Felhasználói és csoportidentitások kezelése a Microsoft Intune-ban

A felhasználói identitások kezelése és védelme minden végpontkezelési stratégia és megoldás jelentős részét képezi. Az identitáskezelés magában foglalja a szervezeti erőforrásokhoz hozzáférő felhasználói fiókokat és csoportokat.

A rendszergazdáknak kezelniük kell a fióktagságokat, engedélyezniük és hitelesíteniük kell az erőforrásokhoz való hozzáférést, kezelniük kell a felhasználói identitásokat érintő beállításokat, és biztonságosnak kell & védeniük az identitásokat a rosszindulatú szándékokkal szemben.

A Microsoft Intune mindezeket a feladatokat és egyebeket is el tudja végezni. Az Intune egy felhőalapú szolgáltatás, amely szabályzatokkal, többek között biztonsági és hitelesítési szabályzatokkal képes kezelni a felhasználói identitásokat. Az Intune-nal és annak előnyeiről a Mi a Microsoft Intune? című témakörben talál további információt.

Szolgáltatás szempontjából az Intune a Microsoft Entra ID azonosítót használja az identitástároláshoz és az engedélyekhez. A Microsoft Intune Felügyeleti központban ezeket a feladatokat egy végpontkezelésre tervezett központi helyen kezelheti.

Ez a cikk az identitások kezelése során megfontolandó fogalmakat és funkciókat ismerteti.

Meglévő felhasználók és csoportok használata

A végpontok kezelésének nagy része a felhasználók és csoportok kezelése. Ha már rendelkezik felhasználók és csoportok használatával, vagy új felhasználókat és csoportokat hoz létre, az Intune segíthet.

A helyszíni környezetekben a felhasználói fiókok és csoportok a helyszíni Active Directoryban jönnek létre és kezelhetők. Ezeket a felhasználókat és csoportokat a tartomány bármely tartományvezérlőjének használatával frissítheti.

Hasonló fogalom az Intune-ban.

Az Intune Felügyeleti központ egy központi helyet tartalmaz a felhasználók és csoportok kezeléséhez. A felügyeleti központ webalapú, és bármely internetkapcsolattal rendelkező eszközről elérhető. A rendszergazdáknak csak be kell jelentkezniük a felügyeleti központba az Intune rendszergazdai fiókjával.

Fontos döntés a felhasználói fiókok és csoportok Intune-ba való beolvasásának meghatározása. Az Ön lehetőségei:

• Ha jelenleg a Microsoft 365-öt használja , és a Felhasználók és csoportok a Microsoft 365 Felügyeleti központban találhatók, akkor ezek a felhasználók és csoportok az Intune Felügyeleti központban is elérhetők.

  A Microsoft Entra ID és az Intune egy "bérlőt" használ, amely az Ön szervezete, például a Contoso vagy a Microsoft. Ha több bérlője van, jelentkezzen be az Intune felügyeleti központba ugyanabban a Microsoft 365-bérlőben, mint a meglévő felhasználók és csoportok. A felhasználók és csoportok automatikusan megjelennek és elérhetők.

  A bérlőkről további információt a Gyorsútmutató: Bérlő beállítása című témakörben talál.

• Ha jelenleg helyszíni Active Directoryt használ, a Microsoft Entra Connect használatával szinkronizálhatja a helyszíni AD-fiókokat a Microsoft Entra ID azonosítóval. Ha ezek a fiókok a Microsoft Entra-azonosítóban vannak, akkor az Intune Felügyeleti központban is elérhetők.

  További információt a Mi a Microsoft Entra Connect Sync? című témakörben talál.

• A meglévő felhasználókat és csoportokat CSV-fájlból is importálhatja az Intune Felügyeleti központba, vagy létrehozhatja a felhasználókat és csoportokat az alapoktól. Csoportok hozzáadásakor hozzáadhat felhasználókat és eszközöket ezekhez a csoportokhoz, hogy hely, részleg, hardver stb. szerint rendezze őket.

  Az Intune-beli csoportkezeléssel kapcsolatos további információkért tekintse meg a Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez című témakört.

Alapértelmezés szerint az Intune automatikusan létrehozza a Minden felhasználó és a Minden eszköz csoportot. Ha a felhasználók és csoportok elérhetők az Intune-ban, hozzárendelheti a szabályzatokat ezekhez a felhasználókhoz és csoportokhoz.

Áthelyezés a számítógépfiókokból

Amikor egy Windows-végpont, például egy Windows 10/11-eszköz csatlakozik egy helyszíni Active Directory- (AD-) tartományhoz, a rendszer automatikusan létrehoz egy számítógépfiókot. A számítógép-/számítógépfiók a helyszíni programok, szolgáltatások és alkalmazások hitelesítésére használható.

Ezek a gépfiókok helyiek a helyszíni környezetben, és nem használhatók a Microsoft Entra-azonosítóhoz csatlakoztatott eszközökön. Ebben az esetben felhasználói hitelesítésre kell váltania a helyszíni programok, szolgáltatások és alkalmazások hitelesítéséhez.

További információért és útmutatásért tekintse meg a natív felhőbeli végpontokkal kapcsolatos ismert problémákat és korlátozásokat ismertető cikket.

A szerepkörök és engedélyek szabályozzák a hozzáférést

A különböző rendszergazdai típusú feladatok esetében az Intune szerepköralapú hozzáférés-vezérlést (RBAC) használ. A hozzárendelt szerepkörök határozzák meg, hogy a rendszergazdák milyen erőforrásokhoz férhetnek hozzá az Intune Felügyeleti központban, és hogy mit tehetnek ezekkel az erőforrásokkal. Vannak olyan beépített szerepkörök, amelyek többek között a végpontkezelésre összpontosítanak, például az Alkalmazáskezelőre, a Szabályzat- és profilkezelőre.

Mivel az Intune a Microsoft Entra-azonosítót használja, ön is hozzáférhet a beépített Microsoft Entra-szerepkörökhöz, például az Intune-szolgáltatásadminisztrátorhoz.

Minden szerepkör saját létrehozási, olvasási, frissítési vagy törlési engedélyekkel rendelkezik. Egyéni szerepköröket is létrehozhat, ha a rendszergazdáknak adott engedélyre van szükségük. Amikor rendszergazdai típusú felhasználókat és csoportokat ad hozzá vagy hoz létre, hozzárendelheti ezeket a fiókokat a különböző szerepkörökhöz. Az Intune Felügyeleti központ ezeket az információkat egy központi helyen találja, és könnyen frissíthető.

További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal

Felhasználói affinitás létrehozása eszközök regisztrálásakor

Amikor a felhasználók első alkalommal jelentkeznek be az eszközeikre, az eszköz az adott felhasználóhoz lesz társítva. Ezt a funkciót felhasználói affinitásnak nevezzük.

A felhasználói identitáshoz hozzárendelt vagy üzembe helyezett szabályzatok a felhasználóval együtt az összes eszközükön eljárnak. Ha egy felhasználó az eszközhöz van társítva, hozzáférhet az e-mail-fiókjához, a fájljaihoz, az alkalmazásaihoz és egyebekhez.

Ha nem társít felhasználót egy eszközhöz, akkor az eszköz felhasználó nélkülinek minősül. Ez a forgatókönyv gyakori az adott feladathoz dedikált kioszkeszközök és a több felhasználóval megosztott eszközök esetében.

Az Intune-ban mindkét forgatókönyvhöz létrehozhat szabályzatokat Android, iOS/iPadOS, macOS és Windows rendszeren. Amikor készen áll ezeknek az eszközöknek a kezelésére, győződjön meg arról, hogy ismeri az eszköz rendeltetését. Ezek az információk segítenek a döntéshozatalban, amikor az eszközöket regisztrálják.

További információt a platformok regisztrációs útmutatóiban talál:

• Üzembe helyezési útmutató: Android-eszközök regisztrálása a Microsoft Intune-ban
• Üzembe helyezési útmutató: iOS- és iPadOS-eszközök regisztrálása a Microsoft Intune-ban
• Üzembe helyezési útmutató: macOS eszközök regisztrálása a Microsoft Intune-ban
• Telepítési útmutató: Windows-eszközök regisztrálása a Microsoft Intune-ban

Szabályzatok hozzárendelése felhasználókhoz és csoportokhoz

A helyszínen tartományi fiókokkal és helyi fiókokkal dolgozik, majd helyi, hely-, tartomány- vagy szervezeti egységszinten (LSDOU) telepít csoportházirendeket és engedélyeket ezekre a fiókokra. A szervezeti egység házirendje felülír egy tartományházirendet, a tartományi házirend felülír egy helyházirendet stb.

Az Intune felhőalapú. Az Intune-ban létrehozott szabályzatok többek között eszközfunkciók, biztonsági szabályok és egyéb beállításokat tartalmaznak. Ezek a szabályzatok a felhasználókhoz és csoportokhoz vannak rendelve. Nincs olyan hagyományos hierarchia, mint az LSDOU.

Az Intune beállításkatalógusa több ezer beállítást tartalmaz az iOS/iPadOS, macOS és Windows rendszerű eszközök kezeléséhez. Ha jelenleg helyszíni csoportházirend-objektumokat (GPO-kat) használ, akkor a beállításkatalógus használata természetes átmenet a felhőalapú szabályzatokra.

Az Intune szabályzataival kapcsolatos további információkért látogasson el az alábbiakra:

• Beállítások konfigurálása Windows, iOS/iPadOS és macOS rendszerű eszközökön a beállításkatalógus használatával
• Eszközszabályzatokkal és -profilokkal kapcsolatos gyakori kérdések és válaszok a Microsoft Intune-ban

A felhasználói identitások védelme

A felhasználói és csoportfiókok hozzáférnek a szervezeti erőforrásokhoz. Meg kell őriznie ezeket az identitásokat, és meg kell akadályoznia az identitásokhoz való rosszindulatú hozzáférést. Íme néhány megfontolandó szempont:

• A Vállalati Windows Hello lecseréli a felhasználónevet és a jelszót, és egy jelszó nélküli stratégia része.

  A jelszavakat a rendszer egy eszközön adja meg, majd továbbítja a hálózaton keresztül a kiszolgálónak. Bárki és bárhol elfoghatja és használhatja őket. A kiszolgálói incidensek felfedhetik a tárolt hitelesítő adatokat.

  A Vállalati Windows Hello szolgáltatással a felhasználók PIN-kóddal vagy biometrikus azonosítással, például arc- és ujjlenyomat-felismeréssel jelentkezhetnek be és hitelesíthetik magukat. Ezeket az információkat a rendszer helyileg tárolja az eszközön, és nem küldi el külső eszközöknek vagy kiszolgálóknak.

  Amikor a Vállalati Windows Hello telepítve van a környezetében, az Intune-ból létrehozhatJa a Vállalati Windows Hello szabályzatait az eszközeihez. Ezek a szabályzatok konfigurálhatják a PIN-kód beállításait, lehetővé téve a biometrikus hitelesítést, biztonsági kulcsok használatát és egyebeket.

  További információ:

  • A Vállalati Windows Hello áttekintése
  • A Vállalati Windows Hello kezelése eszközökön, amikor az eszközök regisztrálnak az Intune-ban

  A Vállalati Windows Hello kezeléséhez az alábbi lehetőségek egyikét használhatja:

  • Eszközregisztráció során: Konfigurálja a bérlői szintű szabályzatot, amely a Windows Hello beállításait alkalmazza az eszközökre az eszköz Intune-beli regisztrálásakor.
  • Biztonsági alapkonfigurációk: A Windows Hello egyes beállításai az Intune biztonsági alapkonfigurációival kezelhetők, például a Végponthoz készült Microsoft Defender biztonsági alapkonfigurációi vagy a Windows 10 és újabb rendszerek biztonsági alapkonfigurációi.
  • Beállításkatalógus: A végpontbiztonsági fiókvédelmi profilok beállításai az Intune beállításkatalógusában érhetők el.

• A tanúsítványalapú hitelesítés egy jelszó nélküli stratégia része is. A tanúsítványokkal VPN-en, Wi-Fi kapcsolaton vagy e-mail-profilokon keresztül hitelesítheti a felhasználókat az alkalmazásokban és a szervezeti erőforrásokban. A tanúsítványok használata esetén a felhasználóknak nem kell felhasználóneveket és jelszavakat megadniuk, és egyszerűbben hozzáférhetnek ezekhez az erőforrásokhoz.

  További információ: Tanúsítványok használata hitelesítéshez a Microsoft Intune-ban.

• A többtényezős hitelesítés (MFA) a Microsoft Entra ID-val elérhető szolgáltatás. A felhasználók sikeres hitelesítéséhez legalább két különböző ellenőrzési módszer szükséges. Amikor az MFA üzembe van helyezve a környezetben, MFA-t is megkövetelhet, amikor az eszközök regisztrálnak az Intune-ban.

  További információ:

  • A Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése
  • Többtényezős hitelesítés megkövetelése az Intune-eszközregisztrációkhoz

• A Nulla megbízhatóság minden végpontot ellenőriz, beleértve az eszközöket és az alkalmazásokat is. Az ötlet az, hogy segítsen megőrizni a szervezeti adatokat a szervezetben, és megakadályozza az adatszivárgást a véletlen vagy rosszindulatú szándékból. Különböző funkciókat tartalmaz, például a Vállalati Windows Hello szolgáltatást, az MFA használatát és sok mást.

  További információ: A Microsoft Intune-nal való megbízhatóság nélküli kapcsolat.

Következő lépések

• Eszközök kezelése
• Alkalmazások kezelése