Intune でのエンドポイント セキュリティのアカウント保護ポリシー設定

アカウント保護 (プレビュー) のプロファイルで構成できる設定を表示します。これは、Intune エンドポイント セキュリティのアカウント保護ポリシーを通じて使用できます。

この記事の設定は、次の場合に適用されます。

• Windows 10
• Windows 11

サポートされているプラットフォームとプロファイル:

• Windows 10以降:
  • プロファイル: アカウント保護(プレビュー)

ヒント

ローカル ユーザー グループ メンバーシップ プロファイルについては、「Windows デバイスでのローカル グループの管理」を参照してください。

ローカル管理者パスワード ソリューション (Windows LAPS) プロファイルについては、「LAPS ポリシーの管理」を参照してください。

アカウント保護プロファイル

アカウントの保護

• ブロック Windows Hello for Business

  Windows Hello for Businessは、パスワード、スマート カード、仮想スマート カードを置き換えて Windows にサインインするための別の方法です。

  • 未構成 (既定値) - デバイスはWindows Hello for Businessをプロビジョニングします。
  • 無効 - デバイスはWindows Hello for Businessをプロビジョニングします。 この構成では、PIN、トラステッド プラットフォーム モジュール (TPM) などの構成をサポートするより多くの設定を使用できます。
  • 有効 - デバイスがユーザーに対してWindows Hello for Businessをプロビジョニングしない

重要

Windows Hello for Business ポリシーのスコープと適用性が Intune によって判断される方法のため、ポリシーを適用した結果としてデバイスにイベント ID 454 が記録されることがあります。 ポリシーが正常に適用 (および実施) されている場合は、これを無視しても問題ありません。

• サインインにセキュリティ キーを使用できるようにする

  テナント内のすべての PC のサインイン資格情報としてWindows Helloセキュリティ キーを有効にします。

  • 未構成 (既定値)
  • はい

• Credential Guard を有効にする
  CSP: DeviceGuard

  Credential Guard では、Windows ハイパーバイザーを使用して保護を提供します。 Credential Guard には、セキュア ブートと DMA 保護のハードウェア サポートが必要です。 この設定は、ハードウェア要件を満たすデバイスでのみ成功します。

  • 未構成 (既定値) - Windows の既定値である Credential Guard の使用を無効にします。
  • UEFI ロックで有効にする - Credential Guard を有効にし、UEFI 永続化された構成を手動でクリアする必要があるため、リモートでオフにされないようにブロックします。
  • [UEFI ロックなしで有効にする ] - Credential Guard を有効にし、マシンへの物理的なアクセスなしでオフにできるようにします。

次の手順

アカウント保護のエンドポイント セキュリティ ポリシー