Kontoschutzrichtlinieneinstellungen für Die Endpunktsicherheit in Intune
Zeigen Sie die Einstellungen an, die Sie in Profilen für Kontoschutz (Vorschau) konfigurieren können. Dies ist über die Kontoschutzrichtlinie für die Intune-Endpunktsicherheit verfügbar.
Die Einstellungen in diesem Artikel gelten für:
- Windows 10
- Windows 11
Unterstützte Plattformen und Profile:
- Windows 10 und höher:
- Profil: Kontoschutz(Vorschau)
Tipp
Informationen zu Mitgliedschaftsprofilen für lokale Benutzergruppen finden Sie unter Verwalten lokaler Gruppen auf Windows-Geräten.
Informationen zu Profilen für lokale Administratorkennwörter (Windows LAPS) finden Sie unter Verwalten der LAPS-Richtlinie.
Kontoschutzprofil
Kontoschutz
Windows Hello for Business blockieren
Windows Hello for Business ist eine alternative Methode zum Anmelden bei Windows, indem Kennwörter, Smartcards und virtuelle Smartcards ersetzt werden.
- Nicht konfiguriert (Standard): Geräte stellen Windows Hello for Business.
- Deaktiviert: Geräte stellen Windows Hello for Business. Mit dieser Konfiguration sind weitere Einstellungen verfügbar, die Konfigurationen für PIN, Trusted Platform Module (TPM) und vieles mehr unterstützen.
- Aktiviert: Geräte stellen keine Windows Hello for Business für Benutzer bereit.
Wichtig
Aufgrund der Art und Weise, wie Intune den Geltungsbereich und die Anwendbarkeit der Richtlinie für Windows Hello for Business bestimmt, kann das Gerät als Ergebnis der Anwendung der Richtlinie die Ereignis-ID 454 protokollieren. Dies kann ignoriert werden, wenn die Richtlinie erfolgreich angewendet (und erzwungen) wird.
Aktivieren der Verwendung von Sicherheitsschlüsseln für die Anmeldung
Aktivieren Sie Windows Hello Sicherheitsschlüssel als Anmeldeinformationen für alle PCs im Mandanten.
- Nicht konfiguriert (Standard)
- Ja
Aktivieren von Credential Guard
CSP: DeviceGuardCredential Guard verwendet Windows Hypervisor, um Schutz bereitzustellen. Credential Guard erfordert Hardwareunterstützung für den sicheren Start und DMA-Schutz. Diese Einstellung ist nur auf Geräten erfolgreich, die die Hardwareanforderungen erfüllen.
- Nicht konfiguriert (Standard): Deaktivieren Sie die Verwendung von Credential Guard, der Windows-Standardeinstellung.
- Aktivieren mit UEFI-Sperre : Aktivieren Sie Credential Guard, und blockieren Sie, dass es remote deaktiviert wird, da die permanente UEFI-Konfiguration manuell gelöscht werden muss.
- Aktivieren ohne UEFI-Sperre : Aktivieren Sie Credential Guard, und lassen Sie die Deaktivierung ohne physischen Zugriff auf den Computer zu.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für