Megosztás a következőn keresztül:

Fiókvédelmi szabályzat a végpontbiztonsághoz az Intune-ban

  • Cikk

Az Intune végpontbiztonsági szabályzatainak használatával védheti a felhasználók identitását és fiókjait, és kezelheti az eszközök beépített csoporttagságait.

Fontos

2024 júliusában az alábbi, identitás- és fiókvédelemmel kapcsolatos Intune-profilok elavultak, és egy új, fiókvédelem nevű összevont profil váltotta fel. Ez az újabb profil a végpontbiztonság fiókvédelmi szabályzat csomópontjában található, és az egyetlen profilsablon, amely továbbra is elérhető marad új szabályzatpéldányok létrehozásához az identitás- és fiókvédelemhez. Az új profil beállításai a beállításkatalóguson keresztül is elérhetők.

A következő, ön által létrehozott régebbi profilok minden példánya használható és szerkeszthető marad:

  • Identitásvédelem – korábban elérhető az Eszközök>konfigurációja>Új szabályzat>létrehozása>Windows 10-es és újabb>sablonok>Identity Protection szolgáltatásban
  • Fiókvédelem (előzetes verzió) – korábban elérhető az Endpoint Security>Fiókvédelem>Windows 10-es és újabb>verzióinak fiókvédelme (előzetes verzió)

A Fiókvédelem végpontbiztonsági szabályzatait a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjának Kezelés területén találja.

A fiókvédelmi profilok előfeltételei

  • A fiókvédelmi profil támogatásához az eszközöknek Windows 10-et vagy Windows 11-et kell futtatniuk.
  • A helyi felhasználói csoport tagsági profiljának támogatásához az eszközöknek Windows 10 20H2 vagy újabb rendszert vagy Windows 11-et kell futtatniuk.
  • A *Helyi rendszergazdai jelszómegoldás (Windows LAPS) támogatásához tekintse meg a Microsoft Intune Windows LAPS-támogatásánakelőfeltételeit ismertető cikket.

Szerepköralapú hozzáférés-vezérlés (RBAC)

Az Intune-fiókvédelmi profilok kezeléséhez szükséges engedélyek és jogosultságok megfelelő szintjének hozzárendelésével kapcsolatos útmutatásért lásd: Assign-role-based-access-controls-for-endpoint-security-policy.

Fiókvédelmi profilok

Platform: Windows:

Profilok:

  • Fiókvédelem – A fiókvédelmi szabályzatok beállításai segítenek a felhasználói hitelesítő adatok védelmében. A fiókvédelmi szabályzat a Vállalati Windows Hello azon beállításaira összpontosít, amelyek eszköz - és felhasználóhatókörű beállításokat is tartalmaznak, valamint a Credential Guardra, amely a Windows identitás- és hozzáférés-kezelés részét képezi.

    • A Vállalati Windows Hello a jelszavakat erős kétfaktoros hitelesítésre cseréli pc-ken és mobileszközökön.
    • A Credential Guard segít megvédeni az eszközeivel használt hitelesítő adatokat és titkos kulcsokat.

    További információ: Identitás- és hozzáférés-kezelés a Windows identitás- és hozzáférés-kezelési dokumentációjában.

    A profil beállításai a Beállítások katalógusban is elérhetők.

  • Helyi rendszergazdai jelszómegoldás (Windows LAPS) – Ezzel a profillal konfigurálhatja a Windows LAPS-t az eszközökön. A Windows LAPS lehetővé teszi egyetlen helyi rendszergazdai fiók felügyeletét eszközönként. Az Intune-szabályzat a Rendszergazdai fiók neve házirendbeállítással megadhatja, hogy melyik helyi rendszergazdai fiókra vonatkozik.

    A Windows LAPS Intune-beli kezelésével kapcsolatos további információkért lásd:

  • Helyi felhasználói csoporttagság – Ezzel a profillal hozzáadhatja, eltávolíthatja vagy lecserélheti a beépített helyi csoportok tagjait Windows-eszközökön. A Rendszergazdák helyi csoport például széles körű jogosultságokkal rendelkezik. Ezzel a szabályzattal szerkesztheti a rendszergazdai csoport tagságát, hogy kizárólag meghatározott tagokra zárolja azt.

    Ennek a profilnak a használatát a következő, Helyi csoportok kezelése Windows-eszközökön című szakaszban találja.

Helyi csoportok kezelése Windows-eszközökön

A Helyi felhasználói csoport tagsági profillal kezelheti a beépített helyi csoportok tagjait a Windows 10 20H2 és újabb rendszerű eszközökön és a Windows 11 rendszerű eszközökön.

Tipp

A rendszergazdai jogosultságok Microsoft Entra-csoportok használatával történő kezelésének támogatásáról a Microsoft Entra dokumentációjának Rendszergazdai jogosultságok kezelése Microsoft Entra-csoportokkal című témakörében olvashat bővebben.

A profil konfigurálása

Ez a profil kezeli a helyi csoporttagságokat az eszközökön a Házirend CSP – LocalUsersAndGroups használatával. A CSP dokumentációja további részleteket tartalmaz a konfigurációk alkalmazásáról, valamint a CSP használatával kapcsolatos gyakori kérdéseket.

A profil konfigurálásakor a Konfigurációs beállítások lapon több szabályt is létrehozhat a módosítani kívánt beépített helyi csoportok, a végrehajtandó csoportművelet és a felhasználók kiválasztásának módja érdekében.

Képernyőkép a profil konfigurálására szolgáló Konfigurációs beállítások lapról.

A következő konfigurációkat hozhatja létre:

  • Helyi csoport: Válasszon ki egy vagy több csoportot a legördülő listából. Ezek a csoportok mind ugyanazt a csoport- és felhasználói műveletet alkalmazzák a hozzárendelt felhasználókra. Egy profilban több helyi csoportcsoportot is létrehozhat, és különböző műveleteket és felhasználói csoportokat rendelhet hozzá a helyi csoportok egyes csoportjaihoz.

Megjegyzés:

A helyi csoportok listája a bejelentkezéskor garantáltan kiértékelendő hat beépített helyi csoportra korlátozódik, a Microsoft Entra-hoz csatlakoztatott eszközök helyi rendszergazdák csoportjának kezelése című dokumentációban leírtak szerint.

  • Csoport- és felhasználói művelet: Konfigurálja úgy a műveletet, hogy a kiválasztott csoportokra vonatkozzanak. Ez a művelet az ugyanazon művelethez kiválasztott felhasználókra és a helyi fiókok csoportosítására vonatkozik. A választható műveletek a következők:

    • Hozzáadás (frissítés): Tagokat ad hozzá a kijelölt csoportokhoz. A szabályzat által nem meghatározott felhasználók csoporttagságát a rendszer nem módosítja.
    • Eltávolítás (frissítés): Tagok eltávolítása a kijelölt csoportokból. A szabályzat által nem meghatározott felhasználók csoporttagságát a rendszer nem módosítja.
    • Hozzáadás (csere): Cserélje le a kijelölt csoportok tagjait a művelethez megadott új tagokra. Ez a beállítás ugyanúgy működik, mint a korlátozott csoportok, és a szabályzatban nem megadott csoporttagok törlődnek.

    Figyelem!

    Ha ugyanazt a csoportot a Csere és a Frissítés művelettel is konfigurálja, a Csere művelet nyer. Ez nem tekinthető ütközésnek. Ilyen konfiguráció akkor fordulhat elő, ha több szabályzatot telepít ugyanarra az eszközre, vagy ha ezt a CSP-t a Microsoft Graph is konfigurálja.

  • Felhasználóválasztás típusa: Válassza ki a felhasználók kiválasztásának módját. A lehetőségek a következők:

    • Felhasználók: Válassza ki a felhasználókat és a felhasználói csoportokat a Microsoft Entra-azonosítóból. (Csak a Microsoft Entra-hoz csatlakoztatott eszközök esetében támogatott).
    • Manuális: Adja meg manuálisan a Microsoft Entra felhasználóit és csoportjait felhasználónév, tartomány\felhasználónév vagy a csoportok biztonsági azonosítója (SID) alapján. (A Microsoft Entra-hoz csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközök esetében támogatott).

  • Kijelölt felhasználó(k): A Felhasználó kiválasztása típustól függően használja az alábbi lehetőségek egyikét:

    • Felhasználó(k) kiválasztása: Válassza ki a Microsoft Entra felhasználóit és felhasználói csoportjait.

    • Felhasználó(k) hozzáadása: Ez a beállítás megnyitja a Felhasználók hozzáadása panelt, ahol megadhat egy vagy több felhasználói azonosítót az eszközön megjelenő módon. A felhasználót biztonsági azonosító (SID), Tartomány\felhasználónév vagy Felhasználónév alapján adhatja meg.

      Képernyőkép az Intune Felügyeleti központ Felhasználók hozzáadása lapjáról.

A Manuális beállítás kiválasztása olyan helyzetekben lehet hasznos, amikor a helyszíni Active Directory-felhasználókat az Active Directoryból egy hibrid Microsoft Entra-csatlakoztatott eszköz helyi csoportjába szeretné kezelni. A felhasználó kiválasztásának a leggyakrabban előnyben részesített sorrendben történő azonosításának támogatott formátumai a SID, a tartomány\felhasználónév vagy a tag felhasználónevén keresztül határozhatók meg. Az Active Directoryból származó értékeket hibrid csatlakoztatott eszközökhöz, míg a Microsoft Entra-azonosítóból származó értékeket a Microsoft Entra-csatlakozáshoz kell használni. A Microsoft Entra csoportazonosítói a Graph API for Groups használatával szerezhetők be.

Ütközések

Ha a szabályzatok ütközést okoznak egy csoporttagsághoz, a rendszer nem küldi el az egyes szabályzatok ütköző beállításait az eszközre. Ehelyett a Microsoft Intune Felügyeleti központban ezeknél a szabályzatoknál jelentkezik az ütközés. Az ütközés feloldásához konfiguráljon újra egy vagy több szabályzatot.

Jelentés

Amikor az eszközök bejelentkeznek és alkalmazzák a szabályzatot, a felügyeleti központ megjeleníti az eszközök és a felhasználók állapotát sikeresként vagy hibásan.

Mivel a szabályzat több szabályt is tartalmazhat, vegye figyelembe a következő szempontokat:

  • Az eszközökre vonatkozó szabályzat feldolgozásakor a beállításonkénti állapotnézet úgy jeleníti meg a szabálycsoport állapotát, mintha egyetlen beállításról lenne szó.
  • A szabályzat minden olyan szabályát, amely hibát eredményez, kihagyja, és nem küldi el az eszközöknek.
  • A rendszer minden sikeres szabályt elküld az alkalmazni kívánt eszközökre.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása