Поделиться через

Политика защиты учетных записей для безопасности конечных точек в Intune

  • Статья

Используйте политики безопасности Intune конечных точек для защиты учетных записей для защиты удостоверений и учетных записей пользователей, а также для управления встроенным членством в группах на устройствах.

Важно!

В июле 2024 г. следующие Intune профили для защиты идентификации и защиты учетных записей были устарели и заменены новым объединенным профилем с именем Защита учетных записей. Этот новый профиль находится в узле политики защиты учетных записей безопасности конечной точки и является единственным шаблоном профиля, который остается доступным для создания новых экземпляров политики для защиты удостоверений и учетных записей. Параметры этого нового профиля также доступны в каталоге параметров.

Все экземпляры следующих старых профилей, которые вы создали, остаются доступными для использования и редактирования:

  • Защита идентификации — ранее была доступна вразделе Конфигурация>устройств>Создать>политику>Windows 10 и более поздних версий>шаблоны>Защита идентификации
  • Защита учетных записей (предварительная версия) — ранее была доступна вразделе Защита>учетных записей безопасности>конечных точекWindows 10 и болеепоздних версий защита учетных записей (предварительная версия)>

Найдите политики безопасности конечных точек для защиты учетных записей в разделе Управление в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Предварительные требования для профилей защиты учетных записей

  • Для поддержки профиля защиты учетных записей устройства должны работать Windows 10 или Windows 11.
  • Для поддержки профиля членства в локальных группах пользователей устройства должны работать Windows 10 версии 20H2 или более поздней версии или Windows 11.
  • Сведения о поддержке *локального решения для паролей администратора (Windows LAPS) см. в разделе Предварительные требования в Microsoft Intune поддержка Windows LAPS.

Управление доступом на основе ролей (RBAC)

Рекомендации по назначению правильного уровня разрешений и прав для управления Intune профилями защиты учетных записей см. в статье Assign-role-based-access-controls-for-endpoint-security-policy.

Профили защиты учетных записей

Платформа:

  • Windows

Профили:

  • Защита учетных записей — параметры политик защиты учетных записей помогают защитить учетные данные пользователей. Политика защиты учетных записей сосредоточена на параметрах на уровне устройства и пользователя для Windows Hello для бизнеса, а также на Credential Guard. Credential Guard является частью управления удостоверениями и доступом Windows.

    • Windows Hello для бизнеса заменяет пароли надежной двухфакторной проверкой подлинности на компьютерах и мобильных устройствах.
    • Credential Guard помогает защитить учетные данные и секреты, используемые с устройствами.

    Дополнительные сведения см. в статье Управление удостоверениями и доступом в документации по управлению удостоверениями и доступом Windows.

    Параметры в этом профиле также доступны в каталоге параметров.

  • Решение для паролей для локального администратора (Windows LAPS) — используйте этот профиль для настройки Windows LAPS на устройствах. Windows LAPS позволяет управлять одной учетной записью локального администратора на каждое устройство. Intune политике можно указать, к какой учетной записи локального администратора она применяется, используя параметр учетной записи администратора.

    Дополнительные сведения об использовании Intune для управления Windows LAPS см. в разделе:

  • Членство в локальных группах пользователей — используйте этот профиль для добавления, удаления или замены членов встроенных локальных групп на устройствах Windows. Например, локальная группа "Администраторы" имеет широкие права. Эту политику можно использовать для изменения членства в группе Администратор, чтобы заблокировать ее для набора исключительно определенных членов.

    Использование этого профиля подробно описано в следующем разделе Управление локальными группами на устройствах Windows.

Управление локальными группами на устройствах Windows

Используйте профиль членства в локальной группе пользователей для управления пользователями, которые являются членами встроенных локальных групп на устройствах, работающих Windows 10 20H2 и более поздних версий, а также Windows 11 устройствах.

Совет

Дополнительные сведения о поддержке управления правами администратора с помощью групп Microsoft Entra см. в статье Управление правами администратора с помощью групп Microsoft Entra документации по Microsoft Entra.

Настройка профиля

Этот профиль управляет членством в локальной группе на устройствах с помощью политики CSP — LocalUsersAndGroups. В документации по CSP содержатся дополнительные сведения о применении конфигураций, а также часто задаваемые вопросы об использовании CSP.

При настройке этого профиля на странице Параметры конфигурации можно создать несколько правил для управления встроенными локальными группами, которые требуется изменить, групповыми действиями и методом выбора пользователей.

Снимок экрана: страница параметров конфигурации для настройки профиля.

Ниже приведены конфигурации, которые можно создать.

  • Локальная группа. Выберите одну или несколько групп в раскрывающемся списке. Все эти группы применяют одно и то же действие группы и пользователя к назначенным пользователям. Вы можете создать несколько групп локальных групп в одном профиле и назначить для каждой группы локальных групп разные действия и группы пользователей.

Примечание.

Список локальных групп ограничен шестью встроенными локальными группами, которые гарантированно будут оцениваться при входе в систему, как указано в документации по управлению группой локальных администраторов на устройствах, присоединенных к Microsoft Entra.

  • Действие группы и пользователя. Настройте действие для применения к выбранным группам. Это действие применяется к пользователям, которые вы выбираете для этого же действия и группирования локальных учетных записей. Действия, которые можно выбрать, включают:

    • Добавить (обновить): добавляет участников в выбранные группы. Членство в группах для пользователей, не указанных политикой, не изменяется.
    • Удалить (обновить): удаление участников из выбранных групп. Членство в группах для пользователей, не указанных политикой, не изменяется.
    • Добавить (заменить): замените члены выбранных групп новыми элементами, указанными для этого действия. Этот параметр работает так же, как и ограниченная группа, и все члены группы, не указанные в политике, удаляются.

    Предостережение

    Если для одной группы настроены действия Заменить и Обновить, то побеждает действие Заменить. Это не считается конфликтом. Такая конфигурация может возникнуть при развертывании нескольких политик на одном устройстве или при настройке этого поставщика служб CSP с помощью Microsoft Graph.

  • Тип выбора пользователей. Выберите способ выбора пользователей. Варианты:

    • Пользователи. Выберите пользователей и группы пользователей из Microsoft Entra ID. (Поддерживается только для устройств, присоединенных к Microsoft Entra).
    • Вручную. Укажите Microsoft Entra пользователей и групп вручную, по имени пользователя, домену или идентификатору безопасности групп ( SID). (Поддерживается для Microsoft Entra присоединенных устройств и Microsoft Entra гибридных устройств).

  • Выбранные пользователи. В зависимости от выбранного типа выбора пользователя используйте один из следующих параметров:

    • Выберите пользователей: выберите пользователей и группы пользователей из Microsoft Entra.

    • Добавить пользователей. Этот параметр открывает панель Добавить пользователей , где можно указать один или несколько идентификаторов пользователей по мере их появления на устройстве. Вы можете указать пользователя по идентификатору безопасности (SID),домену\имя_пользователя или по имени пользователя.

      Снимок экрана: страница

Выбор параметра Вручную может быть полезен в сценариях, когда вы хотите управлять локальная служба Active Directory пользователями из Active Directory в локальную группу для Microsoft Entra устройства с гибридным присоединением. Поддерживаемые форматы идентификации выбора пользователей в порядке наиболее или наименее предпочтительных — это идентификатор безопасности, домен\имя_пользователя или имя пользователя участника. Значения из Active Directory должны использоваться для устройств с гибридным присоединением, а значения из Microsoft Entra ID — для Microsoft Entra присоединения. Microsoft Entra идентификаторы безопасности групп можно получить с помощью API Graph для групп.

Conflicts

Если политики создают конфликт для членства в группе, конфликтующие параметры из каждой политики не отправляются на устройство. Вместо этого о конфликте для этих политик сообщается в Центре администрирования Microsoft Intune. Чтобы устранить конфликт, перенастройте одну или несколько политик.

Reporting

По мере того как устройства проверка в и применяют политику, Центр администрирования отображает состояние устройств и пользователей как успешных или в состоянии ошибки.

Так как политика может содержать несколько правил, учитывайте следующие моменты:

  • Когда Intune обрабатывает политику для устройств, в представлении состояния каждого параметра отображается состояние группы правил, как если бы это был один параметр.
  • Каждое правило в политике, которое приводит к ошибке, пропускается и не отправляется на устройства.
  • Каждое успешное правило отправляется на устройства для применения.

Дальнейшие действия

Настройка политик безопасности конечных точек