次の方法で共有

Intune でのエンドポイント セキュリティのアカウント保護ポリシー設定

  • [アーティクル]

重要

2024 年 7 月、ID 保護とアカウント保護の次の Intune プロファイルは非推奨となり、 アカウント保護という名前の新しい統合プロファイルに置き換えられました。 この新しいプロファイルは、エンドポイント セキュリティのアカウント保護ポリシー ノードにあり、ID とアカウント保護の新しいポリシー インスタンスを作成するために引き続き使用できる唯一のプロファイル テンプレートです。 この新しいプロファイルの設定は、設定カタログからも使用できます。

作成した次の古いプロファイルのインスタンスは、引き続き使用および編集できます。

  • ID 保護 – 以前は Devices>Configuration>Create>New Policy>Windows 10 以降>Templates>Identity Protection から入手できます。
  • アカウント保護 (プレビュー)以前はエンドポイント セキュリティ>Account 保護>Windows 10 以降>Account 保護 (プレビュー) から入手できます

この記事では、アカウント保護 (プレビュー) のプロファイルで使用できる設定について説明します。これは、Intune エンドポイント セキュリティアカウント保護ポリシーで以前に使用できたプロファイルの種類です。 このプロファイルの新しいインスタンスを作成することはできませんが、この記事の情報は、まだ使用している可能性があるプロファイルのインスタンスに適用されます。

この記事の設定は、次の場合に適用されます。

  • Windows 10
  • Windows 11

サポートされているプラットフォームとプロファイル:

  • Windows 10 以降:
    • プロファイル: アカウント保護 (プレビュー)

ヒント

ローカル ユーザー グループ メンバーシップ プロファイルについては、「Windows デバイスでのローカル グループの管理」を参照してください。

ローカル管理者パスワード ソリューション (Windows LAPS) プロファイルについては、「LAPS ポリシーの管理」を参照してください。

アカウント保護プロファイル (プレビュー)

次の設定の詳細は、2024 年 7 月に非推奨となったアカウント保護 (プレビュー) のエンドポイント セキュリティ プロファイル テンプレートにのみ適用されます。

  • Windows Hello for Business をブロックする

    Windows Hello for Business は、パスワード、スマート カード、仮想スマート カードを置き換えて Windows にサインインするための代替方法です。

    • 未構成 (既定値) - デバイスは Windows Hello for Business をプロビジョニングします。
    • 無効 - デバイスは Windows Hello for Business をプロビジョニングします。 この構成では、PIN、トラステッド プラットフォーム モジュール (TPM) などの構成をサポートするより多くの設定を使用できます。
    • 有効 - デバイスが Windows Hello for Business をどのユーザーにもプロビジョニングしない

重要

Windows Hello for Business ポリシーのスコープと適用性が Intune によって判断される方法のため、ポリシーを適用した結果としてデバイスにイベント ID 454 が記録されることがあります。 ポリシーが正常に適用 (および実施) されている場合は、これを無視しても問題ありません。

  • サインインにセキュリティ キーを使用できるようにする

    テナント内のすべての PC のサインイン資格情報として Windows Hello セキュリティ キーを有効にします。

    • 未構成 (既定値)
    • はい

  • Credential Guard を有効にする
    CSP: DeviceGuard

    Credential Guard では、Windows ハイパーバイザーを使用して保護を提供します。 Credential Guard には、セキュア ブートと DMA 保護のハードウェア サポートが必要です。 この設定は、ハードウェア要件を満たすデバイスでのみ成功します。

    • 未構成 (既定値) - Windows の既定値である Credential Guard の使用を無効にします。
    • UEFI ロックで有効にする - Credential Guard を有効にし、UEFI 永続化された構成を手動でクリアする必要があるため、リモートでオフにされないようにブロックします。
    • [UEFI ロックなしで有効にする ] - Credential Guard を有効にし、マシンへの物理的なアクセスなしでオフにできるようにします。

次の手順

アカウント保護のエンドポイント セキュリティ ポリシー