Configuración de directivas de protección de cuentas para la seguridad de los puntos de conexión en Intune

Importante

En julio de 2024, los siguientes perfiles de Intune para la protección de identidades y la protección de cuentas quedaron en desuso y se reemplazaron por un nuevo perfil consolidado denominado Protección de cuentas. Este perfil más reciente se encuentra en el nodo de directiva de protección de cuentas de seguridad de punto de conexión y es la única plantilla de perfil que permanece disponible para crear nuevas instancias de directiva para la protección de identidades y cuentas. La configuración de este nuevo perfil también está disponible a través del catálogo de configuración.

Las instancias de los siguientes perfiles anteriores que haya creado seguirán estando disponibles para su uso y edición:

  • Protección de identidades: anteriormente disponible enConfiguración> de dispositivos>Crear>nueva directiva>De Windows 10 y versiones posteriores>de Templates>Identity Protection
  • Protección de cuentas (versión preliminar): anteriormente disponible en Protección decuentas> de Seguridad de punto de conexión>de Windows 10 y versiones posteriores>Protección de cuentas (versión preliminar)

En este artículo se describe la configuración que está disponible en los perfiles de Protección de cuentas (versión preliminar), que es un tipo de perfil que estaba disponible anteriormente a través de la directiva de protección de cuentas para la seguridad de los puntos de conexión de Intune. Aunque no puede crear nuevas instancias de este perfil, la información de este artículo se aplica a las instancias del perfil que podría seguir teniendo en uso.

La configuración de este artículo se aplica a:

  • Windows 10
  • Windows 11

Plataformas y perfiles admitidos:

  • Windows 10 y versiones posteriores:
    • Perfil: Protección de la cuenta (versión preliminar)

Sugerencia

Para perfiles de pertenencia a grupos de usuarios locales , consulta Administrar grupos locales en dispositivos Windows.

Para los perfiles de la solución de contraseña de administrador local (Windows LAPS), consulte Administración de directivas LAPS.

Perfil de protección de cuenta (versión preliminar)

Los siguientes detalles de configuración solo se aplican a la plantilla de perfil de seguridad de punto de conexión para Protección de cuentas (versión preliminar), que quedó en desuso en julio de 2024.

  • Bloquear Windows Hello para empresas

    Windows Hello para empresas es un método alternativo para iniciar sesión en Windows reemplazando contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.

    • No configurado (valor predeterminado): los dispositivos aprovisionan Windows Hello para empresas.
    • Deshabilitado : los dispositivos aprovisionan Windows Hello para empresas. Con esta configuración, hay más opciones disponibles que admiten configuraciones de PIN, módulo de plataforma segura (TPM) y mucho más.
    • Habilitado : los dispositivos no aprovisionan Windows Hello para empresas para ningún usuario

Importante

Debido a cómo Intune determina el ámbito y la aplicabilidad de la directiva de Windows Hello para empresas, el dispositivo puede registrar el Identificador de evento 454 como resultado de la aplicación de la directiva. Esto se puede omitir de forma segura cuando la directiva se aplica correctamente (y se exige).

  • Habilitación para usar claves de seguridad para el inicio de sesión

    Habilite la clave de seguridad de Windows Hello como una credencial de inicio de sesión para todos los equipos del inquilino.

    • No configurado (valor predeterminado)
  • Activar Credential Guard
    CSP: DeviceGuard

    Credential Guard usa el hipervisor de Windows para proporcionar protecciones. Credential Guard requiere compatibilidad de hardware para las protecciones de arranque seguro y DMA. Esta configuración solo se realiza correctamente en dispositivos que cumplen los requisitos de hardware.

    • No configurado (valor predeterminado): deshabilite el uso de Credential Guard, que es el valor predeterminado de Windows.
    • Habilitar con bloqueo UEFI : habilite Credential Guard y bloquee que no se desactive de forma remota, ya que la configuración persistente de UEFI debe borrarse manualmente.
    • Habilitar sin bloqueo UEFI : habilite Credential Guard y permita que se desactive sin acceso físico a la máquina.

Siguientes pasos

Directiva de seguridad de punto de conexión para protección de cuentas