Intune 中终结点安全的帐户保护策略设置

查看可在帐户保护配置文件中配置的设置 (预览版) ，可通过 Intune 终结点安全性的帐户保护策略获取。

本文中的设置适用于：

• Windows 10
• Windows 11

支持的平台和配置文件：

• Windows 10 及更高版本：
  • 配置文件： 帐户保护 (预览版)

提示

对于 本地用户组成员身份 配置文件，请参阅 管理 Windows 设备上的本地组。

有关 Windows LAPS) 配置文件 (本地管理员密码解决方案 ，请参阅 管理 LAPS 策略。

帐户保护配置文件

帐户保护

• 阻止Windows Hello 企业版

  Windows Hello 企业版是用于通过替换密码、智能卡和虚拟智能卡登录到 Windows 的替代方法。

  • 未配置 (默认) - 设备预配Windows Hello 企业版。
  • 已禁用 - 设备预配Windows Hello 企业版。 通过此配置，更多设置可用于支持 PIN、受信任的平台模块 (TPM) 等的配置。
  • 已启用 - 设备不会为任何用户预配Windows Hello 企业版

重要

由于 Intune 确定 Windows Hello 企业版策略的范围和适用性的方式，设备可能会记录 事件 ID 454 作为应用策略的结果。 在成功应用策略（并强制实施）后，可以安全忽略。

• 启用 以使用安全密钥进行登录

  为租户中的所有电脑启用Windows Hello安全密钥作为登录凭据。

  • 未配置 (默认)
  • 是

• 打开 Credential Guard
  CSP：DeviceGuard

  Credential Guard 使用 Windows 虚拟机监控程序提供保护。 Credential Guard 需要对安全启动和 DMA 保护的硬件支持。 此设置仅在满足硬件要求的设备上成功。

  • 未配置 (默认) - 禁用凭据防护，这是 Windows 默认设置。
  • 使用 UEFI 锁定启用 - 启用 Credential Guard 并阻止远程关闭它，因为必须手动清除 UEFI 持久配置。
  • 在不使用 UEFI 锁定的情况下启用 - 启用 Credential Guard，并允许在无需物理访问计算机的情况下将其关闭。

后续步骤

帐户保护的终结点安全策略