Kontoschutzrichtlinieneinstellungen für Endpunktsicherheit in Intune
Wichtig
Im Juli 2024 wurden die folgenden Intune Profile für Identitätsschutz und Kontoschutz veraltet und durch ein neues konsolidiertes Profil namens Kontoschutz ersetzt. Dieses neuere Profil befindet sich im Kontoschutzrichtlinienknoten der Endpunktsicherheit und ist die einzige Profilvorlage, die weiterhin verfügbar ist, um neue Richtlinieninstanzen für identitäts- und kontoschutz zu erstellen. Die Einstellungen aus diesem neuen Profil sind auch über den Einstellungskatalog verfügbar.
Alle Instanzen der folgenden älteren Profile, die Sie erstellt haben, können weiterhin verwendet und bearbeitet werden:
- Identity Protection – zuvor unter Gerätekonfiguration>>Neue Richtlinie>erstellen>Windows 10 und höher>Vorlagen>Identity Protection
- Kontoschutz (Vorschau) – zuvor über Endpoint Security>Account Protection>verfügbar Windows 10 und höher>Kontoschutz (Vorschau)
In diesem Artikel werden Einstellungen beschrieben, die in Profilen für Kontoschutz (Vorschau) verfügbar sind. Dabei handelt es sich um einen Profiltyp, der zuvor über die Kontoschutzrichtlinie für Intune Endpoint Security verfügbar war. Obwohl Sie keine neuen Instanzen dieses Profils erstellen können, gelten die Informationen in diesem Artikel für Instanzen des Profils, die Möglicherweise noch verwendet werden.
Die Einstellungen in diesem Artikel gelten für:
- Windows 10
- Windows 11
Unterstützte Plattformen und Profile:
-
Windows 10 und höher:
- Profil: Kontoschutz (Vorschau)
Tipp
Informationen zu Mitgliedschaftsprofilen für lokale Benutzergruppen finden Sie unter Verwalten lokaler Gruppen auf Windows-Geräten.
Informationen zu Profilen für lokale Administratorkennwörter (Windows LAPS) finden Sie unter Verwalten der LAPS-Richtlinie.
Kontoschutzprofil (Vorschau)
Die folgenden Einstellungen gelten nur für die Endpunktsicherheitsprofilvorlage für kontoschutz (Vorschau), die im Juli 2024 veraltet war.
Windows Hello for Business blockieren
Windows Hello for Business ist eine alternative Methode zum Anmelden bei Windows, indem Kennwörter, Smartcards und virtuelle Smartcards ersetzt werden.
- Nicht konfiguriert (Standard): Geräte stellen Windows Hello for Business.
- Deaktiviert: Geräte stellen Windows Hello for Business. Mit dieser Konfiguration sind weitere Einstellungen verfügbar, die Konfigurationen für PIN, Trusted Platform Module (TPM) und vieles mehr unterstützen.
- Aktiviert: Geräte stellen keine Windows Hello for Business für Benutzer bereit.
Wichtig
Aufgrund der Art und Weise, wie Intune den Geltungsbereich und die Anwendbarkeit der Richtlinie für Windows Hello for Business bestimmt, kann das Gerät als Ergebnis der Anwendung der Richtlinie die Ereignis-ID 454 protokollieren. Dies kann ignoriert werden, wenn die Richtlinie erfolgreich angewendet (und erzwungen) wird.
Aktivieren der Verwendung von Sicherheitsschlüsseln für die Anmeldung
Aktivieren Sie Windows Hello Sicherheitsschlüssel als Anmeldeinformationen für alle PCs im Mandanten.
- Nicht konfiguriert (Standard)
- Ja
Aktivieren von Credential Guard
CSP: DeviceGuardCredential Guard verwendet Windows Hypervisor, um Schutz bereitzustellen. Credential Guard erfordert Hardwareunterstützung für den sicheren Start und DMA-Schutz. Diese Einstellung ist nur auf Geräten erfolgreich, die die Hardwareanforderungen erfüllen.
- Nicht konfiguriert (Standard): Deaktivieren Sie die Verwendung von Credential Guard, der Windows-Standardeinstellung.
- Aktivieren mit UEFI-Sperre : Aktivieren Sie Credential Guard, und blockieren Sie, dass es remote deaktiviert wird, da die permanente UEFI-Konfiguration manuell gelöscht werden muss.
- Aktivieren ohne UEFI-Sperre : Aktivieren Sie Credential Guard, und lassen Sie die Deaktivierung ohne physischen Zugriff auf den Computer zu.