Параметры политики защиты учетных записей для безопасности конечных точек в Intune

  • Статья

Просмотрите параметры, которые можно настроить в профилях защиты учетных записей (предварительная версия), которые доступны в политике защиты учетных записей для безопасности конечных точек Intune.

Параметры, приведенные в этой статье, применяются к:

  • Windows 10
  • Windows 11

Поддерживаемые платформы и профили:

  • Windows 10 и более поздних версий:
    • Профиль: защита учетных записей(предварительная версия)

Совет

Профили членства в локальных группах пользователей см. в разделе Управление локальными группами на устройствах Windows.

Сведения о профилях решения для паролей для локального администратора (Windows LAPS) см. в разделе Управление политикой LAPS.

Профиль защиты учетных записей

Защита учетной записи

  • Блокировка Windows Hello для бизнеса

    Windows Hello для бизнеса — это альтернативный способ входа в Windows путем замены паролей, смарт-карт и виртуальных смарт-карт.

    • Не настроено (по умолчанию) — устройства подготавливают Windows Hello для бизнеса.
    • Отключено — устройства подготавливают Windows Hello для бизнеса. В этой конфигурации доступны дополнительные параметры, поддерживающие конфигурации ПИН-кода, доверенного платформенного модуля (TPM) и многого другого.
    • Включено — устройства не подготавливают Windows Hello для бизнеса для любого пользователя

Важно!

Так как Intune определяет область и применимость политики Windows Hello для бизнеса, устройство может зарегистрировать событие с идентификатором 454 в результате применения политики. Его можно спокойно игнорировать, если политика применяется успешно (и принудительно).

  • Включение использования ключей безопасности для входа

    Включите Windows Hello ключ безопасности в качестве учетных данных для входа для всех компьютеров в клиенте.

    • Не настроено (по умолчанию)
    • Да

  • Включение Credential Guard
    CSP: DeviceGuard

    Credential Guard использует гипервизор Windows для обеспечения защиты. Credential Guard требует аппаратной поддержки безопасной загрузки и защиты DMA. Этот параметр успешно выполняется только на устройствах, соответствующих требованиям к оборудованию.

    • Не настроено (по умолчанию) — отключите использование Credential Guard, который является windows по умолчанию.
    • Включить с блокировкой UEFI . Включите Credential Guard и запретите его удаленное отключение, так как сохраняемая конфигурация UEFI должна быть очищена вручную.
    • Включить без блокировки UEFI . Включите Credential Guard и разрешите ее отключение без физического доступа к компьютеру.

Дальнейшие действия

Политика безопасности конечных точек для защиты учетных записей