Zásady ochrany účtů pro zabezpečení koncových bodů v Intune

  • Článek

Pomocí Intune zásad zabezpečení koncových bodů pro ochranu účtů můžete chránit identitu a účty uživatelů a spravovat předdefinované členství ve skupinách na zařízeních.

V uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune vyhledejte zásady zabezpečení koncových bodů pro ochranu účtů v části Spravovat.

Požadavky na profily ochrany účtů

  • Aby zařízení podporovala profil ochrany účtu (Preview), musí spouštět Windows 10 nebo Windows 11.
  • Aby zařízení podporovala profil členství v místní skupině uživatelů (Preview), musí běžet Windows 10 20H2 nebo novější nebo Windows 11.

Profily ochrany účtů

Profily ochrany účtů jsou ve verzi Preview.

Profily Windows 10/11:

  • Ochrana účtu (Preview) – Nastavení zásad ochrany účtů pomáhá chránit přihlašovací údaje uživatelů.

    Zásady ochrany účtů se zaměřují na nastavení pro Windows Hello a Ochranu Credential Guard, která je součástí správy identit a přístupu windows.

    • Windows Hello pro firmy nahrazuje hesla silným dvojúrovňovým ověřováním na počítačích a mobilních zařízeních.
    • Ochrana Credential Guard pomáhá chránit přihlašovací údaje a tajné kódy, které používáte se svými zařízeními.

    Další informace najdete v tématu Správa identit a přístupu v dokumentaci ke správě identit a přístupu ve Windows.

    Zobrazí nastavení profilu ochrany účtu.

  • Řešení pro hesla místního správce (Windows LAPS) – Pomocí tohoto profilu můžete nakonfigurovat windows LAPS na zařízeních. Windows LAPS umožňuje správu jednoho účtu místního správce pro každé zařízení. Intune zásady můžou určit, na který účet místního správce se vztahuje, pomocí nastavení zásad Název účtu správce.

    Další informace o používání Intune ke správě windows LAPS najdete tady:

  • Členství v místní skupině uživatelů – Tento profil slouží k přidání, odebrání nebo nahrazení členů předdefinovaných místních skupin na zařízeních s Windows. Například místní skupina Administrators má obecná práva. Tuto zásadu můžete použít k úpravě členství skupiny Správa a uzamknout ji na sadu výhradně definovaných členů.

    Použití tohoto profilu je podrobně popsáno v následující části Správa místních skupin na zařízeních s Windows.

Správa místních skupin na zařízeních s Windows

Profil členství v místní skupině uživatelů můžete použít ke správě uživatelů, kteří jsou členy předdefinovaných místních skupin na zařízeních se systémem Windows 10 20H2 a novějším a Windows 11 zařízení.

Tip

Další informace o podpoře správy oprávnění správce pomocí skupin Microsoft Entra najdete v tématu Správa oprávnění správce pomocí Microsoft Entra skupin v dokumentaci k Microsoft Entra.

Konfigurace profilu

Tento profil spravuje členství v místní skupině na zařízeních prostřednictvím CSP zásad – LocalUsersAndGroups. Dokumentace k zprostředkovateli CSP obsahuje další podrobnosti o tom, jak se konfigurace používají, a nejčastější dotazy týkající se použití CSP.

Při konfiguraci tohoto profilu můžete na stránce Nastavení konfigurace vytvořit několik pravidel pro správu předdefinovaných místních skupin, které chcete změnit, akce skupiny, která se má provést, a metody výběru uživatelů.

Snímek obrazovky se stránkou Nastavení konfigurace pro konfiguraci profilu

Následující konfigurace můžete provést:

  • Místní skupina: V rozevíracím seznamu vyberte jednu nebo více skupin. Všechny tyto skupiny použijí stejnou akci Skupiny a uživatele u uživatelů, které přiřadíte. V jednom profilu můžete vytvořit více než jedno seskupení místních skupin a každému seskupení místních skupin přiřadit různé akce a skupiny uživatelů.

Poznámka

Seznam místních skupin je omezený na šest předdefinovaných místních skupin, u kterých je zaručeno, že se vyhodnotí při přihlášení, jak je uvedeno v dokumentaci Jak spravovat místní skupinu administrators na Microsoft Entra připojených zařízeních.

  • Akce skupiny a uživatele: Nakonfigurujte akci tak, aby se použila na vybrané skupiny. Tato akce se použije pro uživatele, které vyberete pro stejnou akci a seskupení místních účtů. Mezi akce, které můžete zvolit, patří:

    • Přidat (aktualizovat): Přidá členy do vybraných skupin. Členství ve skupinách pro uživatele, kteří nejsou určeni zásadami, se nezmění.
    • Odebrat (aktualizace): Odebere členy z vybraných skupin. Členství ve skupinách pro uživatele, kteří nejsou určeni zásadami, se nezmění.
    • Přidat (nahradit): Nahraďte členy vybraných skupin novými členy, které určíte pro tuto akci. Tato možnost funguje stejným způsobem jako skupina s omezeným přístupem a odeberou se všechny členy skupiny, kteří nejsou v zásadách zadáni.

    Upozornění

    Pokud je stejná skupina nakonfigurovaná s akcemi Nahradit i Aktualizovat, akce Nahradit vyhraje. To se nepovažuje za konflikt. K takové konfiguraci může dojít v případě, že do stejného zařízení nasadíte více zásad nebo pokud je tento CSP také nakonfigurován pomocí Microsoft Graphu.

  • Typ výběru uživatele: Zvolte způsob výběru uživatelů. Mezi možnosti patří:

    • Uživatelé: V Microsoft Entra ID vyberte uživatele a skupiny uživatelů. (Podporuje se jenom u zařízení připojených k Microsoft Entra.)
    • Ručně: Zadejte uživatele a skupiny Microsoft Entra ručně, podle uživatelského jména, domény\uživatelského jména nebo identifikátoru zabezpečení skupiny (SID). (Podporuje se pro zařízení připojená Microsoft Entra a Microsoft Entra hybridně připojená zařízení.

  • Vybraní uživatelé: V závislosti na vašem výběru pro typ výběru uživatele použijete jednu z následujících možností:

    • Vyberte uživatele: Vyberte uživatele a skupiny uživatelů z Microsoft Entra.

    • Přidání uživatelů: Otevře se podokno Přidat uživatele , kde pak můžete zadat jeden nebo více identifikátorů uživatelů, které se zobrazí na zařízení. Uživatele můžete zadat podle identifikátoru zabezpečení (SID),domény\uživatelského jména nebo uživatelského jména.

      Snímek obrazovky se stránkou Přidat uživatele

Volba možnosti Ručně může být užitečná ve scénářích, kdy chcete spravovat místní uživatele služby Active Directory z Active Directory do místní skupiny pro Microsoft Entra zařízení připojené k hybridnímu připojení. Podporované formáty identifikace výběru uživatele v pořadí od nejvíce upřednostňovaného po nejméně preferovaný je prostřednictvím identifikátoru SID, domény\uživatelské_jméno nebo uživatelského jména člena. Hodnoty ze služby Active Directory musí být použity pro hybridní zařízení, zatímco hodnoty z Microsoft Entra ID musí být použity pro Microsoft Entra spojení. identifikátory SID skupin Microsoft Entra je možné získat pomocí Graph API pro skupiny.

Konflikty

Pokud zásady vytvoří konflikt členství ve skupině, konfliktní nastavení z každé zásady se do zařízení neodesílají. Místo toho se konflikt u těchto zásad hlásí v Centru pro správu Microsoft Intune. Pokud chcete konflikt vyřešit, překonfigurujte jednu nebo více zásad.

Vytváření sestav

Když se zařízení přihlásí se změnami a použijí zásady, centrum pro správu zobrazuje stav zařízení a uživatelů jako úspěšný nebo chybný.

Vzhledem k tomu, že zásady můžou obsahovat více pravidel, zvažte následující:

  • Při zpracování zásad pro zařízení se v zobrazení stavu jednotlivých nastavení zobrazuje stav pro skupinu pravidel, jako by šlo o jedno nastavení.
  • Každé pravidlo v zásadách, které vede k chybě, se přeskočí a neodesílá se do zařízení.
  • Každé pravidlo, které je úspěšné, se odešle do zařízení, která se mají použít.

Další kroky

Konfigurace zásad zabezpečení koncových bodů