Partager via

Paramètres de stratégie de protection de compte pour la sécurité des points de terminaison dans Intune

  • Article

Importante

En juillet 2024, les profils Intune suivants pour la protection des identités et la protection des comptes ont été dépréciés et remplacés par un nouveau profil consolidé nommé Protection des comptes. Ce profil plus récent se trouve dans le nœud de stratégie de protection de compte de la sécurité des points de terminaison. Il s’agit du seul modèle de profil qui reste disponible pour créer de nouvelles instances de stratégie pour la protection des identités et des comptes. Les paramètres de ce nouveau profil sont également disponibles via le catalogue de paramètres.

Toutes les instances des profils plus anciens suivants que vous avez créés restent disponibles pour l’utilisation et la modification :

  • Protection des identités : précédemment disponible à partir dela configuration>des appareils>Créer une>>stratégieWindows 10 et versions ultérieures>>Identity Protection
  • Protection du compte (préversion) : précédemment disponible à partir de Endpoint Security>Account Protection>Windows 10 et versions ultérieures>Protection du compte (préversion)

Cet article décrit les paramètres disponibles dans les profils pour la protection du compte (préversion), qui est un type de profil précédemment disponible via la stratégie de protection de compte pour la sécurité des points de terminaison Intune. Même si vous ne pouvez pas créer de nouvelles instances de ce profil, les informations contenues dans cet article s’appliquent aux instances du profil que vous avez peut-être encore en cours d’utilisation.

Les paramètres de cet article s’appliquent à :

  • Windows 10
  • Windows 11

Plateformes et profils pris en charge :

  • Windows 10 et versions ultérieures :
    • Profil : Protection du compte (préversion)

Conseil

Pour les profils d’appartenance aux groupes d’utilisateurs locaux , consultez Gérer les groupes locaux sur les appareils Windows.

Pour les profils de solution de mot de passe d’administrateur local (Windows LAPS), consultez Gérer la stratégie LAPS.

Profil de protection de compte (préversion)

Les détails des paramètres suivants s’appliquent uniquement au modèle de profil de sécurité de point de terminaison pour la protection de compte (préversion), qui a été déconseillé en juillet 2024.

  • Bloquer Windows Hello Entreprise

    Windows Hello Entreprise est une autre méthode de connexion à Windows en remplaçant les mots de passe, les cartes à puce et les cartes à puce virtuelles.

    • Non configuré (valeur par défaut) : les appareils approvisionnent Windows Hello Entreprise.
    • Désactivé : les appareils approvisionnent Windows Hello Entreprise. Avec cette configuration, d’autres paramètres sont disponibles qui prennent en charge les configurations pour le code confidentiel, le module de plateforme sécurisée (TPM) et bien plus encore.
    • Activé : les appareils ne provisionnent Windows Hello Entreprise pour aucun utilisateur

Importante

En raison de la façon dont Intune détermine l’étendue et l’applicabilité des stratégies Windows Hello Entreprise, l’appareil peut enregistrer l’ID d’événement 454 suite à l’application de la stratégie. Cela peut être ignoré en toute sécurité lorsque la stratégie est correctement appliquée (et exécutée).

  • Activer pour utiliser des clés de sécurité pour la connexion

    Activez Windows Hello clé de sécurité comme informations d’identification de connexion pour tous les PC du locataire.

    • Non configuré (par défaut)
    • Oui

  • Activer Credential Guard
    CSP : DeviceGuard

    Credential Guard utilise l’hyperviseur Windows pour fournir des protections. Credential Guard nécessite une prise en charge matérielle pour le démarrage sécurisé et les protections DMA. Ce paramètre réussit uniquement sur les appareils qui répondent à la configuration matérielle requise.

    • Non configuré (par défaut) : désactivez l’utilisation de Credential Guard, qui est la valeur par défaut de Windows.
    • Activer avec le verrouillage UEFI : activez Credential Guard et empêchez-le d’être désactivé à distance, car la configuration persistante UEFI doit être effacée manuellement.
    • Activer sans verrouillage UEFI : activez Credential Guard et autorisez-la à être désactivée sans accès physique à la machine.

Étapes suivantes

Stratégie de sécurité des points de terminaison pour la protection des comptes