Impostazioni dei criteri di protezione dell'account per la sicurezza degli endpoint in Intune

  • Articolo

Visualizzare le impostazioni che è possibile configurare nei profili per Protezione account (anteprima), disponibile tramite i criteri di protezione degli account per la sicurezza degli endpoint di Intune.

Le impostazioni in questo articolo si applicano a:

  • Windows 10
  • Windows 11

Piattaforme e profili supportati:

  • Windows 10 e versioni successive:
    • Profilo: Protezione account(anteprima)

Consiglio

Per i profili di appartenenza ai gruppi utente locali , vedere Gestire i gruppi locali nei dispositivi Windows.

Per i profili della soluzione con password amministratore locale (Windows LAPS), vedere Gestire i criteri LAPS.

Profilo di protezione dell'account

Protezione dell'account

  • Blocca Windows Hello for Business

    Windows Hello for Business è un metodo alternativo per l'accesso a Windows sostituendo password, smart card e smart card virtuali.

    • Non configurato (impostazione predefinita): i dispositivi effettuano il provisioning Windows Hello for Business.
    • Disabilitato: i dispositivi effettuano il provisioning Windows Hello for Business. Con questa configurazione sono disponibili altre impostazioni che supportano le configurazioni per PIN, TPM (Trusted Platform Module) e altro ancora.
    • Abilitato: i dispositivi non effettuano il provisioning di Windows Hello for Business per nessun utente

Importante

A causa del modo in cui Intune determina l'ambito e l'applicabilità dei criteri di Windows Hello for Business, il dispositivo può registrare l'ID evento 454 come risultato dell'applicazione dei criteri. Questo può essere ignorato in modo sicuro quando i criteri vengono applicati correttamente (e applicati).

  • Abilitare l'uso delle chiavi di sicurezza per l'accesso

    Abilitare Windows Hello chiave di sicurezza come credenziale di accesso per tutti i PC nel tenant.

    • Non configurato (impostazione predefinita)

  • Attivare Credential Guard
    CSP: DeviceGuard

    Credential Guard usa Windows Hypervisor per fornire protezioni. Credential Guard richiede il supporto hardware per l'avvio protetto e le protezioni DMA. Questa impostazione ha esito positivo solo nei dispositivi che soddisfano i requisiti hardware.

    • Non configurato (impostazione predefinita): disabilita l'uso di Credential Guard, che è l'impostazione predefinita di Windows.
    • Abilita con blocco UEFI : abilita Credential Guard e blocca la disattivazione remota, perché la configurazione persistente UEFI deve essere cancellata manualmente.
    • Abilita senza blocco UEFI : abilita Credential Guard e consenti la disattivazione senza accesso fisico al computer.

Passaggi successivi

Criteri di sicurezza degli endpoint per la protezione degli account