设备可通过 Autopilot 或 Azure AD Join 在 Intune 中注册,但人们使用本地帐户的问题仍然存在。您知道,有没有办法强制使用 Azure/Hybrid AD 帐户并收集有关哪些本地用户在 PC 上积极使用的报告?
我相信也许存在一个限制 Windows 10+ 上的本地帐户的策略,但我找不到。
答案1
组策略
如果您仍使用混合或共同管理,则可以使用组策略对象 (GPO) 来指定谁可以在本地登录计算机。设置位于计算机配置\Windows 设置\安全设置\本地策略\用户权限分配。
默认设置包括“用户”。一种选择是从此安全设置中删除“用户”,并将其替换为“域用户”。
Intune/MEM
如果您已完全加入 Azure AD 并且仅使用 Intune/Mem 来管理所有设备配置,您仍然可以使用策略配置此设置。从高层次上讲,方法是:
- 创建新的配置文件或编辑相关的现有配置文件
- 添加新的配置设置
- 浏览设置选择器并选择“用户权限”类别
- 选择“允许本地登录”设置并仅添加您想要允许的组。
请注意,使用此方法,您需要在部署到生产环境之前进行非常仔细的测试。此策略可能会产生意想不到的效果,有些还会影响 Autopilot——尽管我没有看到有关 Autopilot 冲突的确切设置列表。
答案2
我得到了微软的答复,只有 MEM 解决方案可以限制所有本地帐户:
另一个解决方法是创建自定义配置文件:
OMA-URI:./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn 数据类型:字符串值:
这应该限制属于 LOCAL_ACCOUNT 组的任何用户的登录。
这里要非常小心,因为 VALUE 和 SID 都存在问题。请检查 本文对于所有 SID