Impostazioni dei criteri di protezione dell'account per la sicurezza degli endpoint in Intune
Visualizzare le impostazioni che è possibile configurare nei profili per Protezione account (anteprima), disponibile tramite i criteri di protezione degli account per la sicurezza degli endpoint di Intune.
Le impostazioni in questo articolo si applicano a:
- Windows 10
- Windows 11
Piattaforme e profili supportati:
- Windows 10 e versioni successive:
- Profilo: Protezione account(anteprima)
Consiglio
Per i profili di appartenenza ai gruppi utente locali , vedere Gestire i gruppi locali nei dispositivi Windows.
Per i profili della soluzione con password amministratore locale (Windows LAPS), vedere Gestire i criteri LAPS.
Profilo di protezione dell'account
Protezione dell'account
Blocca Windows Hello for Business
Windows Hello for Business è un metodo alternativo per l'accesso a Windows sostituendo password, smart card e smart card virtuali.
- Non configurato (impostazione predefinita): i dispositivi effettuano il provisioning Windows Hello for Business.
- Disabilitato: i dispositivi effettuano il provisioning Windows Hello for Business. Con questa configurazione sono disponibili altre impostazioni che supportano le configurazioni per PIN, TPM (Trusted Platform Module) e altro ancora.
- Abilitato: i dispositivi non effettuano il provisioning di Windows Hello for Business per nessun utente
Importante
A causa del modo in cui Intune determina l'ambito e l'applicabilità dei criteri di Windows Hello for Business, il dispositivo può registrare l'ID evento 454 come risultato dell'applicazione dei criteri. Questo può essere ignorato in modo sicuro quando i criteri vengono applicati correttamente (e applicati).
Abilitare l'uso delle chiavi di sicurezza per l'accesso
Abilitare Windows Hello chiave di sicurezza come credenziale di accesso per tutti i PC nel tenant.
- Non configurato (impostazione predefinita)
- Sì
Attivare Credential Guard
CSP: DeviceGuardCredential Guard usa Windows Hypervisor per fornire protezioni. Credential Guard richiede il supporto hardware per l'avvio protetto e le protezioni DMA. Questa impostazione ha esito positivo solo nei dispositivi che soddisfano i requisiti hardware.
- Non configurato (impostazione predefinita): disabilita l'uso di Credential Guard, che è l'impostazione predefinita di Windows.
- Abilita con blocco UEFI : abilita Credential Guard e blocca la disattivazione remota, perché la configurazione persistente UEFI deve essere cancellata manualmente.
- Abilita senza blocco UEFI : abilita Credential Guard e consenti la disattivazione senza accesso fisico al computer.
Passaggi successivi
Criteri di sicurezza degli endpoint per la protezione degli account
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per