Udostępnij za pośrednictwem

Ustawienia zasad ochrony konta dla zabezpieczeń punktu końcowego w Intune

  • Artykuł

Ważna

W lipcu 2024 r. następujące profile Intune na potrzeby ochrony tożsamości i ochrony konta zostały przestarzałe i zastąpione nowym skonsolidowanym profilem o nazwie Ochrona konta. Ten nowszy profil znajduje się w węźle zasad ochrony konta zabezpieczeń punktu końcowego i jest jedynym szablonem profilu, który pozostaje dostępny do tworzenia nowych wystąpień zasad na potrzeby ochrony tożsamości i konta. Ustawienia z tego nowego profilu są również dostępne w katalogu ustawień.

Wszystkie utworzone przez Ciebie wystąpienia następujących starszych profilów pozostają dostępne do użycia i edycji:

  • Ochrona tożsamości — wcześniej dostępna w obszarzeKonfiguracja>urządzeń>Utwórz>nowe zasady>Windows 10 i nowsze>szablony>Ochrona tożsamości
  • Ochrona konta (wersja zapoznawcza) — wcześniej dostępna w usłudze Endpoint Security>Account Protection>Windows 10 i nowszej>ochrony konta (wersja zapoznawcza)

W tym artykule opisano ustawienia, które są dostępne w profilach ochrony konta (wersja zapoznawcza), czyli typ profilu, który był wcześniej dostępny za pośrednictwem zasad ochrony konta dla Intune zabezpieczenia punktu końcowego. Chociaż nie można utworzyć nowych wystąpień tego profilu, informacje zawarte w tym artykule dotyczą wystąpień profilu, które mogą być nadal używane.

Ustawienia w tym artykule dotyczą:

  • Windows 10
  • Windows 11

Obsługiwane platformy i profile:

  • Windows 10 i nowsze:
    • Profil: Ochrona konta (wersja zapoznawcza)

Porada

W przypadku profilów członkostwa w lokalnych grupach użytkowników zobacz Zarządzanie grupami lokalnymi na urządzeniach z systemem Windows.

Aby uzyskać informacje na temat profilów rozwiązania do obsługi haseł administratora lokalnego (Windows LAPS), zobacz Zarządzanie zasadami LAPS.

Profil ochrony konta (wersja zapoznawcza)

Poniższe szczegóły ustawień dotyczą tylko szablonu profilu zabezpieczeń punktu końcowego dla ochrony konta (wersja zapoznawcza), który został wycofany w lipcu 2024 r.

  • Blokuj Windows Hello dla firm

    Windows Hello dla firm jest alternatywną metodą logowania do systemu Windows przez zastąpienie haseł, kart inteligentnych i wirtualnych kart inteligentnych.

    • Nie skonfigurowano (ustawienie domyślne) — aprowizowanie urządzeń Windows Hello dla firm.
    • Wyłączone — aprowizacja urządzeń Windows Hello dla firm. Dzięki tej konfiguracji dostępnych jest więcej ustawień, które obsługują konfiguracje numeru PIN, modułu TPM (Trusted Platform Module) i innych.
    • Włączone — urządzenia nie aprowizują Windows Hello dla firm dla żadnego użytkownika

Ważna

Ze względu na to, jak Intune określa zakres i zastosowanie zasad Windows Hello dla firm, urządzenie może rejestrować identyfikator zdarzenia 454 w wyniku stosowania zasad. Można to bezpiecznie zignorować, gdy zasady zostaną zastosowane (i wymuszone).

  • Włączanie korzystania z kluczy zabezpieczeń na potrzeby logowania

    Włącz Windows Hello klucz zabezpieczeń jako poświadczenia logowania dla wszystkich komputerów w dzierżawie.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

  • Włączanie funkcji Credential Guard
    Dostawca usług kryptograficznych: DeviceGuard

    Funkcja Credential Guard używa funkcji Hypervisor systemu Windows do zapewnienia ochrony. Funkcja Credential Guard wymaga obsługi sprzętu dla zabezpieczeń rozruchu i ochrony DMA. To ustawienie powiodło się tylko na urządzeniach spełniających wymagania sprzętowe.

    • Nie skonfigurowano (ustawienie domyślne) — wyłącz użycie funkcji Credential Guard, która jest domyślna dla systemu Windows.
    • Włącz z blokadą UEFI — włącz funkcję Credential Guard i zablokuj jej zdalne wyłączenie, ponieważ utrwalona konfiguracja interfejsu UEFI musi zostać ręcznie wyczyszczona.
    • Włącz bez blokady UEFI — włącz funkcję Credential Guard i zezwalaj na jej wyłączenie bez fizycznego dostępu do maszyny.

Następne kroki

Zasady zabezpieczeń punktu końcowego dotyczące ochrony konta