Instellingen voor accountbeveiligingsbeleid voor eindpuntbeveiliging in Intune

  • Artikel

Bekijk de instellingen die u kunt configureren in profielen voor Accountbeveiliging (preview). Dit is beschikbaar via het accountbeveiligingsbeleid voor Intune-eindpuntbeveiliging.

De instellingen in dit artikel zijn van toepassing op:

  • Windows 10
  • Windows 11

Ondersteunde platforms en profielen:

  • Windows 10 en hoger:
    • Profiel: Accountbeveiliging(preview)

Tip

Zie Lokale groepen beheren op Windows-apparaten voor lidmaatschapsprofielen voor lokale gebruikersgroepen.

Zie Laps-beleid beheren voor profielen voor lokale beheerderswachtwoordoplossingen (Windows LAPS).

Accountbeveiligingsprofiel

Accountbeveiliging

  • Windows Hello voor Bedrijven blokkeren

    Windows Hello voor Bedrijven is een alternatieve methode om u aan te melden bij Windows door wachtwoorden, smartcards en virtuele smartcards te vervangen.

    • Niet geconfigureerd (standaard): apparaten inrichten Windows Hello voor Bedrijven.
    • Uitgeschakeld: apparaten inrichten Windows Hello voor Bedrijven. Met deze configuratie zijn meer instellingen beschikbaar die ondersteuning bieden voor configuraties voor pincode, Trusted Platform Module (TPM) en meer.
    • Ingeschakeld: apparaten richten geen Windows Hello voor Bedrijven in voor gebruikers

Belangrijk

Vanwege de wijze waarop Intune het bereik en de toepasbaarheid van Windows Hello voor Bedrijven beleid bepaalt, kan gebeurtenis-id 454 op het apparaat worden geregistreerd als gevolg van het toepassen van beleid. Dit kan veilig worden genegeerd wanneer beleid wordt toegepast (en afgedwongen).

  • Gebruik van beveiligingssleutels voor aanmelding inschakelen

    Schakel Windows Hello beveiligingssleutel in als aanmeldingsreferentie voor alle pc's in de tenant.

    • Niet geconfigureerd (standaard)
    • Ja

  • Credential Guard inschakelen
    CSP: DeviceGuard

    Credential Guard maakt gebruik van Windows Hypervisor om beveiliging te bieden. Credential Guard vereist hardwareondersteuning voor beveiligd opstarten en DMA-beveiliging. Deze instelling is alleen geslaagd op apparaten die voldoen aan de hardwarevereisten.

    • Niet geconfigureerd (standaard): schakel het gebruik van Credential Guard uit. Dit is de standaardinstelling van Windows.
    • Inschakelen met UEFI-vergrendeling : schakel Credential Guard in en voorkom dat deze extern wordt uitgeschakeld, omdat de permanente UEFI-configuratie handmatig moet worden gewist.
    • Inschakelen zonder UEFI-vergrendeling : schakel Credential Guard in en sta toe dat deze wordt uitgeschakeld zonder fysieke toegang tot de machine.

Volgende stappen

Eindpuntbeveiligingsbeleid voor accountbeveiliging