Intune 中端點安全性的帳戶保護原則
使用 Intune 端點安全策略進行帳戶保護,以保護使用者的身分識別和帳戶,以及管理裝置上的內建群組成員資格。
重要事項
在 2024 年 7 月,下列適用於身分識別保護和帳戶保護的 Intune 配置檔已被取代,並由名為帳戶保護的新合併配置檔取代。 此較新的配置檔可在端點安全性的帳戶保護原則節點中找到,而且是唯一可為身分識別和帳戶保護建立新原則實例的配置檔範本。 此新配置檔中的設定也可透過設定目錄取得。
您已建立之下列舊版設定檔的任何實體仍可供使用和編輯:
- 身分識別保護 – 先前可從裝置>設定>建立>新原則>取得 Windows 10 及更新版本>的>範本身分識別保護
- 帳戶保護 (預覽) – 先前可從 Endpoint Security>帳戶保護>取得 Windows 10 及更新版本>的帳戶保護 ( 預覽)
在 Microsoft Intune 系統管理中心的 [端點安全性] 節點的 [管理] 底下,尋找帳戶保護的端點安全策略。
帳戶保護配置檔的必要條件
- 若要支援帳戶保護配置檔,裝置必須執行 Windows 10 或 Windows 11。
- 若要支援本機使用者群組成員資格配置檔,裝置必須執行 Windows 10 20H2 或更新版本,或 Windows 11。
- 若要在 Windows LAPS) (支援 *本機系統管理員密碼解決方案,請參閱Windows LAPS Microsoft Intune 支援中的必要條件。
角色型存取控制 (RBAC)
如需指派管理帳戶保護配置檔 Intune 許可權和許可權的正確層級指引,請參閱 Assign-role-based-access-controls-for-endpoint-security-policy。
帳戶保護配置檔
平臺:
- Windows
設定檔:
帳戶保護 – 帳戶保護原則的設定可協助您保護用戶認證。 帳戶保護原則著重於 Windows Hello 企業版的裝置範圍和用戶範圍設定,以及 Credential Guard 上的設定。 Credential Guard 是 Windows 身分識別和存取管理的一部分。
- Windows Hello 企業版 在計算機和行動裝置上以強式雙因素驗證取代密碼。
- Credential Guard 可協助保護您與裝置搭配使用的認證和秘密。
若要深入瞭解,請參閱 Windows 身分識別和存取管理 檔中的身分識別和存取管理。
此設定檔中的設定也可在 [設定] 目錄中取得。
Windows LAPS) (本機系統管理員密碼解決方案 - 使用此設定檔在裝置上設定 Windows LAPS。 Windows LAPS 允許管理每個裝置的單一本機系統管理員帳戶。 Intune 原則可以使用原則設定 [系統管理員帳戶名稱] 來指定要套用的本機系統管理員帳戶。
如需使用 Intune 管理 Windows LAPS 的詳細資訊,請參閱:
本機使用者群組成員資格 – 使用此配置檔來新增、移除或取代 Windows 裝置上內建本機群組的成員。 例如,系統管理員本地組具有廣泛的許可權。 您可以使用此原則來編輯 管理員 群組的成員資格,將其鎖定為一組獨佔定義的成員。
下一節的 管理 Windows 裝置上的本機群組會詳細說明此配置檔的使用方式。
管理 Windows 裝置上的本機群組
使用本機使用者群組成員資格配置檔,管理執行 Windows 10 20H2 和更新版本之裝置上內建本機群組成員的使用者,以及 Windows 11 裝置。
提示
若要深入瞭解使用 Microsoft Entra 群組管理系統管理員許可權的支援,請參閱 Microsoft Entra 檔中的使用 Microsoft Entra 群組管理系統管理員許可權。
設定設定檔
此配置檔會透過原則 CSP - LocalUsersAndGroups 管理裝置上的本機群組成員資格。 CSP 檔包含如何套用設定的詳細數據,以及有關使用 CSP 的常見問題。
當您設定此設定檔時,您可以在 [組態 設定 ] 頁面上建立多個規則來管理您想要變更的內建本機群組、要採取的群組動作,以及選取使用者的方法。
![設定設定檔之 [組態設定] 頁面的螢幕快照。](media/endpoint-security-account-protection-policy/create-profile.png)
您可以進行下列設定:
- 本機群組:從下拉式清單中選取一或多個群組。 這些群組都會將相同的 群組和用戶動作 套用至您指派的使用者。 您可以在單一配置檔中建立一個以上的本機群組群組,並將不同的動作和使用者群組指派給每個本地組群組。
注意事項
本機群組清單僅限於保證在登入時評估的六個內建本機群組,如如何在已加入 Microsoft Entra 裝置上管理本機系統管理員群組檔中所參考。
群組和用戶動作:設定動作以套用至選取的群組。 此動作適用於您為此相同動作選取的使用者,以及本機帳戶的群組。 您可以選取的動作包括:
- 新增 (更新) :將成員新增至選取的群組。 原則未指定之使用者的群組成員資格不會變更。
- 拿掉 (更新) :從選取的群組中移除成員。 原則未指定之使用者的群組成員資格不會變更。
- 新增 (取代) :以您為此動作指定的新成員取代選取群組的成員。 此選項的運作方式與限制群組相同,而且會移除原則中未指定的任何群組成員。
注意
如果相同的群組同時設定了 Replace 和 Update 動作,則 Replace 動作會勝出。 這不會被視為衝突。 當您將多個原則部署到相同的裝置,或使用 Microsoft Graph 設定此 CSP 時,可能會發生這種設定。
用戶選取類型:選擇如何選取使用者。 選項包括:
- 使用者:從 Microsoft Entra ID 選取使用者和使用者群組。 (僅支援 Microsoft Entra 加入的裝置) 。
- 手動:手動指定 Microsoft Entra 使用者和群組,依使用者名稱、網域\用戶名稱或群組安全標識符 (SID) 。 (支援 Microsoft Entra 加入和 Microsoft Entra 混合式聯結裝置) 。
選擇的使用者 () :根據您選擇的 [使用者選擇類型],請使用下列其中一個選項:
選取使用者 (的) :從 Microsoft Entra 選取使用者和使用者群組。
新增使用者 () :此選項會開啟 [ 新增使用者 ] 窗格,您可以在其中指定一或多個出現在裝置上的使用者標識符。 您可以透過 安全識別碼 (SID) 、 Domain\username 或 Username 來指定使用者。
![Intune 系統管理中心的 [新增使用者] 頁面螢幕快照。](media/endpoint-security-account-protection-policy/add-user.png)
選擇 [手動] 選項對於您想要針對 Microsoft Entra 混合式聯結裝置從 Active Directory 管理 內部部署的 Active Directory 使用者到本機群組的案例很有説明。 以大部分到最不偏好的順序識別用戶選取專案的支援格式,是透過 SID、domain\username 或成員的用戶名稱。 Active Directory 中的值必須用於混合式聯結裝置,而來自 Microsoft Entra ID 的值必須用於 Microsoft Entra 聯結。 Microsoft Entra 群組 SID 可以使用群組的 圖形 API 取得。
Conflicts
如果原則造成群組成員資格的衝突,則來自每個原則的衝突設定不會傳送至裝置。 相反地,系統管理中心會針對這些原則回報衝突 Microsoft Intune。 若要解決衝突,請重新設定一或多個原則。
報告
當裝置簽入並套用原則時,系統管理中心會將裝置和使用者的狀態顯示為成功或發生錯誤。
因為原則可以包含多個規則,請考慮下列幾點:
- 當 Intune 處理裝置的原則時,每個設定狀態檢視會顯示規則群組的狀態,就像是單一設定一樣。
- 原則中導致錯誤的每個規則都會略過,而且不會傳送至裝置。
- 每個成功的規則都會傳送至要套用的裝置。