Správa identit uživatelů a skupin v Microsoft Intune
Správa a ochrana identit uživatelů je významnou součástí jakékoli strategie a řešení správy koncových bodů. Správa identit zahrnuje uživatelské účty a skupiny, které mají přístup k prostředkům vaší organizace.
Správci musí spravovat členství v účtech, autorizovat a ověřovat přístup k prostředkům, spravovat nastavení, která ovlivňují identity uživatelů, a zabezpečit & chránit identity před škodlivými úmysly.
Microsoft Intune dokáže provádět všechny tyto úkoly a další. Intune je cloudová služba, která může spravovat identity uživatelů prostřednictvím zásad, včetně zásad zabezpečení a ověřování. Další informace o Intune a jejích výhodách najdete v tématu Co je Microsoft Intune?.
Z hlediska služby Intune používá pro úložiště identit a oprávnění ID Microsoft Entra. Pomocí Centra pro správu Microsoft Intune můžete tyto úlohy spravovat v centrálním umístění určeném pro správu koncových bodů.
Tento článek popisuje koncepty a funkce, které byste měli zvážit při správě identit.
Použití stávajících uživatelů a skupin
Velkou část správy koncových bodů tvoří správa uživatelů a skupin. Pokud máte stávající uživatele a skupiny nebo budete vytvářet nové uživatele a skupiny, intune vám může pomoct.
V místních prostředích se uživatelské účty a skupiny vytvářejí a spravují v místní službě Active Directory. Tyto uživatele a skupiny můžete aktualizovat pomocí libovolného řadiče domény v doméně.
V Intune je to podobný koncept.
Centrum pro správu Intune obsahuje centrální umístění pro správu uživatelů a skupin. Centrum pro správu je webové a je přístupné z libovolného zařízení, které má připojení k internetu. Správci se stačí přihlásit do Centra pro správu pomocí svého účtu správce Intune.
Důležitým rozhodnutím je určit, jak do Intune dostat uživatelské účty a skupiny. Možnosti:
Pokud aktuálně používáte Microsoft 365 a máte uživatele a skupiny v Centru pro správu Microsoftu 365, jsou tito uživatelé a skupiny také k dispozici v Centru pro správu Intune.
Microsoft Entra ID a Intune používají tenanta, což je vaše organizace, jako je Contoso nebo Microsoft. Pokud máte více tenantů, přihlaste se do Centra pro správu Intune ve stejném tenantovi Microsoftu 365 jako vaši stávající uživatelé a skupiny. Vaši uživatelé a skupiny se automaticky zobrazí a jsou k dispozici.
Další informace o tom, co je tenant, najdete v článku Rychlý start: Nastavení tenanta.
Pokud aktuálně používáte místní službu Active Directory, můžete pomocí nástroje Microsoft Entra Connect synchronizovat místní účty AD s Microsoft Entra ID. Pokud jsou tyto účty v Microsoft Entra ID, jsou dostupné také v Centru pro správu Intune.
Podrobnější informace najdete v článku Co je Microsoft Entra Connect Sync?.
Můžete také importovat stávající uživatele a skupiny ze souboru CSV do Centra pro správu Intune nebo vytvořit uživatele a skupiny úplně od začátku. Při přidávání skupin můžete do těchto skupin přidat uživatele a zařízení a uspořádat je podle umístění, oddělení, hardwaru a dalších.
Další informace o správě skupin v Intune najdete v tématu Přidání skupin pro uspořádání uživatelů a zařízení.
Ve výchozím nastavení Intune automaticky vytvoří skupiny Všichni uživatelé a Všechna zařízení . Až budou uživatelé a skupiny v Intune k dispozici, můžete těmto uživatelům a skupinám přiřadit zásady.
Přechod z účtů počítačů
Když se koncový bod Windows, jako je zařízení s Windows 10/11, připojí k místní doméně Active Directory (AD), automaticky se vytvoří účet počítače. Účet počítače nebo počítače je možné použít k ověřování místních programů, služeb a aplikací.
Tyto účty počítačů jsou místní v místním prostředí a nedají se použít na zařízeních, která jsou připojená k Microsoft Entra ID. V takovém případě musíte přepnout na ověřování založené na uživatelích, abyste se mohli ověřovat v místních programech, službách a aplikacích.
Další informace a pokyny najdete v tématu Známé problémy a omezení u koncových bodů nativních pro cloud.
Role a oprávnění řídí přístup
Pro různé typy úloh správce intune používá řízení přístupu na základě role (RBAC). Role, které přiřadíte, určují prostředky, ke kterým má správce přístup v Centru pro správu Intune, a to, co s těmito prostředky může dělat. Existují některé předdefinované role, které se zaměřují na správu koncových bodů, například Správce aplikací, Správce zásad a profilů a další.
Vzhledem k tomu, že Intune používá Id Microsoft Entra, máte také přístup k předdefinovaným rolím Microsoft Entra, jako je správce služeb Intune.
Každá role má podle potřeby vlastní oprávnění k vytvoření, čtení, aktualizaci nebo odstranění. Vlastní role můžete vytvořit také v případě, že vaši správci potřebují konkrétní oprávnění. Když přidáte nebo vytvoříte uživatele a skupiny typu správce, můžete tyto účty přiřadit k různým rolím. Centrum pro správu Intune má tyto informace v centrálním umístění a dají se snadno aktualizovat.
Další informace najdete v tématu Řízení přístupu na základě role (RBAC) v Microsoft Intune.
Vytvoření přidružení uživatele při registraci zařízení
Když se uživatelé poprvé přihlásí ke svým zařízením, zařízení se k ho přidružuje. Tato funkce se nazývá přidružení uživatele.
Všechny zásady přiřazené nebo nasazené do identity uživatele přejdou s uživatelem na všechna jeho zařízení. Když je uživatel přidružený k zařízení, může přistupovat ke svým e-mailovým účtům, souborům, aplikacím a dalším funkcím.
Pokud nepřidružíte uživatele k zařízení, považuje se zařízení za bez uživatele. Tento scénář je běžný pro zařízení v beznabídkovém režimu vyhrazená pro konkrétní úlohu a zařízení, která jsou sdílená s více uživateli.
V Intune můžete vytvořit zásady pro oba scénáře pro Android, iOS/iPadOS, macOS a Windows. Když se připravujete na správu těchto zařízení, ujistěte se, že znáte zamýšlený účel zařízení. Tyto informace pomáhají při rozhodování při registraci zařízení.
Konkrétnější informace najdete v průvodcích registrací pro vaše platformy:
- Průvodce nasazením: Registrace zařízení s Androidem v Microsoft Intune
- Průvodce nasazením: Registrace zařízení s iOSem a iPadOS v Microsoft Intune
- Průvodce nasazením: Registrace zařízení s macOS v Microsoft Intune
- Průvodce nasazením: Registrace zařízení s Windows v Microsoft Intune
Přiřazení zásad uživatelům a skupinám
V místním prostředí pracujete s doménovými účty a místními účty a pak nasadíte zásady skupiny a oprávnění pro tyto účty na místní úrovni, lokality, domény nebo organizační jednotky (LSDOU). Zásady organizační jednotky přepíší zásady domény, zásady domény přepíší zásady lokality atd.
Intune je cloudový. Zásady vytvořené v Intune zahrnují nastavení, která řídí funkce zařízení, pravidla zabezpečení a další. Tyto zásady se přiřazují vašim uživatelům a skupinám. Neexistuje tradiční hierarchie jako LSDOU.
Katalog nastavení v Intune obsahuje tisíce nastavení pro správu zařízení s iOS/iPadOS, macOS a Windows. Pokud aktuálně používáte místní objekty zásad skupiny (GPO), je použití katalogu nastavení přirozeným přechodem na cloudové zásady.
Další informace o zásadách v Intune najdete tady:
- Konfigurace nastavení na zařízeních s Windows, iOS/iPadOS a macOS pomocí katalogu nastavení
- Běžné dotazy a odpovědi týkající se zásad a profilů zařízení v Microsoft Intune
Zabezpečení identit uživatelů
Vaše uživatelské a skupinové účty mají přístup k prostředkům organizace. Tyto identity musíte udržovat zabezpečené a zabránit škodlivému přístupu k identitám. Tady je pár věcí, které byste měli zvážit:
Windows Hello pro firmy nahrazuje přihlašování pomocí uživatelského jména a hesla a je součástí strategie bez hesla.
Hesla se zadávají na zařízení a pak se přes síť přenesou na server. Mohou být zachyceny a používány kýmkoli a kdekoli. Porušení zabezpečení serveru může odhalit uložené přihlašovací údaje.
Ve Windows Hello pro firmy se uživatelé přihlašují a ověřují pomocí PIN kódu nebo biometriky, jako je rozpoznávání obličeje a otisků prstů. Tyto informace se ukládají místně na zařízení a neodesílají se na externí zařízení ani servery.
Když se do vašeho prostředí nasadí Windows Hello pro firmy, můžete pomocí Intune vytvořit zásady Windows Hello pro firmy pro vaše zařízení. Tyto zásady můžou nakonfigurovat nastavení PIN kódu, povolit biometrické ověřování, používat klíče zabezpečení a další.
Pro více informací přejděte na:
- Přehled Windows Hello pro firmy
- Správa Windows Hello pro firmy na zařízeních při registraci zařízení v Intune
Pokud chcete spravovat Windows Hello pro firmy, použijte jednu z následujících možností:
- Během registrace zařízení: Nakonfigurujte zásady pro celého tenanta, které použijí nastavení Windows Hello na zařízení v době, kdy se zařízení zaregistruje do Intune.
- Standardní hodnoty zabezpečení: Některá nastavení pro Windows Hello je možné spravovat prostřednictvím standardních hodnot zabezpečení Intune, například standardních hodnot zabezpečení pro Microsoft Defender for Endpoint nebo Standardních hodnot zabezpečení pro Windows 10 a novějších.
- Katalog nastavení: Nastavení z profilů ochrany účtů zabezpečení koncového bodu jsou k dispozici v katalogu nastavení Intune.
Ověřování na základě certifikátů je také součástí strategie bez hesla. Certifikáty můžete použít k ověřování uživatelů v aplikacích a prostředcích organizace prostřednictvím sítě VPN, Wi-Fi připojení nebo e-mailových profilů. S certifikáty uživatelé nemusí zadávat uživatelská jména a hesla a můžou usnadnit přístup k těmto prostředkům.
Další informace najdete v tématu Použití certifikátů k ověřování v Microsoft Intune.
Vícefaktorové ověřování (MFA) je funkce, která je k dispozici s ID Microsoft Entra. Aby se uživatelé mohli úspěšně ověřit, vyžadují se alespoň dvě různé metody ověření. Když je vícefaktorové ověřování nasazené do vašeho prostředí, můžete také vyžadovat vícefaktorové ověřování, když se zařízení registrují do Intune.
Pro více informací přejděte na:
Nulová důvěryhodnost ověřuje všechny koncové body, včetně zařízení a aplikací. Cílem je pomoct zachovat data organizace v organizaci a zabránit úniku dat z náhodného nebo škodlivého záměru. Zahrnuje různé oblasti funkcí, včetně Windows Hello pro firmy, používání vícefaktorového ověřování a dalších.
Další informace najdete v tématu Nulová důvěryhodnost s Microsoft Intune.