Tudnivalók a felhasználói és csoportidentitások kezeléséről a Microsoft Intune

A felhasználói identitások kezelése és védelme minden végpontkezelési stratégia és megoldás jelentős részét képezi. Az identitáskezelés magában foglalja a szervezeti erőforrásokhoz hozzáférő felhasználói fiókokat és csoportokat.

A rendszergazdáknak kezelniük kell a fióktagságokat, engedélyezniük és hitelesíteniük kell az erőforrásokhoz való hozzáférést, kezelniük kell a felhasználói identitásokat érintő beállításokat, és biztonságosnak kell & védeniük az identitásokat a rosszindulatú szándékokkal szemben.

Microsoft Intune el tudja végezni ezeket a feladatokat, és így tovább. Intune egy felhőalapú szolgáltatás, amely a felhasználói identitásokat szabályzattal, többek között biztonsági és hitelesítési szabályzatokkal kezelheti.

Szolgáltatás szempontjából a Intune Microsoft Entra ID használ az identitástároláshoz és az engedélyekhez. A Microsoft Intune Felügyeleti központ segítségével ezeket a feladatokat egy végpontkezelésre tervezett központi helyen kezelheti.

Ez a cikk az identitások kezelése során megfontolandó fogalmakat és funkciókat ismerteti.

Meglévő felhasználók és csoportok használata

A végpontok kezelésének nagy része a felhasználók és csoportok kezelése. Ha már rendelkezik felhasználók és csoportok használatával, vagy új felhasználókat és csoportokat hoz létre, Intune segíthet.

A helyszíni környezetekben a felhasználói fiókok és csoportok létrehozása és kezelése helyi Active Directory történik. Ezeket a felhasználókat és csoportokat a tartomány bármely tartományvezérlőjének használatával frissítheti.

Hasonló fogalom a Intune.

A Intune Felügyeleti központ tartalmaz egy központi helyet a felhasználók és csoportok kezeléséhez. A felügyeleti központ webalapú, és bármely internetkapcsolattal rendelkező eszközről elérhető. A rendszergazdáknak csak be kell jelentkezniük a felügyeleti központba a Intune rendszergazdai fiókjukkal.

Fontos döntés a felhasználói fiókok és csoportok Intune való beolvasásának meghatározása. Az Ön lehetőségei:

• Ha jelenleg a Microsoft 365-öt használja, és az Microsoft 365 Felügyeleti központ használja a felhasználókat és csoportokat, akkor ezek a felhasználók és csoportok a Intune Felügyeleti központban is elérhetők.

  Microsoft Entra ID és Intune egy bérlőt használnak, amely az Ön szervezete, például a Contoso vagy a Microsoft. Ha több bérlője van, jelentkezzen be a Intune Felügyeleti központba ugyanabban a Microsoft 365-bérlőben, mint a meglévő felhasználók és csoportok. A felhasználók és csoportok automatikusan megjelennek és elérhetők.

  A bérlőkről további információt a Gyorsútmutató: Bérlő beállítása című témakörben talál.

• Ha jelenleg helyi Active Directory használ, akkor a Microsoft Entra Connect segítségével szinkronizálhatja helyszíni AD-fiókjait Microsoft Entra ID. Ha ezek a fiókok Microsoft Entra ID vannak, akkor a Intune Felügyeleti központban is elérhetők.

  További információt a Mi az Microsoft Entra Csatlakozás szinkronizálása? című témakörben talál.

• A meglévő felhasználókat és csoportokat csv-fájlból is importálhatja a Intune Felügyeleti központba, vagy létrehozhatja a felhasználókat és csoportokat az alapoktól. Csoportok hozzáadásakor hozzáadhat felhasználókat és eszközöket ezekhez a csoportokhoz, hogy hely, részleg, hardver stb. szerint rendezze őket.

  A Intune csoportkezelésével kapcsolatos további információkért tekintse meg a Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez című témakört.

Alapértelmezés szerint Intune automatikusan létrehozza a Minden felhasználó és a Minden eszköz csoportot. Ha a felhasználók és csoportok elérhetők a Intune, hozzárendelheti a szabályzatokat ezekhez a felhasználókhoz és csoportokhoz.

Áthelyezés a számítógépfiókokból

Amikor egy Windows-végpont, például egy Windows 10/11-eszköz csatlakozik egy helyi Active Directory (AD) tartományhoz, a rendszer automatikusan létrehoz egy számítógépfiókot. A számítógép-/számítógépfiók a helyszíni programok, szolgáltatások és alkalmazások hitelesítésére használható.

Ezek a gépfiókok helyiek a helyszíni környezetben, és nem használhatók az Microsoft Entra ID csatlakoztatott eszközökön. Ebben az esetben felhasználói hitelesítésre kell váltania a helyszíni programok, szolgáltatások és alkalmazások hitelesítéséhez.

További információért és útmutatásért tekintse meg a natív felhőbeli végpontokkal kapcsolatos ismert problémákat és korlátozásokat ismertető cikket.

A szerepkörök és engedélyek szabályozzák a hozzáférést

A különböző rendszergazdai típusú feladatok esetében Intune szerepköralapú hozzáférés-vezérlést (RBAC) használ. A hozzárendelt szerepkörök határozzák meg, hogy a rendszergazdák milyen erőforrásokhoz férhetnek hozzá a Intune Felügyeleti központban, és hogy mit tehetnek ezekkel az erőforrásokkal. Vannak olyan beépített szerepkörök, amelyek a végpontkezelésre összpontosítanak, például az Alkalmazáskezelőre, valamint a Szabályzat- és profilkezelőre.

Mivel Intune Microsoft Entra ID használ, a beépített Microsoft Entra szerepkörökhöz is hozzáférhet, például a Intune szolgáltatásadminisztrátorhoz.

Minden szerepkör saját létrehozási, olvasási, frissítési vagy törlési engedélyekkel rendelkezik. Egyéni szerepköröket is létrehozhat, ha a rendszergazdáknak adott engedélyre van szükségük. Amikor rendszergazdai típusú felhasználókat és csoportokat ad hozzá vagy hoz létre, hozzárendelheti ezeket a fiókokat a különböző szerepkörökhöz. A Intune Felügyeleti központ ezeket az információkat egy központi helyen találja, és könnyen frissíthető.

További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune

Felhasználói affinitás létrehozása eszközök regisztrálásakor

Amikor a felhasználók első alkalommal jelentkeznek be az eszközeikre, az eszköz az adott felhasználóhoz lesz társítva. Ezt a funkciót felhasználói affinitásnak nevezzük.

A felhasználói identitáshoz hozzárendelt vagy üzembe helyezett szabályzatok a felhasználóval együtt az összes eszközükön eljárnak. Ha egy felhasználó az eszközhöz van társítva, hozzáférhet az e-mail-fiókjához, a fájljaihoz, az alkalmazásaihoz és egyebekhez.

Ha nem társít felhasználót egy eszközhöz, akkor az eszköz felhasználó nélkülinek minősül. Ez a forgatókönyv gyakori az adott feladathoz dedikált kioszkeszközök és a több felhasználóval megosztott eszközök esetében.

A Intune mindkét forgatókönyvhöz létrehozhat szabályzatokat Android, iOS/iPadOS, macOS és Windows rendszeren. Amikor készen áll ezeknek az eszközöknek a kezelésére, győződjön meg arról, hogy ismeri az eszköz rendeltetését. Ezek az információk segítenek a döntéshozatalban, amikor az eszközöket regisztrálják.

További információt a platformok regisztrációs útmutatóiban talál:

• Regisztrációs útmutató: Android-eszközök regisztrálása Microsoft Intune
• Regisztrációs útmutató: iOS- és iPadOS-eszközök regisztrálása a Microsoft Intune
• Regisztrációs útmutató: Linux rendszerű asztali eszközök regisztrálása a Microsoft Intune
• Regisztrációs útmutató: MacOS-eszközök regisztrálása Microsoft Intune
• Regisztrációs útmutató: Windows-eszközök regisztrálása Microsoft Intune

Szabályzatok hozzárendelése felhasználókhoz és csoportokhoz

A helyszínen tartományi fiókokkal és helyi fiókokkal dolgozik, majd helyi, hely-, tartomány- vagy szervezeti egységszinten (LSDOU) telepít csoportházirendeket és engedélyeket ezekre a fiókokra. A szervezeti egység házirendje felülír egy tartományházirendet, a tartományi házirend felülír egy helyházirendet stb.

Intune felhőalapú. A Intune létrehozott szabályzatok közé tartoznak az eszközfunkciók, a biztonsági szabályok és egyebek vezérlését szabályozó beállítások. Ezek a szabályzatok a felhasználókhoz és csoportokhoz vannak rendelve. Nincs olyan hagyományos hierarchia, mint az LSDOU.

A Intune beállításkatalógusa több ezer beállítást tartalmaz az iOS/iPadOS, macOS és Windows rendszerű eszközök kezeléséhez. Ha jelenleg helyszíni Csoportházirend objektumokat (GPO-kat) használ, akkor a beállításkatalógus használata természetes átmenet a felhőalapú szabályzatokra.

Az Intune szabályzataival kapcsolatos további információkért látogasson el az alábbiakra:

• Beállítások konfigurálása Windows, iOS/iPadOS és macOS rendszerű eszközökön a beállításkatalógus használatával
• A Microsoft Intune eszközszabályzataival és profiljaival kapcsolatos gyakori kérdések és válaszok

A felhasználói identitások védelme

A felhasználói és csoportfiókok hozzáférnek a szervezeti erőforrásokhoz. Meg kell őriznie ezeket az identitásokat, és meg kell akadályoznia az identitásokhoz való rosszindulatú hozzáférést. Íme néhány megfontolandó szempont:

• Vállalati Windows Hello lecseréli a felhasználónevet és a jelszót, és egy jelszó nélküli stratégia része.

  A jelszavakat a rendszer egy eszközön adja meg, majd továbbítja a hálózaton keresztül a kiszolgálónak. Bárki és bárhol elfoghatja és használhatja őket. A kiszolgálói incidensek felfedhetik a tárolt hitelesítő adatokat.

  A Vállalati Windows Hello a felhasználók PIN-kóddal vagy biometrikus azonosítással, például arc- és ujjlenyomat-felismeréssel jelentkeznek be és hitelesítik magukat. Ezeket az információkat a rendszer helyileg tárolja az eszközön, és nem küldi el külső eszközöknek vagy kiszolgálóknak.

  Ha Vállalati Windows Hello van üzembe helyezve a környezetben, Intune használatával hozhat létre Vállalati Windows Hello szabályzatokat az eszközeihez. Ezek a szabályzatok konfigurálhatják a PIN-kód beállításait, lehetővé téve a biometrikus hitelesítést, biztonsági kulcsok használatát és egyebeket.

  További információ:

  • Vállalati Windows Hello áttekintése
  • Vállalati Windows Hello kezelése az eszközökön, amikor az eszközök regisztrálnak a Intune

  A Vállalati Windows Hello kezeléséhez az alábbi lehetőségek egyikét használhatja:

  • Eszközregisztráció során: Konfigurálja a bérlőszintű szabályzatot, amely Windows Hello beállításokat alkalmazza az eszközökre, amikor az eszköz regisztrál az Intune.
  • Biztonsági alapkonfigurációk: A Windows Hello egyes beállításai kezelhetők Intune biztonsági alapkonfigurációival, például a Windows 10 és a későbbi alapkonfigurációk Végponthoz készült Microsoft Defender biztonságivagy biztonsági alapkonfigurációival.
  • Beállításkatalógus: A végpontbiztonsági fiókvédelmi profilok beállításai a Intune beállításkatalógusában érhetők el.

• A tanúsítványalapú hitelesítés egy jelszó nélküli stratégia része is. A tanúsítványokkal VPN-en, Wi-Fi kapcsolaton vagy e-mail-profilokon keresztül hitelesítheti a felhasználókat az alkalmazásokban és a szervezeti erőforrásokban. A tanúsítványokkal a felhasználóknak nem kell felhasználóneveket és jelszavakat megadniuk, és a tanúsítványok megkönnyítik az erőforrások elérését.

  További információt a Tanúsítványok használata hitelesítéshez Microsoft Intune című témakörben talál.

• A többtényezős hitelesítés (MFA) a Microsoft Entra ID szolgáltatással érhető el. A felhasználók sikeres hitelesítéséhez legalább két különböző ellenőrzési módszer szükséges. Amikor az MFA üzembe van helyezve a környezetben, MFA-t is megkövetelhet, amikor az eszközök regisztrálnak a Intune.

  További információ:

  • Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése
  • Többtényezős hitelesítés megkövetelése Intune eszközregisztrációkhoz

• Teljes felügyelet ellenőrzi az összes végpontot, beleértve az eszközöket és az alkalmazásokat is. Az ötlet az, hogy segítsen megőrizni a szervezeti adatokat a szervezetben, és megakadályozza az adatszivárgást a véletlen vagy rosszindulatú szándékból. Különböző funkciókat tartalmaz, többek között a Vállalati Windows Hello, az MFA használatát és sok mást.

  További információt a Microsoft Intune Teljes felügyelet című témakörben talál.

Kapcsolódó cikkek

• Tudnivalók az eszközök Intune-ben való kezeléséről
• Tudnivalók az alkalmazások Intune-ben való kezeléséről