Политика защиты учетных записей для безопасности конечных точек в Intune

  • Статья

Используйте политики безопасности конечной точки Intune для защиты учетных записей для защиты удостоверений и учетных записей пользователей, а также управления встроенными членством в группах на устройствах.

Важно!

В июле 2024 г. следующие профили Intune для защиты идентификации и защиты учетных записей были устарели и заменены новым объединенным профилем с именем Защита учетных записей. Этот новый профиль находится в узле политики защиты учетных записей безопасности конечной точки и является единственным шаблоном профиля, который остается доступным для создания новых экземпляров политики для защиты удостоверений и учетных записей. Параметры этого нового профиля также доступны в каталоге параметров.

Все экземпляры следующих старых профилей, которые вы создали, остаются доступными для использования и редактирования:

  • Защита идентификации — ранее доступно вразделе Конфигурация>устройств>Создание>новой политики>Windows 10 и более поздних версий>Шаблоны>Защита идентификации
  • Защита учетных записей (предварительная версия) — ранее была доступна вразделе Защита> учетных записей безопасности> конечных точекWindows 10 и более поздних версий>Защита учетных записей (предварительная версия)

Найдите политики безопасности конечных точек для защиты учетных записей в разделе Управление в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Предварительные требования для профилей защиты учетных записей

  • Для поддержки профиля защиты учетных записей устройства должны работать под управлением Windows 10 или Windows 11.
  • Для поддержки профиля членства в локальной группе пользователей устройства должны работать под управлением Windows 10 20H2 или более поздней версии или Windows 11.
  • Сведения о поддержке *локального решения для паролей администратора (Windows LAPS) см. в разделе Предварительные требования в поддержке Microsoft Intune для Windows LAPS.

Управление доступом на основе ролей (RBAC)

Инструкции по назначению правильного уровня разрешений и прав для управления профилями защиты учетных записей Intune см. в статье Assign-role-based-access-controls-for-endpoint-security-policy.

Профили защиты учетных записей

Платформа: Windows:

Профили:

  • Защита учетных записей — параметры политик защиты учетных записей помогают защитить учетные данные пользователя. Политика защиты учетных записей сосредоточена на параметрах Windows Hello для бизнеса, которые включают параметры на уровне устройства и пользователя , а также Credential Guard, который является частью управления удостоверениями и доступом Windows.

    • Windows Hello для бизнеса заменяет пароли надежной двухфакторной проверкой подлинности на компьютерах и мобильных устройствах.
    • Credential Guard помогает защитить учетные данные и секреты, используемые с устройствами.

    Дополнительные сведения см. в статье Управление удостоверениями и доступом в документации по управлению удостоверениями и доступом Windows.

    Параметры в этом профиле также доступны в каталоге параметров.

  • Решение для паролей для локального администратора (Windows LAPS) — используйте этот профиль для настройки Windows LAPS на устройствах. Windows LAPS позволяет управлять одной учетной записью локального администратора на каждое устройство. Политика Intune может указать, к какой учетной записи локального администратора она применяется, используя параметр учетной записи администратора.

    Дополнительные сведения об использовании Intune для управления Windows LAPS см. в следующей статье:

  • Членство в локальных группах пользователей — используйте этот профиль для добавления, удаления или замены членов встроенных локальных групп на устройствах Windows. Например, локальная группа "Администраторы" имеет широкие права. Эту политику можно использовать для изменения членства в группе администраторов, чтобы заблокировать ее для набора исключительно определенных участников.

    Использование этого профиля подробно описано в следующем разделе Управление локальными группами на устройствах Windows.

Управление локальными группами на устройствах Windows

Используйте профиль членства в локальной группе пользователей , чтобы управлять пользователями, которые являются членами встроенных локальных групп на устройствах под управлением Windows 10 20H2 и более поздних версий, а также на устройствах с Windows 11.

Совет

Дополнительные сведения о поддержке управления правами администратора с помощью групп Microsoft Entra см. в статье Управление правами администратора с помощью групп Microsoft Entra документации по Microsoft Entra.

Настройка профиля

Этот профиль управляет членством в локальной группе на устройствах с помощью политики CSP — LocalUsersAndGroups. В документации по CSP содержатся дополнительные сведения о применении конфигураций, а также часто задаваемые вопросы об использовании CSP.

При настройке этого профиля на странице Параметры конфигурации можно создать несколько правил для управления встроенными локальными группами, которые требуется изменить, групповыми действиями и методом выбора пользователей.

Снимок экрана: страница параметров конфигурации для настройки профиля.

Ниже приведены конфигурации, которые можно создать.

  • Локальная группа. Выберите одну или несколько групп в раскрывающемся списке. Все эти группы применяют одно и то же действие группы и пользователя к назначенным пользователям. Вы можете создать несколько групп локальных групп в одном профиле и назначить для каждой группы локальных групп разные действия и группы пользователей.

Примечание.

Список локальных групп ограничен шестью встроенными локальными группами, которые гарантированно будут оцениваться при входе в систему, как указано в документации по управлению группой локальных администраторов на устройствах, присоединенных к Microsoft Entra .

  • Действие группы и пользователя. Настройте действие для применения к выбранным группам. Это действие применяется к пользователям, которые вы выбираете для этого же действия и группирования локальных учетных записей. Действия, которые можно выбрать, включают:

    • Добавить (обновить): добавляет участников в выбранные группы. Членство в группах для пользователей, не указанных политикой, не изменяется.
    • Удалить (обновить): удаление участников из выбранных групп. Членство в группах для пользователей, не указанных политикой, не изменяется.
    • Добавить (заменить): замените члены выбранных групп новыми элементами, указанными для этого действия. Этот параметр работает так же, как и ограниченная группа, и все члены группы, не указанные в политике, удаляются.

    Предостережение

    Если для одной группы настроены действия Заменить и Обновить, то побеждает действие Заменить. Это не считается конфликтом. Такая конфигурация может возникнуть при развертывании нескольких политик на одном устройстве или при настройке этого поставщика служб CSP с помощью Microsoft Graph.

  • Тип выбора пользователей. Выберите способ выбора пользователей. Варианты:

    • Пользователи. Выберите пользователей и группы пользователей из идентификатора Microsoft Entra. (Поддерживается только для устройств, присоединенных к Microsoft Entra).
    • Вручную. Укажите пользователей и группы Microsoft Entra вручную по имени пользователя, домену или идентификатору безопасности групп. (Поддерживается для устройств, присоединенных к Microsoft Entra и устройств с гибридным присоединением к Microsoft Entra).

  • Выбранные пользователи. В зависимости от выбранного типа выбора пользователя используйте один из следующих параметров:

    • Выберите пользователей: выберите пользователей и группы пользователей в Microsoft Entra.

    • Добавить пользователей. Этот параметр открывает панель Добавить пользователей , где можно указать один или несколько идентификаторов пользователей по мере их появления на устройстве. Вы можете указать пользователя по идентификатору безопасности (SID),домену\имя_пользователя или по имени пользователя.

      Снимок экрана: страница

Выбор параметра Вручную может быть полезен в сценариях, когда вы хотите управлять локальными пользователями Active Directory из Active Directory в локальную группу для устройства с гибридным присоединением к Microsoft Entra. Поддерживаемые форматы идентификации выбора пользователей в порядке наиболее или наименее предпочтительных — это идентификатор безопасности, домен\имя_пользователя или имя пользователя участника. Значения из Active Directory должны использоваться для устройств с гибридным присоединением, а значения из идентификатора Microsoft Entra — для присоединения к Microsoft Entra. Идентификаторы безопасности групп Microsoft Entra можно получить с помощью API Graph для групп.

Conflicts

Если политики создают конфликт для членства в группе, конфликтующие параметры из каждой политики не отправляются на устройство. Вместо этого о конфликте для этих политик сообщается в Центре администрирования Microsoft Intune. Чтобы устранить конфликт, перенастройте одну или несколько политик.

Reporting

По мере того как устройства регистрировать и применять политику, Центр администрирования отображает состояние устройств и пользователей как успешных или в состоянии ошибки.

Так как политика может содержать несколько правил, учитывайте следующие моменты:

  • При обработке политики для устройств в представлении состояния каждого параметра отображается состояние группы правил, как если бы это один параметр.
  • Каждое правило в политике, которое приводит к ошибке, пропускается и не отправляется на устройства.
  • Каждое успешное правило отправляется на устройства для применения.

Дальнейшие действия

Настройка политик безопасности конечных точек