Параметры политики защиты учетных записей для безопасности конечных точек в Intune
Важно!
В июле 2024 г. следующие Intune профили для защиты идентификации и защиты учетных записей были устарели и заменены новым объединенным профилем с именем Защита учетных записей. Этот новый профиль находится в узле политики защиты учетных записей безопасности конечной точки и является единственным шаблоном профиля, который остается доступным для создания новых экземпляров политики для защиты удостоверений и учетных записей. Параметры этого нового профиля также доступны в каталоге параметров.
Все экземпляры следующих старых профилей, которые вы создали, остаются доступными для использования и редактирования:
- Защита идентификации — ранее была доступна вразделе Конфигурация>устройств>Создать>политику>Windows 10 и более поздних версий>шаблоны>Защита идентификации
- Защита учетных записей (предварительная версия) — ранее была доступна вразделе Защита>учетных записей безопасности>конечных точекWindows 10 и болеепоздних версий защита учетных записей (предварительная версия)>
В этой статье описываются параметры, доступные в профилях защиты учетных записей (предварительная версия), который является типом профиля, который ранее был доступен с помощью политики защиты учетных записей для Intune безопасности конечных точек. Хотя вы не можете создать новые экземпляры этого профиля, сведения, приведенные в этой статье, относятся к экземплярам профиля, который вы все еще можете использовать.
Параметры, приведенные в этой статье, применяются к:
- Windows 10
- Windows 11
Поддерживаемые платформы и профили:
-
Windows 10 и более поздних версий:
- Профиль: защита учетных записей (предварительная версия)
Совет
Профили членства в локальных группах пользователей см. в разделе Управление локальными группами на устройствах Windows.
Сведения о профилях решения для паролей для локального администратора (Windows LAPS) см. в разделе Управление политикой LAPS.
Профиль защиты учетных записей (предварительная версия)
Следующие сведения о параметрах применяются только к шаблону профиля безопасности конечной точки для защиты учетных записей (предварительная версия), который был устарел в июле 2024 г.
Блокировка Windows Hello для бизнеса
Windows Hello для бизнеса — это альтернативный способ входа в Windows путем замены паролей, смарт-карт и виртуальных смарт-карт.
- Не настроено (по умолчанию) — устройства подготавливают Windows Hello для бизнеса.
- Отключено — устройства подготавливают Windows Hello для бизнеса. В этой конфигурации доступны дополнительные параметры, поддерживающие конфигурации ПИН-кода, доверенного платформенного модуля (TPM) и многого другого.
- Включено — устройства не подготавливают Windows Hello для бизнеса для любого пользователя
Важно!
Так как Intune определяет область и применимость политики Windows Hello для бизнеса, устройство может зарегистрировать событие с идентификатором 454 в результате применения политики. Его можно спокойно игнорировать, если политика применяется успешно (и принудительно).
Включение использования ключей безопасности для входа
Включите Windows Hello ключ безопасности в качестве учетных данных для входа для всех компьютеров в клиенте.
- Не настроено (по умолчанию)
- Да
Включение Credential Guard
CSP: DeviceGuardCredential Guard использует гипервизор Windows для обеспечения защиты. Credential Guard требует аппаратной поддержки безопасной загрузки и защиты DMA. Этот параметр успешно выполняется только на устройствах, соответствующих требованиям к оборудованию.
- Не настроено (по умолчанию) — отключите использование Credential Guard, который является windows по умолчанию.
- Включить с блокировкой UEFI . Включите Credential Guard и запретите его удаленное отключение, так как сохраняемая конфигурация UEFI должна быть очищена вручную.
- Включить без блокировки UEFI . Включите Credential Guard и разрешите ее отключение без физического доступа к компьютеру.
Дальнейшие действия
Политика безопасности конечных точек для защиты учетных записей