Kontoschutzrichtlinie für Endpunktsicherheit in Intune
Verwenden Sie Intune-Endpunktsicherheitsrichtlinien für den Kontoschutz, um die Identität und Konten Ihrer Benutzer zu schützen und die integrierten Gruppenmitgliedschaften auf Geräten zu verwalten.
Wichtig
Im Juli 2024 wurden die folgenden Intune-Profile für Identitäts- und Kontoschutz veraltet und durch ein neues konsolidiertes Profil namens Kontoschutz ersetzt. Dieses neuere Profil befindet sich im Kontoschutzrichtlinienknoten der Endpunktsicherheit und ist die einzige Profilvorlage, die weiterhin verfügbar ist, um neue Richtlinieninstanzen für identitäts- und kontoschutz zu erstellen. Die Einstellungen aus diesem neuen Profil sind auch über den Einstellungskatalog verfügbar.
Alle Instanzen der folgenden älteren Profile, die Sie erstellt haben, können weiterhin verwendet und bearbeitet werden:
- Identity Protection – zuvor unter Gerätekonfiguration>> NeueRichtlinie>erstellen>Windows 10 und höher>Vorlagen>Identity Protection
- Kontoschutz (Vorschau) – zuvor über Endpoint Security>Account Protection>Windows 10 und höher> verfügbarKontoschutz (Vorschau)
Suchen Sie die Endpunktsicherheitsrichtlinien für Kontoschutz unter Verwalten im Knoten Endpunktsicherheit des Microsoft Intune Admin Centers.
Voraussetzungen für Kontoschutzprofile
- Zur Unterstützung des Kontoschutzprofils müssen Geräte Windows 10 oder Windows 11 ausführen.
- Zur Unterstützung des Lokalen Benutzergruppenmitgliedschaftsprofils müssen Geräte Windows 10 20H2 oder höher oder Windows 11 ausführen.
- Informationen zur Unterstützung der Lösung *Lokales Administratorkennwort (Windows LAPS) finden Sie unter Voraussetzungen in der Microsoft Intune-Unterstützung für Windows LAPS.
Rollenbasierte Zugriffssteuerung (RBAC)
Anleitungen zum Zuweisen der richtigen Berechtigungs- und Rechteebene zum Verwalten von Intune-Kontoschutzprofilen finden Sie unter Assign-role-based-access-controls-for-endpoint-security-policy.
Kontoschutzprofile
Windows 10/11-Profile:
Kontoschutz : Einstellungen für Kontoschutzrichtlinien helfen Ihnen beim Schutz von Benutzeranmeldeinformationen. Die Kontoschutzrichtlinie konzentriert sich auf Einstellungen für Windows Hello for Business, die sowohl geräte- als auch benutzerbezogene Einstellungen enthalten, und Credential Guard, die Teil der Identitäts- und Zugriffsverwaltung von Windows ist.
- Windows Hello for Business ersetzt Kennwörter durch eine sichere zweistufige Authentifizierung auf PCs und mobilen Geräten.
- Credential Guard trägt zum Schutz von Anmeldeinformationen und Geheimnissen bei, die Sie mit Ihren Geräten verwenden.
Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung in der Dokumentation zur Windows-Identitäts- und Zugriffsverwaltung.
Die Einstellungen in diesem Profil sind auch im Einstellungskatalog verfügbar.
Lösung für lokale Administratorkennwörter (Windows LAPS): Verwenden Sie dieses Profil, um Windows LAPS auf Geräten zu konfigurieren. Windows LAPS ermöglicht die Verwaltung eines einzelnen lokalen Administratorkontos pro Gerät. Die Intune-Richtlinie kann mithilfe der Richtlinieneinstellung Administratorkontoname angeben, für welches lokale Administratorkonto sie gilt.
Weitere Informationen zur Verwendung von Intune zum Verwalten von Windows LAPS finden Sie unter:
- Erfahren Sie mehr über die Intune-Unterstützung für Windows LAPS.
- Verwalten der LAPS-Richtlinie
Lokale Benutzergruppenmitgliedschaft : Verwenden Sie dieses Profil, um Mitglieder der integrierten lokalen Gruppen auf Windows-Geräten hinzuzufügen, zu entfernen oder zu ersetzen. Beispielsweise verfügt die lokale Gruppe Administratoren über umfassende Rechte. Sie können diese Richtlinie verwenden, um die Mitgliedschaft der Administratorgruppe zu bearbeiten, um sie auf eine Gruppe von exklusiv definierten Mitgliedern zu sperren.
Die Verwendung dieses Profils wird im folgenden Abschnitt Verwalten lokaler Gruppen auf Windows-Geräten ausführlich erläutert.
Verwalten lokaler Gruppen auf Windows-Geräten
Verwenden Sie das Mitgliedschaftsprofil Lokale Benutzergruppe , um die Benutzer zu verwalten, die Mitglieder der integrierten lokalen Gruppen auf Geräten mit Windows 10 20H2 und höher und Windows 11-Geräten sind.
Tipp
Weitere Informationen zur Unterstützung für die Verwaltung von Administratorrechten mithilfe von Microsoft Entra-Gruppen finden Sie unter Verwalten von Administratorrechten mithilfe von Microsoft Entra-Gruppen in der Microsoft Entra-Dokumentation.
Konfigurieren des Profils
Dieses Profil verwaltet die lokale Gruppenmitgliedschaft auf Geräten über Richtlinien-CSP – LocalUsersAndGroups. Die CSP-Dokumentation enthält weitere Details zur Anwendung von Konfigurationen sowie häufig gestellte Fragen zur Verwendung des CSP.
Wenn Sie dieses Profil konfigurieren, können Sie auf der Seite Konfigurationseinstellungen mehrere Regeln erstellen, um zu verwalten, welche integrierten lokalen Gruppen Sie ändern möchten, die auszuführende Gruppenaktion und die Methode zum Auswählen der Benutzer.
Im Folgenden finden Sie die Konfigurationen, die Sie vornehmen können:
- Lokale Gruppe: Wählen Sie in der Dropdownliste eine oder mehrere Gruppen aus. Diese Gruppen wenden alle die gleiche Gruppen- und Benutzeraktion auf die Benutzer an, die Sie zuweisen. Sie können mehr als eine Gruppierung lokaler Gruppen in einem einzigen Profil erstellen und jeder Gruppierung lokaler Gruppen unterschiedliche Aktionen und Benutzergruppen zuweisen.
Hinweis
Die Liste der lokalen Gruppen ist auf die sechs integrierten lokalen Gruppen beschränkt, die bei der Anmeldung garantiert ausgewertet werden, wie in der Dokumentation Verwalten der lokalen Administratorgruppe auf in Microsoft Entra eingebundenen Geräten verwiesen wird.
Gruppen- und Benutzeraktion: Konfigurieren Sie die Aktion, die auf die ausgewählten Gruppen angewendet werden soll. Diese Aktion gilt für die Benutzer, die Sie für die gleiche Aktion und Gruppierung lokaler Konten auswählen. Zu den Aktionen, die Sie auswählen können, gehören:
- Hinzufügen (Aktualisieren): Fügt den ausgewählten Gruppen Mitglieder hinzu. Die Gruppenmitgliedschaft für Benutzer, die nicht durch die Richtlinie angegeben sind, wird nicht geändert.
- Entfernen (Update): Mitglieder aus den ausgewählten Gruppen entfernen. Die Gruppenmitgliedschaft für Benutzer, die nicht durch die Richtlinie angegeben sind, wird nicht geändert.
- Hinzufügen (Ersetzen): Ersetzen Sie die Mitglieder der ausgewählten Gruppen durch die neuen Mitglieder, die Sie für diese Aktion angeben. Diese Option funktioniert auf die gleiche Weise wie eine eingeschränkte Gruppe, und alle Gruppenmitglieder, die nicht in der Richtlinie angegeben sind, werden entfernt.
Achtung
Wenn dieselbe Gruppe sowohl mit einer Ersetzen- als auch einer Update-Aktion konfiguriert ist, gewinnt die Ersetzen-Aktion. Dies gilt nicht als Konflikt. Eine solche Konfiguration kann auftreten, wenn Sie mehrere Richtlinien auf demselben Gerät bereitstellen oder wenn dieser CSP auch mithilfe von Microsoft Graph konfiguriert wird.
Benutzerauswahltyp: Wählen Sie aus, wie Benutzer ausgewählt werden sollen. Die folgenden Optionen stehen zur Verfügung:
- Benutzer: Wählen Sie die Benutzer und Benutzergruppen aus Microsoft Entra ID aus. (Wird nur für in Microsoft Entra eingebundene Geräte unterstützt).
- Manuell: Geben Sie Microsoft Entra-Benutzer und -Gruppen manuell, nach Benutzername, Domäne\Benutzername oder gruppensicherheits-ID (SID) an. (Unterstützt für in Microsoft Entra eingebundene und hybrid eingebundene Microsoft Entra-Geräte).
Ausgewählte Benutzer: Verwenden Sie abhängig von Ihrer Auswahl für den Benutzerauswahltyp eine der folgenden Optionen:
Benutzer auswählen: Wählen Sie die Benutzer und Benutzergruppen aus Microsoft Entra aus.
Benutzer hinzufügen: Mit dieser Option wird der Bereich Benutzer hinzufügen geöffnet, in dem Sie dann eine oder mehrere Benutzer-IDs angeben können, die auf einem Gerät angezeigt werden. Sie können den Benutzer nach Sicherheits-ID (SID),Domäne\Benutzername oder Benutzername angeben.
Die Auswahl der Option Manuell kann in Szenarien hilfreich sein, in denen Sie Ihre lokalen Active Directory-Benutzer aus Active Directory in einer lokalen Gruppe für ein hybrid eingebundenes Microsoft Entra-Gerät verwalten möchten. Die unterstützten Formate für die Identifizierung der Benutzerauswahl in der Reihenfolge der am meisten bevorzugten bis am wenigsten bevorzugten werden über die SID, domäne\benutzername oder den Benutzernamen des Mitglieds. Werte aus Active Directory müssen für hybrid eingebundene Geräte verwendet werden, während Werte aus Microsoft Entra ID für microsoft Entra join verwendet werden müssen. Microsoft Entra-Gruppen-SIDs können mithilfe der Graph-API für Gruppen abgerufen werden.
Conflicts
Wenn Richtlinien einen Konflikt für eine Gruppenmitgliedschaft verursachen, werden die in Konflikt stehenden Einstellungen jeder Richtlinie nicht an das Gerät gesendet. Stattdessen wird der Konflikt für diese Richtlinien im Microsoft Intune Admin Center gemeldet. Um den Konflikt zu beheben, konfigurieren Sie eine oder mehrere Richtlinien neu.
Reporting
Wenn Geräte einchecken und die Richtlinie anwenden, zeigt das Admin Center den Status der Geräte und Benutzer als erfolgreich oder fehlerhaft an.
Da die Richtlinie mehrere Regeln enthalten kann, sollten Sie die folgenden Punkte berücksichtigen:
- Bei der Verarbeitung der Richtlinie für Geräte zeigt die Statusansicht pro Einstellung einen Status für die Gruppe von Regeln an, als ob es sich um eine einzelne Einstellung handelt.
- Jede Regel in der Richtlinie, die zu einem Fehler führt, wird übersprungen und nicht an Geräte gesendet.
- Jede Regel, die erfolgreich ist, wird an Geräte gesendet, die angewendet werden sollen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für