindestens einen Kleinbuchstaben in ihre PIN einfügen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, Windows Hello for Business verhindert, dass Benutzer Kleinbuchstaben in ihrer PIN verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Kleinbuchstaben in ihrer PIN zu verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Kleinbuchstaben in PIN.
1 Erfordert die Verwendung von mindestens einem Kleinbuchstaben in der PIN.
2 Die Verwendung von Kleinbuchstaben in PIN ist nicht zulässig.
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

Die maximale PIN-Länge konfiguriert die maximale Anzahl von Zeichen, die für die PIN zulässig sind. Die größte Anzahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 127. Die niedrigste Zahl, die Sie konfigurieren können, muss größer sein als die Zahl, die in der Richtlinieneinstellung Minimale PIN-Länge oder die Zahl 4 konfiguriert ist, je nachdem, welcher Wert größer ist.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge kleiner oder gleich dieser Zahl sein.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge kleiner oder gleich 127 sein.

Hinweis

Wenn die oben angegebenen Bedingungen für die maximale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [4-127]
Standardwert 127
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

Die minimale PIN-Länge konfiguriert die Mindestanzahl von Zeichen, die für die PIN erforderlich sind. Die niedrigste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 4. Die größte Zahl, die Sie konfigurieren können, muss kleiner als die Zahl sein, die in der Richtlinieneinstellung Maximale PIN-Länge oder die Zahl 127 konfiguriert wurde, je nachdem, welcher Wert die niedrigste ist.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge größer oder gleich dieser Zahl sein.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge größer oder gleich 4 sein.

Hinweis

Wenn die oben angegebenen Bedingungen für die minimale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [4-127]
Standardwert 4
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Sonderzeichen in der Windows Hello for Business PIN-Geste zu konfigurieren. Gültige Sonderzeichen für Windows Hello for Business PIN-Gesten: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, müssen Benutzer Windows Hello for Business mindestens ein Sonderzeichen in ihre PIN einschließen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Sonderzeichen in ihrer PIN verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Sonderzeichen in ihrer PIN zu verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Sonderzeichen in der PIN.
1 Erfordert die Verwendung von mindestens einem Sonderzeichen in der PIN.
2 Die Verwendung von Sonderzeichen in der PIN ist nicht zulässig.
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Großbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, müssen Benutzer Windows Hello for Business mindestens einen Großbuchstaben in ihre PIN einfügen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer in ihrer PIN Großbuchstaben verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Großbuchstaben in ihrer PIN zu verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Großbuchstaben in PIN.
1 Erfordert die Verwendung von mindestens einem Großbuchstaben in der PIN.
2 Die Verwendung von Großbuchstaben in pin ist nicht zulässig.

Device/{TenantId}/Policies/Remote

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote

Stammknoten für Anmelderichtlinien für Telefone.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen
Device/{TenantId}/Policies/Remote/UseRemotePassport
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport

Boolescher Wert, der angibt, ob die Anmeldung per Telefon mit einem Gerät verwendet werden kann. Die Anmeldung per Telefon bietet die Möglichkeit, dass ein tragbares, registriertes Gerät als Begleitgerät für die Desktopauthentifizierung verwendet werden kann.

Der Standardwert ist false.

  • Wenn Sie diese Einstellung aktivieren, lässt ein Desktopgerät die Verwendung eines registrierten Begleitgeräts als Authentifizierungsfaktor zu.

  • Wenn Sie diese Einstellung deaktivieren, kann ein Begleitgerät nicht in Desktopauthentifizierungsszenarien verwendet werden.

Hinweis

Nicht unterstützt unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Mai 2019 Update).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/RequireSecurityDevice

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Ein Trusted Platform Module (TPM) bietet zusätzliche Sicherheitsvorteile gegenüber Software, da darin gespeicherte Daten nicht auf anderen Geräten verwendet werden können.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, Windows Hello for Business nur Geräte mit einer verwendbaren TPM-Bereitstellung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das TPM weiterhin bevorzugt, aber alle Geräte stellen Windows Hello for Business mit Software zur Verfügung, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/UseCertificateForOnPremAuth

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth

Windows Hello for Business können Zertifikate für die Authentifizierung bei lokalen Ressourcen verwenden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, warten Windows Hello for Business, bis das Gerät eine Zertifikatnutzlast vom Verwaltungsserver für mobile Geräte empfangen hat, bevor eine PIN bereitgestellt wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die PIN bereitgestellt, wenn sich der Benutzer anmeldet, ohne auf eine Zertifikatnutzlast zu warten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 21H2 mit KB5010415 [10.0.19044.1566] und höher
✅Windows 11, Version 21H2 mit KB5010414 [10.0.22000.527] und höher
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Boolescher Wert, der es Windows Hello for Business ermöglicht, Microsoft Entra Kerberos für die Authentifizierung bei lokalen Ressourcen zu verwenden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Windows Hello for Business ein Microsoft Entra Kerberos-Ticket für die Authentifizierung bei lokalen Ressourcen. Das Microsoft Entra Kerberos-Ticket wird nach erfolgreicher Authentifizierung bei Microsoft Entra ID an den Client zurückgegeben, wenn Microsoft Entra Kerberos für den Mandanten und die Domäne aktiviert ist.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwenden Windows Hello for Business einen Schlüssel oder ein Zertifikat für die Authentifizierung bei lokalen Ressourcen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Anwendungen Windows Hello for Business Zertifikate als Smart Karte-Zertifikate. Biometrische Faktoren sind nicht verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren. Diese Richtlinieneinstellung ist so konzipiert, dass sie die Kompatibilität mit Anwendungen ermöglicht, die ausschließlich auf Smart Karte-Zertifikaten basieren.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwenden Anwendungen Windows Hello for Business Zertifikate nicht als Smart Karte-Zertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.

Windows erfordert, dass ein Benutzer seine Sitzung sperrt und entsperrt, nachdem er diese Einstellung geändert hat, wenn der Benutzer derzeit angemeldet ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/{TenantId}/Policies/UsePassportForWork

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello for Business ist eine alternative Methode für die Anmeldung bei Windows mit Ihrem Active Directory- oder Microsoft Entra-Konto, die Kennwörter, Smartcards und virtuelle Smartcards ersetzen kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, stellt das Gerät Windows Hello for Business für alle Benutzer bereit.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, stellt das Gerät keine Windows Hello for Business für Benutzer bereit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Wahr

Zulässige Werte:

Wert Beschreibung
false Deaktiviert.
true (Standard) Aktiviert.

Gerät/Biometrie

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/Biometrics

Stammknoten für Biometrierichtlinien.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Gerät/Biometrie/EnableESSwithSupportedPeripherals

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals

Enhanced Sign-in Security (ESS) isoliert sowohl biometrische Vorlagendaten als auch Abgleichsvorgänge für vertrauenswürdige Hardware oder bestimmte Speicherbereiche, was bedeutet, dass der Rest des Betriebssystems nicht darauf zugreifen oder diese manipulieren kann. Da der Kommunikationskanal zwischen den Sensoren und dem Algorithmus ebenfalls gesichert ist, ist es für Schadsoftware unmöglich, Daten einschleusen oder wiederzugeben, um eine Benutzeranmeldung zu simulieren oder einen Benutzer von seinem Computer zu sperren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 ESS wird auf Systemen mit fähiger Software und Hardware gemäß dem vorhandenen Standardverhalten in Windows aktiviert. Authentifizierungsvorgänge von Peripheriegeräten Windows Hello fähigen Geräten sind vorbehaltlich der aktuellen Featurebeschränkungen zulässig. Darüber hinaus wird ESS mit dieser Einstellung auf Geräten mit einer Mischung aus biometrischen Geräten wie einer ESS-fähigen FPR und einer Nicht-ESS-fähigen Kamera aktiviert. (nicht empfohlen).
1 (Standard) ESS wird auf Systemen mit fähiger Software und Hardware gemäß dem vorhandenen Standardverhalten in Windows aktiviert. Authentifizierungsvorgänge von biometrischen Peripheriegeräten werden blockiert und stehen nicht für Windows Hello zur Verfügung. (Standard und empfohlen für höchste Sicherheit).

Gruppenrichtlinienzuordnung:

Name Wert
Name Aktivieren von ESS mit unterstützten Peripheriegeräten
Pfad Passport > AT > WindowsComponents > MSPassportForWorkCategory

Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Diese Einstellung bestimmt, ob erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung erforderlich ist.

  • Wenn Sie diese Einstellung aktivieren, erfordert Windows, dass alle Benutzer auf verwalteten Geräten erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung verwenden. Dadurch wird Windows Hello Gesichtsauthentifizierung auf Geräten deaktiviert, die kein erweitertes Antispoofing unterstützen.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, erfordert Windows kein erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung.

Beachten Sie, dass erweitertes Antispoofing für Windows Hello Gesichtsauthentifizierung auf nicht verwalteten Geräten nicht erforderlich ist.

Hinweis

Nicht unterstützt unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Mai 2019 Update).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Gerät/Biometrie/UseBiometrics

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics

Windows Hello for Business ermöglicht es Benutzern, biometrische Gesten wie Gesicht und Fingerabdrücke als Alternative zur PIN-Geste zu verwenden. Benutzer müssen jedoch weiterhin eine PIN konfigurieren, die bei Fehlern verwendet werden kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, Windows Hello for Business die Verwendung biometrischer Gesten zu.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, Windows Hello for Business die Verwendung biometrischer Gesten verhindert.

Hinweis

Das Deaktivieren dieser Richtlinie verhindert die Verwendung biometrischer Gesten auf dem Gerät für alle Kontotypen.

Hinweis

Nicht unterstützt unter Windows Holographic und Windows Holographic for Business vor Windows 10 Version 1903 (Mai 2019 Update).

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/DeviceUnlock

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Gerät entsperren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Device/DeviceUnlock/GroupA

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA

Enthält eine Liste der Anbieter nach GUID, die für den ersten Schritt der Authentifizierung berücksichtigt werden sollen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Regulärer Ausdruck: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/GroupB

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB

Enthält eine Liste der Anbieter nach GUID, die für den zweiten Schritt der Authentifizierung berücksichtigt werden sollen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Regulärer Ausdruck: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/Plugins

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins

Liste der Plug-Ins, die der passive Anbieter überwacht, um die Anwesenheit von Benutzern zu erkennen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Device/DynamicLock

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DynamicLock

Dynamische Sperre.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Device/DynamicLock/DynamicLock

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock

Aktiviert/deaktiviert die dynamische Sperre.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

Device/DynamicLock/Plugins

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins

Liste der Plug-Ins, die der passive Anbieter überwacht, um das Fehlen von Benutzern zu erkennen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Device/SecurityKey

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/PassportForWork/SecurityKey

Sicherheitsschlüssel.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Device/SecurityKey/UseSecurityKeyForSignin

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin

Verwenden Sie den Sicherheitsschlüssel für die Anmeldung. 0 ist deaktiviert. 1 ist aktiviert. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist die Standardeinstellung deaktiviert.

Ermöglicht Benutzern die Anmeldung bei ihrem Gerät mit einem FIDO2-Sicherheitsschlüssel , der mit der Implementierung von Microsoft kompatibel ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert.
1 Aktiviert.

Device/UseBiometrics

Hinweis

Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./Device/Vendor/MSFT/PassportForWork/UseBiometrics

DIESER KNOTEN IST VERALTET UND WIRD IN EINER ZUKÜNFTIGEN VERSION ENTFERNT. VERWENDEN SIE STATTDESSEN DEN KNOTEN BIOMETRIE/UseBiometrics.

Windows Hello for Business ermöglicht es Benutzern, biometrische Gesten wie Gesicht und Fingerabdrücke als Alternative zur PIN-Geste zu verwenden. Benutzer müssen jedoch weiterhin eine PIN konfigurieren, die bei Fehlern verwendet werden kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, Windows Hello for Business die Verwendung biometrischer Gesten zu.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, Windows Hello for Business die Verwendung biometrischer Gesten verhindert.

Hinweis

Das Deaktivieren dieser Richtlinie verhindert die Verwendung biometrischer Gesten auf dem Gerät für alle Kontotypen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

User/{TenantId}

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}

Diese Richtlinie gibt die Mandanten-ID im Format einer GUID (Globally Unique Identifier) ohne geschweifte Klammern { }an, die als Teil der Bereitstellung und Verwaltung Windows Hello for Business verwendet wird.

Verwenden Sie zum Abrufen der GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter Abrufen der Windows Azure Active Directory-Mandanten-ID in Windows PowerShell.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen
Dynamische Knotenbenennung UniqueName: Eine GUID (Globally Unique Identifier) ohne geschweifte Klammern ( { , } ), die im Rahmen der Bereitstellung und Verwaltung von Windows Hello for Business verwendet wird. Verwenden Sie zum Abrufen einer GUID das PowerShell-Cmdlet Get-AzureAccount. Weitere Informationen finden Sie unter https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

User/{TenantId}/Policies

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Stammknoten für Richtlinien.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen

User/{TenantId}/Policies/EnablePinRecovery

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Wenn der Benutzer seine PIN vergisst, kann sie mithilfe des Windows Hello for Business PIN-Wiederherstellungsdiensts in eine neue PIN geändert werden. Dieser Clouddienst verschlüsselt ein Wiederherstellungsgeheimnis, das lokal auf dem Client gespeichert ist, aber nur vom Clouddienst entschlüsselt werden kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird das PIN-Wiederherstellungsgeheimnis auf dem Gerät gespeichert, und der Benutzer kann zu einer neuen PIN wechseln, falls seine PIN vergessen wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das PIN-Wiederherstellungsgeheimnis nicht erstellt oder gespeichert. Wenn die PIN des Benutzers vergessen wird, besteht die einzige Möglichkeit zum Abrufen einer neuen PIN darin, die vorhandene PIN zu löschen und eine neue pin zu erstellen. Dadurch muss sich der Benutzer bei allen Diensten, auf die die alte PIN Zugriff gewährt hat, erneut registrieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

User/{TenantId}/Policies/PINComplexity

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Stammknoten für PIN-Richtlinien.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp Hinzufügen, Löschen, Abrufen
User/{TenantId}/Policies/PINComplexity/Digits
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Ziffern in der Windows Hello for Business PIN zu konfigurieren.

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, erfordert Windows Hello for Business, dass Benutzer mindestens eine Ziffer in ihre PIN einschließen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erfordert Windows Hello for Business, dass Benutzer Ziffern in ihrer PIN verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Ziffern in der PIN.
1 Erfordert die Verwendung von mindestens einer Ziffer in der PIN.
2 Die Verwendung von Ziffern in der PIN ist nicht zulässig.
User/{TenantId}/Policies/PINComplexity/Expiration
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Diese Richtlinie gibt an, wann die PIN abläuft (in Tagen). Gültige Werte sind 0 bis einschließlich 730. Wenn diese Richtlinie auf 0 festgelegt ist, laufen PINs nicht ab.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-730]
Standardwert 0
User/{TenantId}/Policies/PINComplexity/History
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Diese Richtlinie gibt die Anzahl der vergangenen PINs an, die im Verlauf gespeichert werden können, die nicht verwendet werden können. Gültige Werte sind 0 bis einschließlich 50. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung vorheriger PINs erforderlich. Der PIN-Verlauf wird durch die PIN-Zurücksetzung nicht beibehalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [0-50]
Standardwert 0
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Kleinbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, müssen Benutzer Windows Hello for Business mindestens einen Kleinbuchstaben in ihre PIN einfügen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, Windows Hello for Business verhindert, dass Benutzer Kleinbuchstaben in ihrer PIN verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Kleinbuchstaben in ihrer PIN zu verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Kleinbuchstaben in PIN.
1 Erfordert die Verwendung von mindestens einem Kleinbuchstaben in der PIN.
2 Die Verwendung von Kleinbuchstaben in PIN ist nicht zulässig.
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

Die maximale PIN-Länge konfiguriert die maximale Anzahl von Zeichen, die für die PIN zulässig sind. Die größte Anzahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 127. Die niedrigste Zahl, die Sie konfigurieren können, muss größer sein als die Zahl, die in der Richtlinieneinstellung Minimale PIN-Länge oder die Zahl 4 konfiguriert ist, je nachdem, welcher Wert größer ist.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge kleiner oder gleich dieser Zahl sein.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge kleiner oder gleich 127 sein.

Hinweis

Wenn die oben angegebenen Bedingungen für die maximale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [4-127]
Standardwert 127
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

Die minimale PIN-Länge konfiguriert die Mindestanzahl von Zeichen, die für die PIN erforderlich sind. Die niedrigste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 4. Die größte Zahl, die Sie konfigurieren können, muss kleiner als die Zahl sein, die in der Richtlinieneinstellung Maximale PIN-Länge oder die Zahl 127 konfiguriert wurde, je nachdem, welcher Wert die niedrigste ist.

  • Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge größer oder gleich dieser Zahl sein.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, muss die PIN-Länge größer oder gleich 4 sein.

Hinweis

Wenn die oben angegebenen Bedingungen für die minimale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte Bereich: [4-127]
Standardwert 4
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Sonderzeichen in der Windows Hello for Business PIN-Geste zu konfigurieren. Gültige Sonderzeichen für Windows Hello for Business PIN-Gesten: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, müssen Benutzer Windows Hello for Business mindestens ein Sonderzeichen in ihre PIN einschließen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer Sonderzeichen in ihrer PIN verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Sonderzeichen in ihrer PIN zu verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Sonderzeichen in der PIN.
1 Erfordert die Verwendung von mindestens einem Sonderzeichen in der PIN.
2 Die Verwendung von Sonderzeichen in der PIN ist nicht zulässig.
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Großbuchstaben in der Windows Hello for Business-PIN zu konfigurieren.

Der Wert 1 entspricht "Erforderlich". Wenn Sie diese Richtlinieneinstellung auf 1 konfigurieren, müssen Benutzer Windows Hello for Business mindestens einen Großbuchstaben in ihre PIN einfügen.

Der Wert 2 entspricht "Nicht zulassen". Wenn Sie diese Richtlinieneinstellung auf 2 konfigurieren, verhindert Windows Hello for Business, dass Benutzer in ihrer PIN Großbuchstaben verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, erlaubt Windows Hello for Business Benutzern nicht, Großbuchstaben in ihrer PIN zu verwenden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Ermöglicht die Verwendung von Großbuchstaben in PIN.
1 Erfordert die Verwendung von mindestens einem Großbuchstaben in der PIN.
2 Die Verwendung von Großbuchstaben in pin ist nicht zulässig.

User/{TenantId}/Policies/RequireSecurityDevice

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Ein Trusted Platform Module (TPM) bietet zusätzliche Sicherheitsvorteile gegenüber Software, da darin gespeicherte Daten nicht auf anderen Geräten verwendet werden können.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, Windows Hello for Business nur Geräte mit einer verwendbaren TPM-Bereitstellung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das TPM weiterhin bevorzugt, aber alle Geräte stellen Windows Hello for Business mit Software zur Verfügung, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert False

Zulässige Werte:

Wert Beschreibung
false (Standard) Deaktiviert.
true Aktiviert.

User/{TenantId}/Policies/UsePassportForWork

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
✅ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1511 [10.0.10586] und höher
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello for Business ist eine alternative Methode für die Anmeldung bei Windows mit Ihrem Active Directory- oder Microsoft Entra-Konto, die Kennwörter, Smartcards und virtuelle Smartcards ersetzen kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, stellt das Gerät Windows Hello for Business für alle Benutzer bereit.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, stellt das Gerät keine Windows Hello for Business für Benutzer bereit.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format bool
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert Wahr

Zulässige Werte:

Wert Beschreibung
false Deaktiviert.
true (Standard) Aktiviert.

Beispiele

Hier sehen Sie ein Beispiel für das Festlegen Windows Hello for Business und festlegen der PIN-Richtlinien. Außerdem wird die Verwendung von Biometrie und TPM aktiviert.

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/>
          </SyncBody>
        </SyncML>

Referenz zum Konfigurationsdienstanbieter