Zasady ochrony konta dla zabezpieczeń punktu końcowego w Intune

Artykuł
04/09/2024

Użyj Intune zasad zabezpieczeń punktu końcowego w celu ochrony konta, aby chronić tożsamość i konta użytkowników oraz zarządzać wbudowanymi członkostwami w grupach na urządzeniach.

Znajdź zasady zabezpieczeń punktu końcowego dla ochrony konta w obszarze Zarządzanie w węźle Zabezpieczenia punktu końcowegocentrum administracyjnego Microsoft Intune.

Wymagania wstępne dotyczące profilów ochrony konta

Aby obsługiwać profil Ochrony konta (wersja zapoznawcza), urządzenia muszą działać Windows 10 lub Windows 11.
Aby obsługiwać profil Członkostwa w lokalnej grupie użytkowników (wersja zapoznawcza), urządzenia muszą działać Windows 10 20H2 lub nowszym lub Windows 11.

Profile ochrony konta

Profile ochrony konta są dostępne w wersji zapoznawczej.

profile Windows 10/11:

Ochrona konta (wersja zapoznawcza) — ustawienia zasad ochrony konta ułatwiają ochronę poświadczeń użytkownika.

Zasady ochrony konta koncentrują się na ustawieniach funkcji Windows Hello i Credential Guard, które są częścią zarządzania tożsamościami i dostępem systemu Windows.
- Windows Hello dla firm zastępuje hasła silnym uwierzytelnianiem dwuskładnikowym na komputerach i urządzeniach przenośnych.
- Funkcja Credential Guard pomaga chronić poświadczenia i wpisy tajne używane z urządzeniami.
Aby dowiedzieć się więcej, zobacz Zarządzanie tożsamościami i dostępem w dokumentacji zarządzania tożsamościami i dostępem systemu Windows.

Wyświetl ustawienia profilu ochrony konta.
Rozwiązanie do obsługi haseł administratora lokalnego (Windows LAPS) — ten profil służy do konfigurowania systemu Windows LAPS na urządzeniach. System Windows LAPS umożliwia zarządzanie pojedynczym kontem administratora lokalnego na urządzeniu. Intune zasady mogą określać, do którego konta administratora lokalnego ma zastosowanie przy użyciu ustawienia zasad Nazwa konta administratora.

Aby uzyskać więcej informacji na temat używania Intune do zarządzania systemem Windows LAPS, zobacz:
- Dowiedz się więcej na temat Intune obsługi systemu Windows LAPS.
- Zarządzanie zasadami LAPS
Członkostwo w lokalnej grupie użytkowników — ten profil służy do dodawania, usuwania lub zastępowania członków wbudowanych grup lokalnych na urządzeniach z systemem Windows. Na przykład lokalna grupa Administratorzy ma szerokie prawa. Za pomocą tych zasad można edytować członkostwo grupy Administracja, aby zablokować ją w zestawie wyłącznie zdefiniowanych elementów członkowskich.

Korzystanie z tego profilu zostało szczegółowo opisane w poniższej sekcji Zarządzanie grupami lokalnymi na urządzeniach z systemem Windows.

Zarządzanie grupami lokalnymi na urządzeniach z systemem Windows

Użyj profilu członkostwa lokalnej grupy użytkowników, aby zarządzać użytkownikami należącymi do wbudowanych grup lokalnych na urządzeniach z systemem Windows 10 20H2 i nowszych oraz Windows 11 urządzeń.

Porada

Aby dowiedzieć się więcej na temat obsługi zarządzania uprawnieniami administratora przy użyciu grup Microsoft Entra, zobacz Zarządzanie uprawnieniami administratora przy użyciu grup Microsoft Entra w dokumentacji Microsoft Entra.

Konfigurowanie profilu

Ten profil zarządza członkostwem w grupie lokalnej na urządzeniach za pośrednictwem dostawcy CSP zasad — LocalUsersAndGroups. Dokumentacja dostawcy CSP zawiera dodatkowe szczegóły dotyczące sposobu stosowania konfiguracji oraz często zadawane pytania dotyczące korzystania z dostawcy CSP.

Podczas konfigurowania tego profilu na stronie Ustawienia konfiguracji można utworzyć wiele reguł do zarządzania wbudowanymi grupami lokalnymi, które chcesz zmienić, akcją grupy do wykonania i metodą wybierania użytkowników.

Poniżej przedstawiono konfiguracje, które można wykonać:

Grupa lokalna: wybierz co najmniej jedną grupę z listy rozwijanej. Wszystkie te grupy będą stosować tę samą akcję Grupy i użytkownika do przypisanych użytkowników. Możesz utworzyć więcej niż jedną grupę grup lokalnych w jednym profilu i przypisać różne akcje i grupy użytkowników do każdej grupy grup lokalnych.

Uwaga

Lista grup lokalnych jest ograniczona do sześciu wbudowanych grup lokalnych, które mają gwarancję, że zostaną ocenione podczas logowania, jak opisano w dokumentacji Jak zarządzać lokalną grupą administratorów na urządzeniach przyłączonych do Microsoft Entra.

Akcja grupowania i użytkownika: skonfiguruj akcję do zastosowania do wybranych grup. Ta akcja będzie miała zastosowanie do użytkowników wybranych dla tej samej akcji i grupowania kont lokalnych. Akcje, które można wybrać, obejmują:
- Dodaj (aktualizuj): dodaje członków do wybranych grup. Członkostwo w grupie dla użytkowników, którzy nie są określone przez zasady, nie ulega zmianie.
- Usuń (aktualizacja): usuń członków z wybranych grup. Członkostwo w grupie dla użytkowników, którzy nie są określone przez zasady, nie ulega zmianie.
- Dodaj (Zamień): zastąp elementy członkowskie wybranych grup nowymi elementami członkowskimi określonymi dla tej akcji. Ta opcja działa w taki sam sposób jak grupa z ograniczeniami, a wszystkie elementy członkowskie grupy, które nie są określone w zasadach, są usuwane.
Uwaga

Jeśli ta sama grupa jest skonfigurowana z akcją Zastąp i Aktualizuj, zostanie wygrana akcja Zastąp. Nie jest to uznawane za konflikt. Taka konfiguracja może wystąpić podczas wdrażania wielu zasad na tym samym urządzeniu lub gdy ten dostawca CSP jest również skonfigurowany przy użyciu programu Microsoft Graph.
Typ wyboru użytkownika: wybierz sposób wybierania użytkowników. Dostępne opcje:
- Użytkownicy: wybierz użytkowników i grupy użytkowników z Tożsamość Microsoft Entra. (Obsługiwane tylko w przypadku urządzeń przyłączonych do Microsoft Entra).
- Ręczne: ręczne określanie Microsoft Entra użytkowników i grup, według nazwy użytkownika, domeny\nazwy użytkownika lub identyfikatora zabezpieczeń grup (SID). (Obsługiwane w przypadku urządzeń przyłączonych Microsoft Entra i Microsoft Entra przyłączonych hybrydowo).
Wybrani użytkownicy: w zależności od wybranego typu wyboru użytkownika użyjesz jednej z następujących opcji:
- Wybierz użytkowników: wybierz użytkowników i grupy użytkowników z Microsoft Entra.
- Dodaj użytkowników: spowoduje to otwarcie okienka Dodawanie użytkowników , w którym można określić jeden lub więcej identyfikatorów użytkowników wyświetlanych na urządzeniu. Użytkownik można określić według identyfikatora zabezpieczeń (SID),domeny\nazwy użytkownika lub nazwy użytkownika.

Wybranie opcji Ręczne może być przydatne w scenariuszach, w których chcesz zarządzać lokalnymi użytkownikami usługi Active Directory z usługi Active Directory do grupy lokalnej dla Microsoft Entra urządzenia przyłączanego hybrydowo. Obsługiwane formaty identyfikowania wyboru użytkownika w kolejności od najbardziej do najmniej preferowanej są za pośrednictwem identyfikatora SID, domeny\nazwy użytkownika lub nazwy użytkownika członka. Wartości z usługi Active Directory muszą być używane dla urządzeń przyłączonych hybrydowo, podczas gdy wartości z Tożsamość Microsoft Entra muszą być używane do Microsoft Entra sprzężenia. Microsoft Entra identyfikatory SID grup można uzyskać przy użyciu interfejs Graph API dla grup.

Konflikty

Jeśli zasady powodują konflikt członkostwa w grupie, ustawienia powodujące konflikt z poszczególnych zasad nie są wysyłane do urządzenia. Zamiast tego konflikt jest zgłaszany dla tych zasad w centrum administracyjnym Microsoft Intune. Aby rozwiązać konflikt, skonfiguruj ponownie co najmniej jedną zasadę.

Raportowanie

Po zaewidencjonowaniu i zastosowaniu zasad w centrum administracyjnym zostanie wyświetlony stan urządzeń i użytkowników jako pomyślny lub o błędzie.

Ponieważ zasady mogą zawierać wiele reguł, należy wziąć pod uwagę następujące kwestie:

Podczas przetwarzania zasad dla urządzeń widok stanu dla każdego ustawienia wyświetla stan grupy reguł, tak jakby był to jedno ustawienie.
Każda reguła w zasadach, która powoduje błąd, jest pomijana i nie jest wysyłana do urządzeń.
Każda reguła, która zakończy się powodzeniem, jest wysyłana do urządzeń, które mają zostać zastosowane.

Następne kroki

Konfigurowanie zasad zabezpieczeń punktu końcowego