Intune 中终结点安全的帐户保护策略设置

重要

2024 年 7 月，以下用于标识保护和帐户保护的 Intune 配置文件已弃用，并替换为名为 “帐户保护”的新合并配置文件。此较新的配置文件位于终结点安全的帐户保护策略节点中，并且是唯一可用于为标识和帐户保护创建新策略实例的配置文件模板。此新配置文件中的设置也可通过设置目录获得。

已创建的以下旧配置文件的任何实例仍可供使用和编辑：

本文介绍帐户保护的配置文件中可用的设置 (预览版) ，这是以前通过 Intune 终结点安全性的帐户保护策略提供的配置文件类型。虽然无法创建此配置文件的新实例，但本文中的信息适用于可能仍在使用的配置文件实例。

本文中的设置适用于：

支持的平台和配置文件：

提示

对于 本地用户组成员身份 配置文件，请参阅管理 Windows 设备上的本地组。

有关 Windows LAPS) 配置文件 (本地管理员密码解决方案 ，请参阅管理 LAPS 策略。

帐户保护配置文件 (预览版)

以下设置详细信息仅适用于 2024 年 7 月弃用的帐户保护 (预览版) 的终结点安全配置文件模板。

阻止 Windows Hello 企业版

Windows Hello 企业版是一种替代方法，用于通过替换密码、智能卡和虚拟智能卡登录到 Windows。
- 未配置 (默认) - 设备预配 Windows Hello 企业版。
- 已禁用 - 设备预配 Windows Hello 企业版。通过此配置，更多设置可用于支持 PIN、受信任的平台模块 (TPM) 等的配置。
- 已启用 - 设备不会为任何用户预配 Windows Hello 企业版

重要

由于 Intune 确定 Windows Hello 企业版策略的范围和适用性的方式，设备可能会记录 事件 ID 454 作为应用策略的结果。在成功应用策略（并强制实施）后，可以安全忽略。

启用以使用安全密钥进行登录

为租户中的所有电脑启用 Windows Hello 安全密钥作为登录凭据。
- 未配置 (默认)
- 是
打开 Credential Guard
CSP：DeviceGuard

Credential Guard 使用 Windows 虚拟机监控程序提供保护。 Credential Guard 需要对安全启动和 DMA 保护的硬件支持。此设置仅在满足硬件要求的设备上成功。
- 未配置 (默认) - 禁用凭据防护，这是 Windows 默认设置。
- 使用 UEFI 锁定启用 - 启用 Credential Guard 并阻止远程关闭它，因为必须手动清除 UEFI 持久配置。
- 在不使用 UEFI 锁定的情况下启用 - 启用 Credential Guard，并允许在无需物理访问计算机的情况下将其关闭。