Megosztás a következőn keresztül:

Fiókvédelmi szabályzat a végpontbiztonsághoz az Intune-ban

  • Cikk

Az Intune végpontbiztonsági szabályzatainak használatával védheti a felhasználók identitását és fiókjait, és kezelheti az eszközök beépített csoporttagságait.

A Fiókvédelem végpontbiztonsági szabályzatait a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjának Kezelés területén találja.

A fiókvédelmi profilok előfeltételei

  • A fiókvédelmi (előzetes verzió) profil támogatásához az eszközöknek Windows 10-et vagy Windows 11-et kell futtatniuk.
  • A helyi felhasználói csoport tagsági profiljának támogatásához az eszközöknek Windows 10 20H2 vagy újabb rendszert vagy Windows 11-et kell futtatniuk.

Szerepköralapú hozzáférés-vezérlés (RBAC)

Az Intune-fiókvédelmi profilok kezeléséhez szükséges engedélyek és jogosultságok megfelelő szintjének hozzárendelésével kapcsolatos útmutatásért lásd: Assign-role-based-access-controls-for-endpoint-security-policy.

Fiókvédelmi profilok

A fiókvédelmi profilok előzetes verzióban érhetők el.

Windows 10/11-profilok:

  • Fiókvédelem (előzetes verzió) – A fiókvédelmi szabályzatok beállításai segítenek a felhasználói hitelesítő adatok védelmében.

    A fiókvédelmi szabályzat a Windows Hello és a Credential Guard beállításaira összpontosít, amely a Windows identitás- és hozzáférés-kezelés részét képezi.

    • A Vállalati Windows Hello a jelszavakat erős kétfaktoros hitelesítésre cseréli pc-ken és mobileszközökön.
    • A Credential Guard segít megvédeni az eszközeivel használt hitelesítő adatokat és titkos kulcsokat.

    További információ: Identitás- és hozzáférés-kezelés a Windows identitás- és hozzáférés-kezelési dokumentációjában.

    A fiókvédelmi profil beállításainak megtekintése.

  • Helyi rendszergazdai jelszómegoldás (Windows LAPS) – Ezzel a profillal konfigurálhatja a Windows LAPS-t az eszközökön. A Windows LAPS lehetővé teszi egyetlen helyi rendszergazdai fiók felügyeletét eszközönként. Az Intune-szabályzat a Rendszergazdai fiók neve házirendbeállítással megadhatja, hogy melyik helyi rendszergazdai fiókra vonatkozik.

    A Windows LAPS Intune-beli kezelésével kapcsolatos további információkért lásd:

  • Helyi felhasználói csoporttagság – Ezzel a profillal hozzáadhatja, eltávolíthatja vagy lecserélheti a beépített helyi csoportok tagjait Windows-eszközökön. A Rendszergazdák helyi csoport például széles körű jogosultságokkal rendelkezik. Ezzel a szabályzattal szerkesztheti a rendszergazdai csoport tagságát, hogy kizárólag meghatározott tagokra zárolja azt.

    Ennek a profilnak a használatát a következő, Helyi csoportok kezelése Windows-eszközökön című szakaszban találja.

Helyi csoportok kezelése Windows-eszközökön

A Helyi felhasználói csoport tagsági profillal kezelheti a beépített helyi csoportok tagjait a Windows 10 20H2 és újabb rendszerű eszközökön és a Windows 11 rendszerű eszközökön.

Tipp

A rendszergazdai jogosultságok Microsoft Entra-csoportok használatával történő kezelésének támogatásáról a Microsoft Entra dokumentációjának Rendszergazdai jogosultságok kezelése Microsoft Entra-csoportokkal című témakörében olvashat bővebben.

A profil konfigurálása

Ez a profil kezeli a helyi csoporttagságokat az eszközökön a Házirend CSP – LocalUsersAndGroups használatával. A CSP dokumentációja további részleteket tartalmaz a konfigurációk alkalmazásáról, valamint a CSP használatával kapcsolatos gyakori kérdéseket.

A profil konfigurálásakor a Konfigurációs beállítások lapon több szabályt is létrehozhat a módosítani kívánt beépített helyi csoportok, a végrehajtandó csoportművelet és a felhasználók kiválasztásának módja kezelésére.

Képernyőkép a profil konfigurálására szolgáló Konfigurációs beállítások lapról.

A következő konfigurációkat hozhatja létre:

  • Helyi csoport: Válasszon ki egy vagy több csoportot a legördülő listából. Ezek a csoportok ugyanazt a csoport- és felhasználói műveletet alkalmazzák a hozzárendelt felhasználókra. Egy profilban több helyi csoportcsoportot is létrehozhat, és különböző műveleteket és felhasználói csoportokat rendelhet hozzá a helyi csoportok egyes csoportjaihoz.

Megjegyzés:

A helyi csoportok listája a bejelentkezéskor garantáltan kiértékelendő hat beépített helyi csoportra korlátozódik, a Microsoft Entra-hoz csatlakoztatott eszközök helyi rendszergazdák csoportjának kezelése című dokumentációban leírtak szerint.

  • Csoport- és felhasználói művelet: Konfigurálja úgy a műveletet, hogy a kiválasztott csoportokra vonatkozzanak. Ez a művelet azokra a felhasználókra vonatkozik, amelyeket ugyanahhoz a művelethez és a helyi fiókok csoportosításához választott. A választható műveletek a következők:

    • Hozzáadás (frissítés): Tagokat ad hozzá a kijelölt csoportokhoz. A szabályzat által nem meghatározott felhasználók csoporttagságát a rendszer nem módosítja.
    • Eltávolítás (frissítés): Tagok eltávolítása a kijelölt csoportokból. A szabályzat által nem meghatározott felhasználók csoporttagságát a rendszer nem módosítja.
    • Hozzáadás (csere): Cserélje le a kijelölt csoportok tagjait a művelethez megadott új tagokra. Ez a beállítás ugyanúgy működik, mint a korlátozott csoportok, és a szabályzatban nem megadott csoporttagok törlődnek.

    Figyelem!

    Ha ugyanazt a csoportot a Csere és a Frissítés művelettel is konfigurálja, a Csere művelet nyer. Ez nem tekinthető ütközésnek. Ilyen konfiguráció akkor fordulhat elő, ha több szabályzatot telepít ugyanarra az eszközre, vagy ha ezt a CSP-t a Microsoft Graph is konfigurálja.

  • Felhasználóválasztás típusa: Válassza ki a felhasználók kiválasztásának módját. A lehetőségek a következők:

    • Felhasználók: Válassza ki a felhasználókat és a felhasználói csoportokat a Microsoft Entra-azonosítóból. (Csak a Microsoft Entra-hoz csatlakoztatott eszközök esetében támogatott).
    • Manuális: Adja meg manuálisan a Microsoft Entra felhasználóit és csoportjait felhasználónév, tartomány\felhasználónév vagy a csoportok biztonsági azonosítója (SID) alapján. (A Microsoft Entra-hoz csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközök esetében támogatott).

  • Kijelölt felhasználó(k): A Felhasználó kiválasztása típustól függően az alábbi lehetőségek egyikét fogja használni:

    • Felhasználó(k) kiválasztása: Válassza ki a Microsoft Entra felhasználóit és felhasználói csoportjait.

    • Felhasználók hozzáadása: Ezzel megnyitja a Felhasználók hozzáadása panelt, ahol megadhat egy vagy több felhasználói azonosítót, amint azok megjelennek az eszközön. A felhasználót biztonsági azonosító (SID), Tartomány\felhasználónév vagy Felhasználónév alapján adhatja meg.

      Képernyőkép a Felhasználók hozzáadása lapról.

A Manuális beállítás kiválasztása olyan helyzetekben lehet hasznos, amikor a helyszíni Active Directory-felhasználókat az Active Directoryból egy hibrid Microsoft Entra-csatlakoztatott eszköz helyi csoportjába szeretné kezelni. A felhasználó kiválasztásának a leggyakrabban előnyben részesített sorrendben történő azonosításának támogatott formátumai a SID, a tartomány\felhasználónév vagy a tag felhasználónevén keresztül határozhatók meg. Az Active Directoryból származó értékeket hibrid csatlakoztatott eszközökhöz, míg a Microsoft Entra-azonosítóból származó értékeket a Microsoft Entra-csatlakozáshoz kell használni. A Microsoft Entra csoportazonosítói a Graph API for Groups használatával szerezhetők be.

Konfliktusok

Ha a szabályzatok ütközést okoznak egy csoporttagsághoz, a rendszer nem küldi el az egyes szabályzatok ütköző beállításait az eszközre. Ehelyett a Microsoft Intune Felügyeleti központban ezeknél a szabályzatoknál jelentkezik az ütközés. Az ütközés feloldásához konfiguráljon újra egy vagy több szabályzatot.

Jelentés

Amikor az eszközök bejelentkeznek és alkalmazzák a szabályzatot, a felügyeleti központ megjeleníti az eszközök és a felhasználók állapotát sikeresként vagy hibásan.

Mivel a szabályzat több szabályt is tartalmazhat, vegye figyelembe a következőket:

  • Az eszközökre vonatkozó szabályzat feldolgozásakor a beállításonkénti állapotnézet úgy jeleníti meg a szabálycsoport állapotát, mintha egyetlen beállításról lenne szó.
  • A szabályzat minden olyan szabályát, amely hibát eredményez, kihagyja, és nem küldi el az eszközöknek.
  • A rendszer minden sikeres szabályt elküld az alkalmazni kívánt eszközökre.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása