Paramètres de stratégie de protection de compte pour la sécurité des points de terminaison dans Intune

  • Article

Affichez les paramètres que vous pouvez configurer dans les profils pour Protection du compte (préversion), qui est disponible via la stratégie de protection du compte pour la sécurité des points de terminaison Intune.

Les paramètres de cet article s’appliquent à :

  • Windows 10
  • Windows 11

Plateformes et profils pris en charge :

  • Windows 10 et versions ultérieures :
    • Profil : Protection du compte(préversion)

Conseil

Pour les profils d’appartenance aux groupes d’utilisateurs locaux , consultez Gérer les groupes locaux sur les appareils Windows.

Pour les profils de solution de mot de passe d’administrateur local (Windows LAPS), consultez Gérer la stratégie LAPS.

Profil de protection de compte

Protection de compte

  • Bloquer Windows Hello Entreprise

    Windows Hello Entreprise est une autre méthode de connexion à Windows en remplaçant les mots de passe, les cartes à puce et les cartes à puce virtuelles.

    • Non configuré (valeur par défaut) : les appareils approvisionnent Windows Hello Entreprise.
    • Désactivé : les appareils approvisionnent Windows Hello Entreprise. Avec cette configuration, d’autres paramètres sont disponibles qui prennent en charge les configurations pour le code confidentiel, le module de plateforme sécurisée (TPM) et bien plus encore.
    • Activé : les appareils ne provisionnent Windows Hello Entreprise pour aucun utilisateur

Importante

En raison de la façon dont Intune détermine l’étendue et l’applicabilité des stratégies Windows Hello Entreprise, l’appareil peut enregistrer l’ID d’événement 454 suite à l’application de la stratégie. Cela peut être ignoré en toute sécurité lorsque la stratégie est correctement appliquée (et exécutée).

  • Activer pour utiliser des clés de sécurité pour la connexion

    Activez Windows Hello clé de sécurité comme informations d’identification de connexion pour tous les PC du locataire.

    • Non configuré (par défaut)
    • Oui

  • Activer Credential Guard
    CSP : DeviceGuard

    Credential Guard utilise l’hyperviseur Windows pour fournir des protections. Credential Guard nécessite une prise en charge matérielle pour le démarrage sécurisé et les protections DMA. Ce paramètre réussit uniquement sur les appareils qui répondent à la configuration matérielle requise.

    • Non configuré (par défaut) : désactivez l’utilisation de Credential Guard, qui est la valeur par défaut de Windows.
    • Activer avec le verrouillage UEFI : activez Credential Guard et empêchez-le d’être désactivé à distance, car la configuration persistante UEFI doit être effacée manuellement.
    • Activer sans verrouillage UEFI : activez Credential Guard et autorisez-la à être désactivée sans accès physique à la machine.

Étapes suivantes

Stratégie de sécurité des points de terminaison pour la protection des comptes