Intuneでのエンドポイント セキュリティのアカウント保護ポリシー設定

この記事では、アカウント保護 (プレビュー) のプロファイルで使用できる設定について説明します。これは、Intune エンドポイント セキュリティのアカウント保護ポリシーで以前に使用できたプロファイルの種類です。 このプロファイルの新しいインスタンスを作成することはできませんが、この記事の情報は、まだ使用している可能性があるプロファイルのインスタンスに適用されます。

この記事の設定は、次の場合に適用されます。

• Windows 10
• Windows 11

サポートされているプラットフォームとプロファイル:

• Windows 10以降:
  • プロファイル: アカウント保護 (プレビュー)

アカウント保護プロファイル (プレビュー)

次の設定の詳細は、2024 年 7 月に非推奨となったアカウント保護 (プレビュー) のエンドポイント セキュリティ プロファイル テンプレートにのみ適用されます。

• ブロック Windows Hello for Business

  Windows Hello for Businessは、パスワード、スマート カード、仮想スマート カードを置き換えて Windows にサインインするための別の方法です。

  • 未構成 (既定値) - デバイスはWindows Hello for Businessをプロビジョニングします。
  • 無効 - デバイスはWindows Hello for Businessをプロビジョニングします。 この構成では、PIN、トラステッド プラットフォーム モジュール (TPM) などの構成をサポートするより多くの設定を使用できます。
  • 有効 - デバイスがユーザーに対してWindows Hello for Businessをプロビジョニングしない

• サインインにセキュリティ キーを使用できるようにする

  テナント内のすべての PC のサインイン資格情報としてWindows Helloセキュリティ キーを有効にします。

  • 未構成 (既定値)
  • はい

• Credential Guard を有効にする
  CSP: DeviceGuard

  Credential Guard では、Windows ハイパーバイザーを使用して保護を提供します。 Credential Guard には、セキュア ブートと DMA 保護のハードウェア サポートが必要です。 この設定は、ハードウェア要件を満たすデバイスでのみ成功します。

  • 未構成 (既定値) - Windows の既定値である Credential Guard の使用を無効にします。
  • UEFI ロックで有効にする - Credential Guard を有効にし、UEFI 永続化された構成を手動でクリアする必要があるため、リモートでオフにされないようにブロックします。
  • [UEFI ロックなしで有効にする ] - Credential Guard を有効にし、マシンへの物理的なアクセスなしでオフにできるようにします。

次の手順

アカウント保護のエンドポイント セキュリティ ポリシー