Intune 中端點安全性的帳戶保護原則設定
重要事項
在 2024 年 7 月,下列適用於身分識別保護和帳戶保護的 Intune 配置檔已被取代,並由名為帳戶保護的新合併配置檔取代。 此較新的配置檔可在端點安全性的帳戶保護原則節點中找到,而且是唯一可為身分識別和帳戶保護建立新原則實例的配置檔範本。 此新配置檔中的設定也可透過設定目錄取得。
您已建立之下列舊版設定檔的任何實體仍可供使用和編輯:
- 身分識別保護 – 先前可從裝置>設定>建立>新原則>取得 Windows 10 及更新版本>的>範本身分識別保護
- 帳戶保護 (預覽) – 先前可從 Endpoint Security>帳戶保護>取得 Windows 10 及更新版本>的帳戶保護 ( 預覽)
本文說明帳戶保護 (預覽) 配置檔中可用的設定,這是先前透過帳戶保護原則取得的配置檔類型,適用於 Intune 端點安全性。 雖然您無法建立此配置檔的新實例,但本文中的資訊會套用至您可能仍在使用中的配置文件實例。
本文中的設定適用於:
- Windows 10
- Windows 11
支援的平台與設定檔:
-
Windows 10 及更新版本:
- 設定檔: 帳戶保護 (預覽)
提示
如需 本機使用者群組成員資格 配置檔,請 參閱管理 Windows 裝置上的本機群組。
如 需 Windows LAPS) 設定檔 (本機系統管理員密碼解決方案 ,請參閱 管理 LAPS 原則。
預覽 (帳戶保護配置檔)
下列設定詳細數據僅適用於 2024 年 7 月淘汰的帳戶保護 (預覽) 端點安全性設定檔範本。
封鎖 Windows Hello 企業版
Windows Hello 企業版 是取代密碼、智慧卡和虛擬智慧卡來登入 Windows 的替代方法。
- 未設定 (預設) - 裝置布建 Windows Hello 企業版。
- 已停用 - 裝置布建 Windows Hello 企業版。 透過此設定,有更多設定可支援 PIN、信賴平臺模組 (TPM) 等組態。
- 已啟用 - 裝置不會為任何使用者布建 Windows Hello 企業版
重要事項
由於 Intune 決定 Windows Hello 企業版 原則的範圍和適用性,因此裝置可能會因為套用原則而記錄事件標識碼 454。 當原則成功套用 (並強制執行) 時,可以放心地忽略此) 。
啟用以使用安全性金鑰進行登入
針對租使用者中的所有計算機,啟用 Windows Hello 安全性密鑰作為登入認證。
- 未設定 默 認 ()
- 是
開啟 Credential Guard
CSP:DeviceGuardCredential Guard 會使用 Windows Hypervisor 來提供保護。 Credential Guard 需要安全開機和 DMA 保護的硬體支援。 只有在符合硬體需求的裝置上,這項設定才會成功。
- 未設定 (預設) - 停用 Credential Guard 的使用,這是 Windows 預設值。
- 使用 UEFI 鎖定啟用 - 啟用 Credential Guard 並防止遠端關閉,因為必須手動清除 UEFI 保存的設定。
- 在不使用 UEFI 鎖定的情況下啟 用 - 啟用 Credential Guard,並允許在不實際存取電腦的情況下關閉它。