Impostazioni dei criteri di protezione degli account per la sicurezza degli endpoint in Intune
Importante
Nel luglio 2024 i profili di Intune seguenti per la protezione delle identità e degli account sono stati deprecati e sostituiti da un nuovo profilo consolidato denominato Protezione account. Questo profilo più recente si trova nel nodo dei criteri di protezione degli account della sicurezza degli endpoint ed è l'unico modello di profilo che rimane disponibile per creare nuove istanze dei criteri per la protezione dell'identità e dell'account. Le impostazioni di questo nuovo profilo sono disponibili anche tramite il catalogo delle impostazioni.
Tutte le istanze dei profili meno recenti seguenti creati rimangono disponibili per l'uso e la modifica:
- Protezione delle identità: disponibile in precedenza daConfigurazione>dispositivi>Crea>nuovi criteri>Windows 10 e modelli> successivi >Identity Protection
- Protezione dell'account (anteprima): disponibile in precedenza da Endpoint Security>Account Protection>Windows 10 e versioni successive>Protezione account (anteprima)
Questo articolo descrive le impostazioni disponibili nei profili di protezione dell'account (anteprima), ovvero un tipo di profilo precedentemente disponibile tramite i criteri di protezione degli account per Intune sicurezza degli endpoint. Anche se non è possibile creare nuove istanze di questo profilo, le informazioni contenute in questo articolo si applicano alle istanze del profilo che potrebbero essere ancora in uso.
Le impostazioni in questo articolo si applicano a:
- Windows 10
- Windows 11
Piattaforme e profili supportati:
-
Windows 10 e versioni successive:
- Profilo: Protezione account (anteprima)
Consiglio
Per i profili di appartenenza ai gruppi utente locali , vedere Gestire i gruppi locali nei dispositivi Windows.
Per i profili della soluzione con password amministratore locale (Windows LAPS), vedere Gestire i criteri LAPS.
Profilo di protezione dell'account (anteprima)
I dettagli delle impostazioni seguenti si applicano solo al modello di profilo di sicurezza degli endpoint per Protezione account (anteprima), deprecato a luglio 2024.
Blocca Windows Hello for Business
Windows Hello for Business è un metodo alternativo per l'accesso a Windows sostituendo password, smart card e smart card virtuali.
- Non configurato (impostazione predefinita): i dispositivi effettuano il provisioning Windows Hello for Business.
- Disabilitato: i dispositivi effettuano il provisioning Windows Hello for Business. Con questa configurazione sono disponibili altre impostazioni che supportano le configurazioni per PIN, TPM (Trusted Platform Module) e altro ancora.
- Abilitato: i dispositivi non effettuano il provisioning di Windows Hello for Business per nessun utente
Importante
A causa di come Intune determina l'ambito e l'applicabilità dei criteri di Windows Hello for Business, il dispositivo può registrare l'ID evento 454 come risultato dell'applicazione dei criteri. Questo può essere ignorato in modo sicuro quando i criteri vengono applicati correttamente (e applicati).
Abilitare l'uso delle chiavi di sicurezza per l'accesso
Abilitare Windows Hello chiave di sicurezza come credenziale di accesso per tutti i PC nel tenant.
- Non configurato (impostazione predefinita)
- Sì
Attivare Credential Guard
CSP: DeviceGuardCredential Guard usa Windows Hypervisor per fornire protezioni. Credential Guard richiede il supporto hardware per l'avvio protetto e le protezioni DMA. Questa impostazione ha esito positivo solo nei dispositivi che soddisfano i requisiti hardware.
- Non configurato (impostazione predefinita): disabilita l'uso di Credential Guard, che è l'impostazione predefinita di Windows.
- Abilita con blocco UEFI : abilita Credential Guard e blocca la disattivazione remota, perché la configurazione persistente UEFI deve essere cancellata manualmente.
- Abilita senza blocco UEFI : abilita Credential Guard e consenti la disattivazione senza accesso fisico al computer.
Passaggi successivi
Criteri di sicurezza degli endpoint per la protezione degli account