Политика защиты учетных записей для безопасности конечных точек в Intune

Используйте политики безопасности Intune конечных точек для защиты учетных записей для защиты удостоверений и учетных записей пользователей, а также для управления встроенным членством в группах на устройствах.

Найдите политики безопасности конечных точек для защиты учетных записей в разделе Управление в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Предварительные требования для профилей защиты учетных записей

• Для поддержки профиля защиты учетных записей (предварительная версия) устройства должны работать Windows 10 или Windows 11.
• Для поддержки профиля членства в локальной группе пользователей (предварительная версия) устройства должны работать Windows 10 20H2 или более поздней версии или Windows 11.

Профили защиты учетных записей

Профили защиты учетных записей доступны в предварительной версии.

профили Windows 10/11:

• Защита учетных записей (предварительная версия) — параметры политик защиты учетных записей помогают защитить учетные данные пользователей.

  Политика защиты учетных записей сосредоточена на параметрах для Windows Hello и Credential Guard, которые являются частью управления удостоверениями и доступом Windows.

  • Windows Hello для бизнеса заменяет пароли надежной двухфакторной проверкой подлинности на компьютерах и мобильных устройствах.
  • Credential Guard помогает защитить учетные данные и секреты, используемые с устройствами.

  Дополнительные сведения см. в статье Управление удостоверениями и доступом в документации по управлению удостоверениями и доступом Windows.

  Просмотр параметров для профиля защиты учетной записи.

• Решение для паролей для локального администратора (Windows LAPS) — используйте этот профиль для настройки Windows LAPS на устройствах. Windows LAPS позволяет управлять одной учетной записью локального администратора на каждое устройство. Intune политике можно указать, к какой учетной записи локального администратора она применяется, используя параметр учетной записи администратора.

  Дополнительные сведения об использовании Intune для управления Windows LAPS см. в разделе:

  • Узнайте о Intune поддержке Windows LAPS.
  • Управление политикой LAPS

• Членство в локальных группах пользователей — используйте этот профиль для добавления, удаления или замены членов встроенных локальных групп на устройствах Windows. Например, локальная группа "Администраторы" имеет широкие права. Эту политику можно использовать для изменения членства в группе Администратор, чтобы заблокировать ее для набора исключительно определенных членов.

  Использование этого профиля подробно описано в следующем разделе Управление локальными группами на устройствах Windows.

Управление локальными группами на устройствах Windows

Используйте профиль членства в локальной группе пользователей для управления пользователями, которые являются членами встроенных локальных групп на устройствах, работающих Windows 10 20H2 и более поздних версий, а также Windows 11 устройствах.

Совет

Дополнительные сведения о поддержке управления правами администратора с помощью групп Microsoft Entra см. в статье Управление правами администратора с помощью групп Microsoft Entra документации по Microsoft Entra.

Настройка профиля

Этот профиль управляет членством в локальной группе на устройствах с помощью политики CSP — LocalUsersAndGroups. Документация по CSP содержит дополнительные сведения о том, как применяются конфигурации, а также часто задаваемые вопросы об использовании CSP.

При настройке этого профиля на странице Параметры конфигурации можно создать несколько правил для управления встроенными локальными группами, которые требуется изменить, действием группы и методом выбора пользователей.

Ниже приведены конфигурации, которые можно создать.

• Локальная группа. Выберите одну или несколько групп в раскрывающемся списке. Все эти группы будут применять одно и то же действие группы и пользователя к назначенным пользователям. Вы можете создать несколько групп локальных групп в одном профиле и назначить для каждой группы локальных групп разные действия и группы пользователей.

Примечание.

Список локальных групп ограничен шестью встроенными локальными группами, которые гарантированно будут оцениваться при входе в систему, как указано в документации по управлению группой локальных администраторов на устройствах, присоединенных к Microsoft Entra.

• Действие группы и пользователя. Настройте действие для применения к выбранным группам. Это действие будет применяться к пользователям, которые вы выберете для этого же действия и группирования локальных учетных записей. Вы можете выбрать следующие действия:

  • Добавить (обновить): добавляет участников в выбранные группы. Членство в группах для пользователей, не указанных политикой, не изменяется.
  • Удалить (обновить): удаление участников из выбранных групп. Членство в группах для пользователей, не указанных политикой, не изменяется.
  • Добавить (заменить): замените члены выбранных групп новыми элементами, указанными для этого действия. Этот параметр работает так же, как и ограниченная группа, и все члены группы, не указанные в политике, удаляются.

  Предостережение

  Если для одной группы настроены действия Заменить и Обновить, то побеждает действие Заменить. Это не считается конфликтом. Такая конфигурация может возникнуть при развертывании нескольких политик на одном устройстве или при настройке этого поставщика служб CSP с помощью Microsoft Graph.

• Тип выбора пользователей. Выберите способ выбора пользователей. Варианты:

  • Пользователи. Выберите пользователей и группы пользователей из Microsoft Entra ID. (Поддерживается только для устройств, присоединенных к Microsoft Entra).
  • Вручную. Укажите Microsoft Entra пользователей и групп вручную, по имени пользователя, домену или идентификатору безопасности групп ( SID). (Поддерживается для Microsoft Entra присоединенных устройств и Microsoft Entra гибридных устройств).

• Выбранные пользователи. В зависимости от выбранного типа выбора пользователя вы будете использовать один из следующих вариантов:

  • Выберите пользователей: выберите пользователей и группы пользователей из Microsoft Entra.

  • Добавить пользователей. Откроется панель Добавить пользователей , где можно указать один или несколько идентификаторов пользователей, как они отображаются на устройстве. Вы можете указать пользователя по идентификатору безопасности (SID),домену\имя_пользователя или по имени пользователя.

    

Выбор параметра Вручную может быть полезен в сценариях, когда вы хотите управлять локальными пользователями Active Directory из Active Directory в локальную группу для Microsoft Entra гибридного устройства. Поддерживаемые форматы идентификации выбора пользователей в порядке наиболее или наименее предпочтительных — это идентификатор безопасности, домен\имя_пользователя или имя пользователя участника. Значения из Active Directory должны использоваться для устройств с гибридным присоединением, а значения из Microsoft Entra ID — для Microsoft Entra присоединения. Microsoft Entra идентификаторы безопасности групп можно получить с помощью API Graph для групп.

Conflicts

Если политики создают конфликт для членства в группе, конфликтующие параметры из каждой политики не отправляются на устройство. Вместо этого о конфликте для этих политик сообщается в Центре администрирования Microsoft Intune. Чтобы устранить конфликт, перенастройте одну или несколько политик.

Reporting

По мере того как устройства проверка в и применяют политику, Центр администрирования отображает состояние устройств и пользователей как успешных или в состоянии ошибки.

Так как политика может содержать несколько правил, рассмотрите следующее:

• При обработке политики для устройств в представлении состояния каждого параметра отображается состояние группы правил, как если бы это один параметр.
• Каждое правило в политике, которое приводит к ошибке, пропускается и не отправляется на устройства.
• Каждое успешное правило отправляется на устройства для применения.

Дальнейшие действия

Настройка политик безопасности конечных точек