Kontoschutzrichtlinieneinstellungen für Die Endpunktsicherheit in Intune

Wichtig

Im Juli 2024 wurden die folgenden Intune-Profile für Identitäts- und Kontoschutz veraltet und durch ein neues konsolidiertes Profil namens Kontoschutz ersetzt. Dieses neuere Profil befindet sich im Kontoschutzrichtlinienknoten der Endpunktsicherheit und ist die einzige Profilvorlage, die weiterhin verfügbar ist, um neue Richtlinieninstanzen für identitäts- und kontoschutz zu erstellen. Die Einstellungen aus diesem neuen Profil sind auch über den Einstellungskatalog verfügbar.

Alle Instanzen der folgenden älteren Profile, die Sie erstellt haben, können weiterhin verwendet und bearbeitet werden:

  • Identity Protection – zuvor unter Gerätekonfiguration>> NeueRichtlinie>erstellen>Windows 10 und höher>Vorlagen>Identity Protection
  • Kontoschutz (Vorschau) – zuvor über Endpoint Security>Account Protection>Windows 10 und höher> verfügbarKontoschutz (Vorschau)

In diesem Artikel werden Einstellungen beschrieben, die in Profilen für Den Kontoschutz (Vorschau) verfügbar sind. Dabei handelt es sich um einen Profiltyp, der zuvor über die Kontoschutzrichtlinie für die Intune-Endpunktsicherheit verfügbar war. Obwohl Sie keine neuen Instanzen dieses Profils erstellen können, gelten die Informationen in diesem Artikel für Instanzen des Profils, die Möglicherweise noch verwendet werden.

Die Einstellungen in diesem Artikel gelten für:

  • Windows 10
  • Windows 11

Unterstützte Plattformen und Profile:

  • Windows 10 und höher:
    • Profil: Kontoschutz (Vorschau)

Tipp

Informationen zu Mitgliedschaftsprofilen für lokale Benutzergruppen finden Sie unter Verwalten lokaler Gruppen auf Windows-Geräten.

Informationen zu Profilen für lokale Administratorkennwörter (Windows LAPS) finden Sie unter Verwalten der LAPS-Richtlinie.

Kontoschutzprofil (Vorschau)

Die folgenden Einstellungen gelten nur für die Endpunktsicherheitsprofilvorlage für kontoschutz (Vorschau), die im Juli 2024 veraltet war.

  • Windows Hello for Business blockieren

    Windows Hello for Business ist eine alternative Methode zum Anmelden bei Windows, indem Kennwörter, Smartcards und virtuelle Smartcards ersetzt werden.

    • Nicht konfiguriert (Standard): Geräte stellen Windows Hello for Business bereit.
    • Deaktiviert : Geräte stellen Windows Hello for Business bereit. Mit dieser Konfiguration sind weitere Einstellungen verfügbar, die Konfigurationen für PIN, Trusted Platform Module (TPM) und vieles mehr unterstützen.
    • Aktiviert : Geräte stellen Windows Hello for Business für keinen Benutzer bereit.

Wichtig

Aufgrund der Art und Weise, wie Intune den Geltungsbereich und die Anwendbarkeit der Richtlinie für Windows Hello for Business bestimmt, kann das Gerät als Ergebnis der Anwendung der Richtlinie die Ereignis-ID 454 protokollieren. Dies kann ignoriert werden, wenn die Richtlinie erfolgreich angewendet (und erzwungen) wird.

  • Aktivieren der Verwendung von Sicherheitsschlüsseln für die Anmeldung

    Aktivieren Sie den Windows Hello-Sicherheitsschlüssel als Anmeldeinformationen für alle PCs im Mandanten.

    • Nicht konfiguriert (Standard)
    • Ja
  • Aktivieren von Credential Guard
    CSP: DeviceGuard

    Credential Guard verwendet Windows Hypervisor, um Schutz bereitzustellen. Credential Guard erfordert Hardwareunterstützung für den sicheren Start und DMA-Schutz. Diese Einstellung ist nur auf Geräten erfolgreich, die die Hardwareanforderungen erfüllen.

    • Nicht konfiguriert (Standard): Deaktivieren Sie die Verwendung von Credential Guard, der Windows-Standardeinstellung.
    • Aktivieren mit UEFI-Sperre : Aktivieren Sie Credential Guard, und blockieren Sie, dass es remote deaktiviert wird, da die permanente UEFI-Konfiguration manuell gelöscht werden muss.
    • Aktivieren ohne UEFI-Sperre : Aktivieren Sie Credential Guard, und lassen Sie die Deaktivierung ohne physischen Zugriff auf den Computer zu.

Nächste Schritte

Endpunktsicherheitsrichtlinie für Kontoschutz