Ustawienia zasad ochrony konta dla zabezpieczeń punktu końcowego w usłudze Intune

  • Artykuł

Wyświetl ustawienia, które można skonfigurować w profilach ochrony konta (wersja zapoznawcza), która jest dostępna za pośrednictwem zasad ochrony konta dla zabezpieczeń punktu końcowego usługi Intune.

Ustawienia w tym artykule dotyczą:

  • Windows 10
  • Windows 11

Obsługiwane platformy i profile:

  • Windows 10 i nowsze:
    • Profil: Ochrona konta(wersja zapoznawcza)

Porada

W przypadku profilów członkostwa w lokalnych grupach użytkowników zobacz Zarządzanie grupami lokalnymi na urządzeniach z systemem Windows.

Aby uzyskać informacje na temat profilów rozwiązania do obsługi haseł administratora lokalnego (Windows LAPS), zobacz Zarządzanie zasadami LAPS.

Profil ochrony konta

Ochrona konta

  • Blokuj Windows Hello dla firm

    Windows Hello dla firm jest alternatywną metodą logowania do systemu Windows przez zastąpienie haseł, kart inteligentnych i wirtualnych kart inteligentnych.

    • Nie skonfigurowano (ustawienie domyślne) — aprowizowanie urządzeń Windows Hello dla firm.
    • Wyłączone — aprowizacja urządzeń Windows Hello dla firm. Dzięki tej konfiguracji dostępnych jest więcej ustawień, które obsługują konfiguracje numeru PIN, modułu TPM (Trusted Platform Module) i innych.
    • Włączone — urządzenia nie aprowizują Windows Hello dla firm dla żadnego użytkownika

Ważna

Ze względu na to, jak usługa Intune określa zakres i możliwość stosowania zasad Windows Hello dla firm, urządzenie może rejestrować identyfikator zdarzenia 454 w wyniku stosowania zasad. Można to bezpiecznie zignorować, gdy zasady zostaną zastosowane (i wymuszone).

  • Włączanie korzystania z kluczy zabezpieczeń na potrzeby logowania

    Włącz Windows Hello klucz zabezpieczeń jako poświadczenia logowania dla wszystkich komputerów w dzierżawie.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

  • Włączanie funkcji Credential Guard
    Dostawca usług kryptograficznych: DeviceGuard

    Funkcja Credential Guard używa funkcji Hypervisor systemu Windows do zapewnienia ochrony. Funkcja Credential Guard wymaga obsługi sprzętu dla zabezpieczeń rozruchu i ochrony DMA. To ustawienie powiodło się tylko na urządzeniach spełniających wymagania sprzętowe.

    • Nie skonfigurowano (ustawienie domyślne) — wyłącz użycie funkcji Credential Guard, która jest domyślna dla systemu Windows.
    • Włącz z blokadą UEFI — włącz funkcję Credential Guard i zablokuj jej zdalne wyłączenie, ponieważ utrwalona konfiguracja interfejsu UEFI musi zostać ręcznie wyczyszczona.
    • Włącz bez blokady UEFI — włącz funkcję Credential Guard i zezwalaj na jej wyłączenie bez fizycznego dostępu do maszyny.

Następne kroki

Zasady zabezpieczeń punktu końcowego dotyczące ochrony konta