Intune でのエンドポイント セキュリティのアカウント保護ポリシー設定
アカウント保護 (プレビュー) のプロファイルで構成できる設定を表示します。これは、Intune エンドポイント セキュリティのアカウント保護ポリシーを通じて使用できます。
この記事の設定は、次の場合に適用されます。
- Windows 10
- Windows 11
サポートされているプラットフォームとプロファイル:
- Windows 10以降:
- プロファイル: アカウント保護(プレビュー)
ヒント
ローカル ユーザー グループ メンバーシップ プロファイルについては、「Windows デバイスでのローカル グループの管理」を参照してください。
ローカル管理者パスワード ソリューション (Windows LAPS) プロファイルについては、「LAPS ポリシーの管理」を参照してください。
アカウント保護プロファイル
アカウントの保護
ブロック Windows Hello for Business
Windows Hello for Businessは、パスワード、スマート カード、仮想スマート カードを置き換えて Windows にサインインするための別の方法です。
- 未構成 (既定値) - デバイスはWindows Hello for Businessをプロビジョニングします。
- 無効 - デバイスはWindows Hello for Businessをプロビジョニングします。 この構成では、PIN、トラステッド プラットフォーム モジュール (TPM) などの構成をサポートするより多くの設定を使用できます。
- 有効 - デバイスがユーザーに対してWindows Hello for Businessをプロビジョニングしない
重要
Windows Hello for Business ポリシーのスコープと適用性が Intune によって判断される方法のため、ポリシーを適用した結果としてデバイスにイベント ID 454 が記録されることがあります。 ポリシーが正常に適用 (および実施) されている場合は、これを無視しても問題ありません。
サインインにセキュリティ キーを使用できるようにする
テナント内のすべての PC のサインイン資格情報としてWindows Helloセキュリティ キーを有効にします。
- 未構成 (既定値)
- はい
Credential Guard を有効にする
CSP: DeviceGuardCredential Guard では、Windows ハイパーバイザーを使用して保護を提供します。 Credential Guard には、セキュア ブートと DMA 保護のハードウェア サポートが必要です。 この設定は、ハードウェア要件を満たすデバイスでのみ成功します。
- 未構成 (既定値) - Windows の既定値である Credential Guard の使用を無効にします。
- UEFI ロックで有効にする - Credential Guard を有効にし、UEFI 永続化された構成を手動でクリアする必要があるため、リモートでオフにされないようにブロックします。
- [UEFI ロックなしで有効にする ] - Credential Guard を有効にし、マシンへの物理的なアクセスなしでオフにできるようにします。
次の手順
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示