通过

Intune中终结点安全的帐户保护策略

使用Intune终结点安全策略进行帐户保护,以保护用户的标识和帐户,并管理设备上的内置组成员身份。

重要

2024 年 7 月,以下用于标识保护和帐户保护的Intune配置文件已弃用,并替换为名为“帐户保护”的新合并配置文件。 此较新的配置文件位于终结点安全的帐户保护策略节点中,并且是唯一可用于为标识和帐户保护创建新策略实例的配置文件模板。 此新配置文件中的设置也可通过设置目录获得。

已创建的以下旧配置文件的任何实例仍可供使用和编辑:

  • 标识保护 - 以前可从设备>配置>创建新>策略>Windows 10及更高版本的>模板>标识保护中提供
  • 帐户保护 (预览版) - 以前可从 Endpoint Security>帐户保护>Windows 10及更高版本的>帐户保护 ( 预览版)

Microsoft Intune管理中心的终结点安全节点的“管理”下找到帐户保护的终结点安全策略。

帐户保护配置文件的先决条件

  • 若要支持帐户保护配置文件,设备必须运行Windows 10或Windows 11。
  • 若要支持本地用户组成员身份配置文件,设备必须运行Windows 10 20H2 或更高版本,或者Windows 11。
  • 若要支持 Windows LAPS) (本地管理员密码解决方案,请参阅 Windows LAPS Microsoft Intune支持中的先决条件

基于角色的访问控制(RBAC)

有关分配适当级别的权限和权限以管理Intune帐户保护配置文件的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy

帐户保护配置文件

平台:

  • Windows

配置 文件:

  • 帐户保护 - 帐户保护策略的设置可帮助你保护用户凭据。 帐户保护策略侧重于Windows Hello 企业版的设备范围用户范围的设置,以及 Credential Guard。 Credential Guard 是 Windows 标识和访问管理的一部分。

    • Windows Hello 企业版在电脑和移动设备上将密码替换为强双因素身份验证。
    • Credential Guard 有助于保护用于设备的凭据和机密。

    若要了解详细信息,请参阅 Windows 标识和访问管理 文档中的标识和访问管理。

    此配置文件中的设置也可在 “设置”目录中使用

  • 本地管理员密码解决方案 (Windows LAPS) - 使用此配置文件在设备上配置 Windows LAPS。 Windows LAPS 允许为每个设备管理一个本地管理员帐户。 Intune策略可以使用策略设置“管理员帐户名称”来指定应用该策略的本地管理员帐户

    有关使用 Intune 管理 Windows LAPS 的详细信息,请参阅:

  • 本地用户组成员身份 - 使用此配置文件在 Windows 设备上添加、删除或替换内置本地组的成员。 例如,管理员本地组具有广泛的权限。 可以使用此策略编辑管理员组的成员身份,将其锁定为一组独占定义的成员。

    以下管理 Windows 设备上的本地组部分详细介绍了此配置文件的用法。

管理 Windows 设备上的本地组

使用本地用户组成员身份配置文件管理在运行 Windows 10 20H2 及更高版本以及Windows 11设备上的内置本地组成员的用户。

提示

若要详细了解对使用Microsoft Entra组管理管理员权限的支持,请参阅Microsoft Entra文档中的使用Microsoft Entra组管理管理员权限

配置配置文件

此配置文件通过 策略 CSP - LocalUsersAndGroups 管理设备上的本地组成员身份。 CSP 文档包括有关配置应用方式的更多详细信息,以及有关 CSP 用法的常见问题解答。

配置此配置文件时,可以在 “配置设置 ”页上创建多个规则来管理要更改的内置本地组、要执行的组作以及用于选择用户的方法。

用于配置配置文件的“配置设置”页的屏幕截图。

以下是可以做出的配置:

  • 本地组:从下拉列表中选择一个或多个组。 这些组都对分配的用户应用相同的 组和用户作 。 可以在单个配置文件中创建多个本地组组,并将不同的作和用户组分配给每个本地组组。

注意

本地组列表仅限于保证在登录时评估的六个内置本地组,如如何管理已加入Microsoft Entra设备上的本地管理员组文档中所述。

  • 组和用户作:将作配置为应用于所选组。 此作适用于为此作和本地帐户分组选择的用户。 可以选择的作包括:

    • 添加 (更新) :将成员添加到所选组。 不会更改策略未指定的用户的组成员身份。
    • 删除 (更新) :从所选组中删除成员。 不会更改策略未指定的用户的组成员身份。
    • 添加 (替换) :将所选组的成员替换为为此作指定的新成员。 此选项的工作方式与受限组相同,并且删除策略中未指定的任何组成员。

    警告

    如果为同一组配置了“替换”和“更新”作,则“替换”作将获胜。 这不被视为冲突。 将多个策略部署到同一设备时,或者也使用 Microsoft Graph 配置此 CSP 时,可能会发生此类配置。

  • 用户选择类型:选择如何选择用户。 选项包括:

    • 用户:从Microsoft Entra ID选择用户和用户组。 (仅支持) 加入Microsoft Entra的设备。
    • 手动:按用户名、域\用户名或组安全标识符 (SID) 手动指定Microsoft Entra用户和组。 (支持已加入Microsoft Entra和Microsoft Entra混合联接的设备) 。

  • 所选用户 () :根据用户 选择类型的选择,使用以下选项之一:

    • 选择用户 () :从Microsoft Entra选择用户和用户组。

    • 添加用户 () :此选项将打开 “添加用户 ”窗格,然后可以在设备上指定一个或多个用户标识符。 可以按 安全标识符 (SID) 域\用户名用户名指定用户

      Intune管理中心中“添加用户”页的屏幕截图。

在希望将本地 Active Directory用户从 Active Directory 管理到Microsoft Entra混合加入设备的本地组的情况下,选择“手动”选项会很有帮助。 支持按最优先到最不优先的顺序标识用户选择的格式是通过 SID、___domain\username 或成员的用户名。 Active Directory 中的值必须用于混合联接设备,而来自 Microsoft Entra ID 的值必须用于Microsoft Entra联接。 可以使用组图形 API获取Microsoft Entra组 SID。

冲突

如果策略为组成员身份创建冲突,则不会将每个策略中的冲突设置发送到设备。 而是在Microsoft Intune管理中心报告这些策略的冲突。 若要解决冲突,请重新配置一个或多个策略。

Reporting

当设备检查并应用策略时,管理中心会将设备和用户的状态显示为成功或错误。

由于策略可以包含多个规则,因此请考虑以下几点:

  • 当Intune处理设备的策略时,按设置状态视图将显示规则组的状态,就像是单个设置一样。
  • 策略中导致错误的每个规则都会被跳过,并且不会发送到设备。
  • 成功的每个规则都发送到要应用的设备。

后续步骤

配置终结点安全策略