分享方式:


Intune 中端點安全性的帳戶保護原則

使用 Intune 端點安全策略進行帳戶保護,以保護使用者的身分識別和帳戶,以及管理裝置上的內建群組成員資格。

重要事項

在 2024 年 7 月,下列用於身分識別保護和帳戶保護的 Intune 配置檔已被取代,並由名為 帳戶保護的新合併配置檔取代。 此較新的配置檔可在端點安全性的帳戶保護原則節點中找到,而且是唯一可為身分識別和帳戶保護建立新原則實例的配置檔範本。 此新配置檔中的設定也可透過設定目錄取得。

您已建立之下列舊版設定檔的任何實體仍可供使用和編輯:

  • 身分識別保護 – 先前可從裝置>設定>建立>新原則>Windows 10 和更新版本>>本Identity Protection 取得
  • 帳戶保護 (預覽) – 先前可從 Endpoint Security>帳戶保護>Windows 10 和更新版本>的帳戶保護 ( 預覽)

在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中,尋找 [管理] 底下的 [帳戶保護] 端點安全策略。

帳戶保護配置檔的必要條件

  • 若要支援 帳戶保護 配置檔,裝置必須執行 Windows 10 或 Windows 11。
  • 若要支援 本機使用者群組成員資格 配置檔,裝置必須執行 Windows 10 20H2 或更新版本或 Windows 11。
  • 若要在 Windows LAPS) (支援 *本機系統管理員密碼解決方案,請 參閱 WindowsLAPS Microsoft Intune 支援中的必要條件

角色型存取控制 (RBAC)

如需指派管理 Intune 帳戶保護配置檔之許可權和許可權的正確層級指引,請 參閱 Assign-role-based-access-controls-for-endpoint-security-policy

帳戶保護配置檔

平臺: Windows

設定檔:

  • 帳戶保護 – 帳戶 保護原則的設定可協助您保護用戶認證。 帳戶保護原則著重於 Windows Hello 企業版的設定,其中包含 裝置範圍用戶範圍 設定,以及 Credential Guard,這是 Windows 身分識別和存取管理的一部分。

    • Windows Hello 企業 版會將密碼取代為計算機和行動裝置上的強式雙因素驗證。
    • Credential Guard 可協助保護您與裝置搭配使用的認證和秘密。

    若要深入瞭解,請參閱 Windows 身分識別和存取管理 檔中的身分識別和存取管理。

    此設定檔中的設定也可在 [設定] 目錄中取得。

  • Windows LAPS) (本機系統管理員密碼解決方案 - 使用此設定檔在裝置上設定 Windows LAPS。 Windows LAPS 允許管理每個裝置的單一本機系統管理員帳戶。 Intune 原則可以使用原則設定 [系統管理員帳戶名稱] 來指定要套用的本機系統 管理員帳戶

    如需使用 Intune 管理 Windows LAPS 的詳細資訊,請參閱:

  • 本機使用者群組成員資格 – 使用此配置檔來新增、移除或取代 Windows 裝置上內建本機群組的成員。 例如,系統管理員本地組具有廣泛的許可權。 您可以使用此原則來編輯管理群組的成員資格,將其鎖定為一組獨佔定義的成員。

    下一節的 管理 Windows 裝置上的本機群組會詳細說明此配置檔的使用方式。

管理 Windows 裝置上的本機群組

使用 本機使用者群組成員資格 配置檔,在執行 Windows 10 20H2 和更新版本的裝置上管理內建本機群組成員的使用者,以及 Windows 11 裝置。

提示

若要深入瞭解使用 Microsoft Entra 群組管理系統管理員許可權的支援,請參閱 Microsoft Entra 檔案中的使用 Microsoft Entra 群組 管理系統管理員許可權。

設定設定檔

此配置檔會透過原則 CSP - LocalUsersAndGroups 管理裝置上的本機群組成員資格。 CSP 檔包含如何套用設定的詳細數據,以及有關使用 CSP 的常見問題。

當您設定此設定檔時,您可以在 [組態 設定 ] 頁面上建立多個規則來管理您想要變更的內建本機群組、要採取的群組動作,以及選取使用者的方法。

設定設定檔之 [組態設定] 頁面的螢幕快照。

您可以進行下列設定:

  • 本機群組:從下拉式清單中選取一或多個群組。 這些群組都會將相同的 群組和用戶動作 套用至您指派的使用者。 您可以在單一配置檔中建立一個以上的本機群組群組,並將不同的動作和使用者群組指派給每個本地組群組。

注意事項

本機群組清單僅限於保證在登入時評估的六個內建本機群組,如如何在已 加入 Entra 的裝置上管理本機系統管理員群組檔中所參考Microsoft

  • 群組和用戶動作:設定動作以套用至選取的群組。 此動作適用於您為此相同動作選取的使用者,以及本機帳戶的群組。 您可以選取的動作包括:

    • 新增 (更新) :將成員新增至選取的群組。 原則未指定之使用者的群組成員資格不會變更。
    • 拿掉 (更新) :從選取的群組中移除成員。 原則未指定之使用者的群組成員資格不會變更。
    • 新增 (取代) :以您為此動作指定的新成員取代選取群組的成員。 此選項的運作方式與限制群組相同,而且會移除原則中未指定的任何群組成員。

    注意

    如果相同的群組同時設定了 Replace 和 Update 動作,則 Replace 動作會勝出。 這不會被視為衝突。 當您將多個原則部署到相同的裝置,或使用 Microsoft Graph 設定此 CSP 時,可能會發生這種設定。

  • 用戶選取類型:選擇如何選取使用者。 選項包括:

    • 使用者:從 [Microsoft Entra ID] 中選取使用者和使用者群組。 (僅支援Microsoft加入 Entra 的裝置) 。
    • 手動:手動指定Microsoft使用者和群組,依使用者名稱、網域\用戶名稱或群組安全標識符 (SID) 。 (支援Microsoft加入 Entra 並Microsoft已加入 Entra 混合式裝置) 。
  • 選擇的使用者 () :根據您選擇的 [使用者選擇類型],請使用下列其中一個選項:

    • 選取使用者 () :從 Microsoft Entra 中選取使用者和使用者群組。

    • 新增使用者 () :此選項會開啟 [ 新增使用者 ] 窗格,您可以在其中指定一或多個出現在裝置上的使用者標識符。 您可以透過 安全識別碼 (SID) Domain\usernameUsername 來指定使用者。

      Intune 系統管理中心的 [新增使用者] 頁面螢幕快照。

選擇 [手動] 選項對於您想要管理內部部署 Active Directory 使用者,從 Active Directory 到Microsoft加入混合式裝置之本機群組的案例很有説明。 以大部分到最不偏好的順序識別用戶選取專案的支援格式,是透過 SID、domain\username 或成員的用戶名稱。 Active Directory 中的值必須用於混合式聯結裝置,而來自 Microsoft Entra ID 的值必須用於 Microsoft Entra join。 Microsoft可以使用群組的 圖形 API 來取得 Entra 群組 SID。

Conflicts

如果原則造成群組成員資格的衝突,則來自每個原則的衝突設定不會傳送至裝置。 相反地,系統會在 Microsoft Intune 系統管理中心回報這些原則的衝突。 若要解決衝突,請重新設定一或多個原則。

報告

當裝置簽入並套用原則時,系統管理中心會將裝置和使用者的狀態顯示為成功或發生錯誤。

因為原則可以包含多個規則,請考慮下列幾點:

  • 處理裝置的原則時,每個設定狀態檢視會顯示規則群組的狀態,就像是單一設定一樣。
  • 原則中導致錯誤的每個規則都會略過,而且不會傳送至裝置。
  • 每個成功的規則都會傳送至要套用的裝置。

後續步驟

設定端點安全策略