Intune中终结点安全的帐户保护策略设置

重要

2024 年 7 月,以下用于标识保护和帐户保护的Intune配置文件已弃用,并替换为名为“帐户保护”的新合并配置文件。 此较新的配置文件位于终结点安全的帐户保护策略节点中,并且是唯一可用于为标识和帐户保护创建新策略实例的配置文件模板。 此新配置文件中的设置也可通过设置目录获得。

已创建的以下旧配置文件的任何实例仍可供使用和编辑:

  • 标识保护 - 以前可从设备>配置>创建新>策略>Windows 10及更高版本的>模板>标识保护中提供
  • 帐户保护 (预览版) - 以前可从 Endpoint Security>帐户保护>Windows 10及更高版本的>帐户保护 ( 预览版)

本文介绍帐户保护配置文件中可用的设置 (预览版) ,这是一种配置文件类型,以前可通过帐户保护策略Intune终结点安全性使用。 虽然无法创建此配置文件的新实例,但本文中的信息适用于可能仍在使用的配置文件实例。

本文中的设置适用于:

  • Windows 10
  • Windows 11

支持的平台和配置文件:

  • Windows 10 及更高版本
    • 配置文件: 帐户保护 (预览版)

提示

对于 本地用户组成员身份 配置文件,请参阅 管理 Windows 设备上的本地组

有关 Windows LAPS) 配置文件 (本地管理员密码解决方案 ,请参阅 管理 LAPS 策略

帐户保护配置文件 (预览版)

以下设置详细信息仅适用于 2024 年 7 月弃用的帐户保护 (预览版) 的终结点安全配置文件模板。

  • 阻止Windows Hello 企业版

    Windows Hello 企业版是用于通过替换密码、智能卡和虚拟智能卡登录到 Windows 的替代方法。

    • 未配置 (默认) - 设备预配Windows Hello 企业版。
    • 已禁用 - 设备预配Windows Hello 企业版。 通过此配置,更多设置可用于支持 PIN、受信任的平台模块 (TPM) 等的配置。
    • 已启用 - 设备不会为任何用户预配Windows Hello 企业版

重要

由于 Intune 确定 Windows Hello 企业版策略的范围和适用性的方式,设备可能会记录 事件 ID 454 作为应用策略的结果。 在成功应用策略(并强制实施)后,可以安全忽略。

  • 启用 以使用安全密钥进行登录

    为租户中的所有电脑启用Windows Hello安全密钥作为登录凭据。

    • 未配置 (默认)
  • 打开 Credential Guard
    CSP:DeviceGuard

    Credential Guard 使用 Windows 虚拟机监控程序提供保护。 Credential Guard 需要对安全启动和 DMA 保护的硬件支持。 此设置仅在满足硬件要求的设备上成功。

    • 未配置 (默认) - 禁用凭据防护,这是 Windows 默认设置。
    • 使用 UEFI 锁定启用 - 启用 Credential Guard 并阻止远程关闭它,因为必须手动清除 UEFI 持久配置。
    • 在不使用 UEFI 锁定的情况下启用 - 启用 Credential Guard,并允许在无需物理访问计算机的情况下将其关闭。

后续步骤

帐户保护的终结点安全策略