Instellingen voor accountbeveiligingsbeleid voor eindpuntbeveiliging in Intune
Belangrijk
In juli 2024 zijn de volgende Intune-profielen voor identiteitsbeveiliging en accountbeveiliging afgeschaft en vervangen door een nieuw geconsolideerd profiel met de naam Accountbeveiliging. Dit nieuwere profiel is te vinden in het knooppunt accountbeveiligingsbeleid van eindpuntbeveiliging en is de enige profielsjabloon die beschikbaar blijft voor het maken van nieuwe beleidsexemplaren voor identiteits- en accountbeveiliging. De instellingen van dit nieuwe profiel zijn ook beschikbaar via de instellingencatalogus.
Alle exemplaren van de volgende oudere profielen die u hebt gemaakt, blijven beschikbaar om te gebruiken en te bewerken:
- Identiteitsbeveiliging: eerder beschikbaar via Apparaatconfiguratie>>Nieuw beleid>maken>Windows 10 en hoger>Sjablonen>Identity Protection
- Accountbeveiliging (preview) – eerder beschikbaar via Endpoint Security>Accountbeveiliging>Windows 10 en hoger>Accountbeveiliging (preview)
In dit artikel worden de instellingen beschreven die beschikbaar zijn in profielen voor Accountbeveiliging (preview). Dit is een profieltype dat eerder beschikbaar was via het accountbeveiligingsbeleid voor Intune Endpoint Security. Hoewel u geen nieuwe exemplaren van dit profiel kunt maken, is de informatie in dit artikel van toepassing op exemplaren van het profiel dat u mogelijk nog in gebruik hebt.
De instellingen in dit artikel zijn van toepassing op:
- Windows 10
- Windows 11
Ondersteunde platforms en profielen:
-
Windows 10 en hoger:
- Profiel: Accountbeveiliging (preview)
Tip
Zie Lokale groepen beheren op Windows-apparaten voor lidmaatschapsprofielen voor lokale gebruikersgroepen.
Zie Laps-beleid beheren voor profielen voor lokale beheerderswachtwoordoplossingen (Windows LAPS).
Accountbeveiligingsprofiel (preview)
De volgende instellingendetails zijn alleen van toepassing op de eindpuntbeveiligingsprofielsjabloon voor Accountbeveiliging (preview), die in juli 2024 is afgeschaft.
Windows Hello voor Bedrijven blokkeren
Windows Hello voor Bedrijven is een alternatieve methode om u aan te melden bij Windows door wachtwoorden, smartcards en virtuele smartcards te vervangen.
- Niet geconfigureerd (standaard): apparaten richten Windows Hello voor Bedrijven in.
- Uitgeschakeld : apparaten richten Windows Hello voor Bedrijven in. Met deze configuratie zijn meer instellingen beschikbaar die ondersteuning bieden voor configuraties voor pincode, Trusted Platform Module (TPM) en meer.
- Ingeschakeld : apparaten richten Windows Hello voor Bedrijven niet in voor gebruikers
Belangrijk
Vanwege de wijze waarop Intune het bereik en de toepasbaarheid van het beleid voor Windows Hello voor Bedrijven bepaalt, kan gebeurtenis-id 454 op het apparaat worden geregistreerd als gevolg van het toepassen van beleid. Dit kan veilig worden genegeerd wanneer beleid wordt toegepast (en afgedwongen).
Gebruik van beveiligingssleutels voor aanmelding inschakelen
Schakel de Windows Hello-beveiligingssleutel in als aanmeldingsreferentie voor alle pc's in de tenant.
- Niet geconfigureerd (standaard)
- Ja
Credential Guard inschakelen
CSP: DeviceGuardCredential Guard maakt gebruik van Windows Hypervisor om beveiliging te bieden. Credential Guard vereist hardwareondersteuning voor beveiligd opstarten en DMA-beveiliging. Deze instelling is alleen geslaagd op apparaten die voldoen aan de hardwarevereisten.
- Niet geconfigureerd (standaard): schakel het gebruik van Credential Guard uit. Dit is de standaardinstelling van Windows.
- Inschakelen met UEFI-vergrendeling : schakel Credential Guard in en voorkom dat deze extern wordt uitgeschakeld, omdat de permanente UEFI-configuratie handmatig moet worden gewist.
- Inschakelen zonder UEFI-vergrendeling : schakel Credential Guard in en sta toe dat deze wordt uitgeschakeld zonder fysieke toegang tot de machine.