Kontoschutzrichtlinie für Endpunktsicherheit in Intune
Verwenden Sie Intune Endpunktsicherheitsrichtlinien für den Kontoschutz, um die Identität und Konten Ihrer Benutzer zu schützen und die integrierten Gruppenmitgliedschaften auf Geräten zu verwalten.
Suchen Sie die Endpunktsicherheitsrichtlinien für Kontoschutz im Knoten Endpunktsicherheit im Microsoft Intune Admin Center unter Verwalten.
Voraussetzungen für Kontoschutzprofile
- Zur Unterstützung des Profils Kontoschutz (Vorschau) müssen Geräte Windows 10 oder Windows 11 ausführen.
- Um das Profil lokale Benutzergruppenmitgliedschaft (Vorschau) zu unterstützen, müssen Geräte Windows 10 20H2 oder höher oder Windows 11 ausgeführt werden.
Kontoschutzprofile
Kontoschutzprofile befinden sich in der Vorschauphase.
Windows 10/11-Profile:
Kontoschutz (Vorschau): Mithilfe der Einstellungen für Kontoschutzrichtlinien können Sie Benutzeranmeldeinformationen schützen.
Die Kontoschutzrichtlinie konzentriert sich auf Einstellungen für Windows Hello und Credential Guard, die Teil der Identitäts- und Zugriffsverwaltung von Windows sind.
- Windows Hello for Business ersetzt Kennwörter durch eine sichere zweistufige Authentifizierung auf PCs und mobilen Geräten.
- Credential Guard trägt zum Schutz von Anmeldeinformationen und Geheimnissen bei, die Sie mit Ihren Geräten verwenden.
Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung in der Dokumentation zur Windows-Identitäts- und Zugriffsverwaltung.
Lösung für lokale Administratorkennwörter (Windows LAPS): Verwenden Sie dieses Profil, um Windows LAPS auf Geräten zu konfigurieren. Windows LAPS ermöglicht die Verwaltung eines einzelnen lokalen Administratorkontos pro Gerät. Intune Richtlinie kann mithilfe der Richtlinieneinstellung Administratorkontoname angeben, auf welches lokale Administratorkonto sie angewendet wird.
Weitere Informationen zur Verwendung von Intune zum Verwalten von Windows LAPS finden Sie unter:
- Erfahren Sie mehr über Intune Unterstützung für Windows LAPS.
- Verwalten der LAPS-Richtlinie
Lokale Benutzergruppenmitgliedschaft : Verwenden Sie dieses Profil, um Mitglieder der integrierten lokalen Gruppen auf Windows-Geräten hinzuzufügen, zu entfernen oder zu ersetzen. Beispielsweise verfügt die lokale Gruppe Administratoren über umfassende Rechte. Sie können diese Richtlinie verwenden, um die Mitgliedschaft der Admin Gruppe zu bearbeiten, um sie auf eine Gruppe von exklusiv definierten Mitgliedern zu sperren.
Die Verwendung dieses Profils wird im folgenden Abschnitt Verwalten lokaler Gruppen auf Windows-Geräten ausführlich erläutert.
Verwalten lokaler Gruppen auf Windows-Geräten
Verwenden Sie das Mitgliedschaftsprofil Lokale Benutzergruppe, um die Benutzer zu verwalten, die Mitglieder der integrierten lokalen Gruppen auf Geräten sind, die Windows 10 20H2 und höher ausgeführt werden, und Windows 11 Geräten.
Tipp
Weitere Informationen zur Unterstützung für die Verwaltung von Administratorrechten mithilfe Microsoft Entra Gruppen finden Sie unter Verwalten von Administratorberechtigungen mithilfe von Microsoft Entra Gruppen in der Microsoft Entra-Dokumentation.
Konfigurieren des Profils
Dieses Profil verwaltet die lokale Gruppenmitgliedschaft auf Geräten über Richtlinien-CSP – LocalUsersAndGroups. Die CSP-Dokumentation enthält zusätzliche Details zur Anwendung von Konfigurationen sowie häufig gestellte Fragen zur Verwendung des CSP.
Beim Konfigurieren dieses Profils können Sie auf der Seite Konfigurationseinstellungen mehrere Regeln erstellen, um zu verwalten, welche integrierten lokalen Gruppen Sie ändern möchten, welche Gruppenaktion ausgeführt werden soll und welche Methode die Benutzer auswählen sollen.
Im Folgenden finden Sie die Konfigurationen, die Sie vornehmen können:
- Lokale Gruppe: Wählen Sie in der Dropdownliste eine oder mehrere Gruppen aus. Diese Gruppen wenden alle die gleiche Gruppen- und Benutzeraktion auf die Benutzer an, die Sie zuweisen. Sie können mehr als eine Gruppierung lokaler Gruppen in einem einzigen Profil erstellen und jeder Gruppierung lokaler Gruppen unterschiedliche Aktionen und Benutzergruppen zuweisen.
Hinweis
Die Liste der lokalen Gruppen ist auf die sechs integrierten lokalen Gruppen beschränkt, die bei der Anmeldung garantiert ausgewertet werden, wie in der Dokumentation Verwalten der lokalen Administratorgruppe auf Microsoft Entra eingebundenen Geräten verwiesen wird.
Gruppen- und Benutzeraktion: Konfigurieren Sie die Aktion, die auf die ausgewählten Gruppen angewendet werden soll. Diese Aktion gilt für die Benutzer, die Sie für die gleiche Aktion und Gruppierung lokaler Konten auswählen. Zu den Aktionen, die Sie auswählen können, gehören:
- Hinzufügen (Aktualisieren): Fügt den ausgewählten Gruppen Mitglieder hinzu. Die Gruppenmitgliedschaft für Benutzer, die nicht durch die Richtlinie angegeben sind, wird nicht geändert.
- Entfernen (Update): Mitglieder aus den ausgewählten Gruppen entfernen. Die Gruppenmitgliedschaft für Benutzer, die nicht durch die Richtlinie angegeben sind, wird nicht geändert.
- Hinzufügen (Ersetzen): Ersetzen Sie die Mitglieder der ausgewählten Gruppen durch die neuen Mitglieder, die Sie für diese Aktion angeben. Diese Option funktioniert auf die gleiche Weise wie eine eingeschränkte Gruppe, und alle Gruppenmitglieder, die nicht in der Richtlinie angegeben sind, werden entfernt.
Achtung
Wenn dieselbe Gruppe sowohl mit einer Ersetzen- als auch einer Update-Aktion konfiguriert ist, gewinnt die Ersetzen-Aktion. Dies gilt nicht als Konflikt. Eine solche Konfiguration kann auftreten, wenn Sie mehrere Richtlinien auf demselben Gerät bereitstellen oder wenn dieser CSP auch mithilfe von Microsoft Graph konfiguriert wird.
Benutzerauswahltyp: Wählen Sie aus, wie Benutzer ausgewählt werden sollen. Die folgenden Optionen stehen zur Verfügung:
- Benutzer: Wählen Sie die Benutzer und Benutzergruppen aus Microsoft Entra ID aus. (Nur für Microsoft Entra verbundene Geräte unterstützt).
- Manuell: Geben Sie Microsoft Entra Benutzer und Gruppen manuell, nach Benutzername, Domäne\Benutzername oder gruppensicherheits-ID (SID) an. (Unterstützt für Microsoft Entra eingebundene und Microsoft Entra hybrid eingebundene Geräte).
Ausgewählte Benutzer: Abhängig von Ihrer Auswahl für den Benutzerauswahltyp verwenden Sie eine der folgenden Optionen:
Benutzer auswählen: Wählen Sie die Benutzer und Benutzergruppen aus Microsoft Entra aus.
Benutzer hinzufügen: Dadurch wird der Bereich Benutzer hinzufügen geöffnet, in dem Sie dann eine oder mehrere Benutzer-IDs angeben können, die auf einem Gerät angezeigt werden. Sie können den Benutzer nach Sicherheits-ID (SID),Domäne\Benutzername oder Benutzername angeben.
Die Auswahl der Option Manuell kann in Szenarien hilfreich sein, in denen Sie Ihre lokalen Active Directory-Benutzer aus Active Directory in einer lokalen Gruppe für ein Microsoft Entra hybrid eingebundenes Gerät verwalten möchten. Die unterstützten Formate für die Identifizierung der Benutzerauswahl in der Reihenfolge der am meisten bevorzugten bis am wenigsten bevorzugten werden über die SID, domäne\benutzername oder den Benutzernamen des Mitglieds. Werte aus Active Directory müssen für hybrid eingebundene Geräte verwendet werden, während Werte aus Microsoft Entra ID für Microsoft Entra Join verwendet werden müssen. Microsoft Entra Gruppen-SIDs können mithilfe von Graph-API für Gruppen abgerufen werden.
Conflicts
Wenn Richtlinien einen Konflikt für eine Gruppenmitgliedschaft verursachen, werden die in Konflikt stehenden Einstellungen der einzelnen Richtlinien nicht an das Gerät gesendet. Stattdessen wird der Konflikt für diese Richtlinien im Microsoft Intune Admin Center gemeldet. Um den Konflikt zu beheben, konfigurieren Sie eine oder mehrere Richtlinien neu.
Reporting
Wenn Geräte einchecken und die Richtlinie anwenden, zeigt das Admin Center die status der Geräte und Benutzer als erfolgreich oder fehlerhaft an.
Da die Richtlinie mehrere Regeln enthalten kann, sollten Sie Folgendes berücksichtigen:
- Bei der Verarbeitung der Richtlinie für Geräte zeigt die Ansicht status einstellungenspezifischen Einstellungen eine status für die Gruppe von Regeln an, als ob es sich um eine einzelne Einstellung handelt.
- Jede Regel in der Richtlinie, die zu einem Fehler führt, wird übersprungen und nicht an Geräte gesendet.
- Jede Regel, die erfolgreich ist, wird an Geräte gesendet, die angewendet werden sollen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für