Ustawienia zasad ochrony konta dla zabezpieczeń punktu końcowego w usłudze Intune
Wyświetl ustawienia, które można skonfigurować w profilach ochrony konta (wersja zapoznawcza), która jest dostępna za pośrednictwem zasad ochrony konta dla zabezpieczeń punktu końcowego usługi Intune.
Ustawienia w tym artykule dotyczą:
- Windows 10
- Windows 11
Obsługiwane platformy i profile:
- Windows 10 i nowsze:
- Profil: Ochrona konta(wersja zapoznawcza)
Porada
W przypadku profilów członkostwa w lokalnych grupach użytkowników zobacz Zarządzanie grupami lokalnymi na urządzeniach z systemem Windows.
Aby uzyskać informacje na temat profilów rozwiązania do obsługi haseł administratora lokalnego (Windows LAPS), zobacz Zarządzanie zasadami LAPS.
Profil ochrony konta
Ochrona konta
Blokuj Windows Hello dla firm
Windows Hello dla firm jest alternatywną metodą logowania do systemu Windows przez zastąpienie haseł, kart inteligentnych i wirtualnych kart inteligentnych.
- Nie skonfigurowano (ustawienie domyślne) — aprowizowanie urządzeń Windows Hello dla firm.
- Wyłączone — aprowizacja urządzeń Windows Hello dla firm. Dzięki tej konfiguracji dostępnych jest więcej ustawień, które obsługują konfiguracje numeru PIN, modułu TPM (Trusted Platform Module) i innych.
- Włączone — urządzenia nie aprowizują Windows Hello dla firm dla żadnego użytkownika
Ważna
Ze względu na to, jak usługa Intune określa zakres i możliwość stosowania zasad Windows Hello dla firm, urządzenie może rejestrować identyfikator zdarzenia 454 w wyniku stosowania zasad. Można to bezpiecznie zignorować, gdy zasady zostaną zastosowane (i wymuszone).
Włączanie korzystania z kluczy zabezpieczeń na potrzeby logowania
Włącz Windows Hello klucz zabezpieczeń jako poświadczenia logowania dla wszystkich komputerów w dzierżawie.
- Nie skonfigurowano (wartość domyślna)
- Tak
Włączanie funkcji Credential Guard
Dostawca usług kryptograficznych: DeviceGuardFunkcja Credential Guard używa funkcji Hypervisor systemu Windows do zapewnienia ochrony. Funkcja Credential Guard wymaga obsługi sprzętu dla zabezpieczeń rozruchu i ochrony DMA. To ustawienie powiodło się tylko na urządzeniach spełniających wymagania sprzętowe.
- Nie skonfigurowano (ustawienie domyślne) — wyłącz użycie funkcji Credential Guard, która jest domyślna dla systemu Windows.
- Włącz z blokadą UEFI — włącz funkcję Credential Guard i zablokuj jej zdalne wyłączenie, ponieważ utrwalona konfiguracja interfejsu UEFI musi zostać ręcznie wyczyszczona.
- Włącz bez blokady UEFI — włącz funkcję Credential Guard i zezwalaj na jej wyłączenie bez fizycznego dostępu do maszyny.
Następne kroki
Zasady zabezpieczeń punktu końcowego dotyczące ochrony konta
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla