Gebruikers- en groepsidentiteiten beheren in Microsoft Intune

Het beheren en beveiligen van gebruikersidentiteiten is een belangrijk onderdeel van elke strategie en oplossing voor eindpuntbeheer. Identiteitsbeheer omvat de gebruikersaccounts en groepen die toegang hebben tot de resources van uw organisatie.

Beheerders moeten accountlidmaatschappen beheren, toegang tot resources autoriseren en verifiëren, instellingen beheren die van invloed zijn op gebruikersidentiteiten en & de identiteiten beschermen tegen kwaadwillende bedoelingen.

Microsoft Intune kunt al deze taken uitvoeren, en meer. Intune is een cloudservice die gebruikersidentiteiten kan beheren via beleid, inclusief beveiligings- en verificatiebeleid. Ga naar Wat is Microsoft Intune? voor meer informatie over Intune en de voordelen ervan.

Vanuit het oogpunt van de service gebruikt Intune Microsoft Entra-id voor identiteitsopslag en machtigingen. Met behulp van het Microsoft Intune-beheercentrum kunt u deze taken beheren op een centrale locatie die is ontworpen voor eindpuntbeheer.

In dit artikel worden concepten en functies besproken die u moet overwegen bij het beheren van uw identiteiten.

Uw bestaande gebruikers en groepen gebruiken

Een groot deel van het beheer van eindpunten is het beheren van gebruikers en groepen. Als u bestaande gebruikers en groepen hebt of nieuwe gebruikers en groepen gaat maken, kan Intune u helpen.

In on-premises omgevingen worden gebruikersaccounts en groepen gemaakt en beheerd in on-premises Active Directory. U kunt deze gebruikers en groepen bijwerken met behulp van een domeincontroller in het domein.

Het is een soortgelijk concept in Intune.

Het Intune-beheercentrum bevat een centrale locatie voor het beheren van gebruikers en groepen. Het beheercentrum is webgebaseerd en is toegankelijk vanaf elk apparaat met een internetverbinding. Beheerders hoeven zich alleen aan te melden bij het beheercentrum met hun Intune-beheerdersaccount.

Een belangrijke beslissing is om te bepalen hoe de gebruikersaccounts en groepen in Intune moeten worden opgenomen. Uw opties:

• Als u momenteel Microsoft 365 gebruikt en uw gebruikers en groepen in de Microsoft 365-beheercentrum hebt, zijn deze gebruikers en groepen ook beschikbaar in het Intune-beheercentrum.

  Microsoft Entra-id en Intune gebruiken een 'tenant', dat is uw organisatie, zoals Contoso of Microsoft. Als u meerdere tenants hebt, meldt u zich aan bij het Intune-beheercentrum in dezelfde Microsoft 365-tenant als uw bestaande gebruikers en groepen. Uw gebruikers en groepen worden automatisch weergegeven en beschikbaar.

  Ga naar Quickstart: Een tenant instellen voor meer informatie over wat een tenant is.

• Als u momenteel on-premises Active Directory gebruikt, kunt u Microsoft Entra Connect gebruiken om uw on-premises AD-accounts te synchroniseren met Microsoft Entra-id. Wanneer deze accounts zich in Microsoft Entra-id bevinden, zijn ze ook beschikbaar in het Intune-beheercentrum.

  Ga naar Wat is Microsoft Entra Connect Sync? voor meer specifieke informatie.

• U kunt ook bestaande gebruikers en groepen uit een CSV-bestand importeren in het Intune-beheercentrum of de gebruikers en groepen helemaal opnieuw maken. Wanneer u groepen toevoegt, kunt u gebruikers en apparaten toevoegen aan deze groepen om ze te ordenen op locatie, afdeling, hardware en meer.

  Ga naar Groepen toevoegen om gebruikers en apparaten te organiseren voor meer informatie over groepsbeheer in Intune.

Standaard maakt Intune automatisch de groepen Alle gebruikers en Alle apparaten . Wanneer uw gebruikers en groepen beschikbaar zijn voor Intune, kunt u uw beleid toewijzen aan deze gebruikers en groepen.

Verplaatsen van computeraccounts

Wanneer een Windows-eindpunt, zoals een Windows 10/11-apparaat, lid wordt van een ad-domein (on-premises Active Directory), wordt automatisch een computeraccount gemaakt. Het computer-/computeraccount kan worden gebruikt om on-premises programma's, services en apps te verifiëren.

Deze computeraccounts zijn lokaal in de on-premises omgeving en kunnen niet worden gebruikt op apparaten die zijn gekoppeld aan Microsoft Entra-id. In deze situatie moet u overschakelen naar verificatie op basis van gebruikers om te verifiëren bij on-premises programma's, services en apps.

Ga voor meer informatie en richtlijnen naar Bekende problemen en beperkingen met cloudeigen eindpunten.

Rollen en machtigingen beheren de toegang

Voor de verschillende beheerderstaken maakt Intune gebruik van op rollen gebaseerd toegangsbeheer (RBAC). De rollen die u toewijst, bepalen tot welke resources een beheerder toegang heeft in het Intune-beheercentrum en wat ze met deze resources kunnen doen. Er zijn enkele ingebouwde rollen die zich richten op eindpuntbeheer, zoals Toepassingsmanager, Beleid en Profielbeheer, en meer.

Aangezien Intune gebruikmaakt van Microsoft Entra-id, hebt u ook toegang tot de ingebouwde Microsoft Entra rollen, zoals Globale beheerder en Intune-servicebeheerder.

Elke rol heeft zo nodig zijn eigen machtigingen voor maken, lezen, bijwerken of verwijderen. U kunt ook aangepaste rollen maken als uw beheerders een specifieke machtiging nodig hebben. Wanneer u uw beheerderstype gebruikers en groepen toevoegt of maakt, kunt u deze accounts toewijzen aan de verschillende rollen. Het Intune-beheercentrum heeft deze informatie op een centrale locatie en kan eenvoudig worden bijgewerkt.

Ga voor meer informatie naar Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune

Gebruikersaffiniteit maken wanneer apparaten worden ingeschreven

Wanneer gebruikers zich de eerste keer aanmelden bij hun apparaat, wordt het apparaat gekoppeld aan die gebruiker. Deze functie wordt gebruikersaffiniteit genoemd.

Alle beleidsregels die zijn toegewezen aan of geïmplementeerd voor de gebruikersidentiteit, gaan met de gebruiker mee naar al hun apparaten. Wanneer een gebruiker is gekoppeld aan het apparaat, heeft deze toegang tot zijn of haar e-mailaccounts, bestanden, apps en meer.

Wanneer u een gebruiker niet aan een apparaat koppelt, wordt het apparaat beschouwd als gebruikerloos. Dit scenario is gebruikelijk voor kioskapparaten die zijn toegewezen aan een specifieke taak en apparaten die worden gedeeld met meerdere gebruikers.

In Intune kunt u beleidsregels maken voor beide scenario's op Android, iOS/iPadOS, macOS en Windows. Wanneer u zich voorbereidt op het beheer van deze apparaten, moet u het beoogde doel van het apparaat weten. Deze informatie helpt bij het besluitvormingsproces wanneer apparaten worden ingeschreven.

Ga voor meer specifieke informatie naar de inschrijvingshandleidingen voor uw platforms:

• Implementatiehandleiding: Android-apparaten inschrijven in Microsoft Intune
• Implementatiehandleiding: iOS- en iPadOS-apparaten inschrijven in Microsoft Intune
• Implementatiehandleiding: MacOS-apparaten inschrijven in Microsoft Intune
• Implementatiehandleiding: Windows-apparaten inschrijven in Microsoft Intune

Beleid toewijzen aan gebruikers en groepen

On-premises werkt u met domeinaccounts en lokale accounts en implementeert u vervolgens groepsbeleid en machtigingen voor deze accounts op lokaal, site-, domein- of OE-niveau (LSDOU). Een OE-beleid overschrijft een domeinbeleid, een domeinbeleid overschrijft een sitebeleid, enzovoort.

Intune is gebaseerd op de cloud. Beleidsregels die in Intune zijn gemaakt, omvatten instellingen voor het beheren van apparaatfuncties, beveiligingsregels en meer. Deze beleidsregels worden toegewezen aan uw gebruikers en groepen. Er is geen traditionele hiërarchie zoals LSDOU.

De instellingencatalogus in Intune bevat duizenden instellingen voor het beheren van iOS-/iPadOS-, macOS- en Windows-apparaten. Als u momenteel on-premises groepsbeleid objecten (GPO's) gebruikt, is het gebruik van de instellingencatalogus een natuurlijke overgang naar beleid in de cloud.

Ga voor meer informatie over beleidsregels in Intune naar:

• Gebruik de instellingencatalogus om instellingen te configureren op Windows-, iOS-/iPadOS- en macOS-apparaten
• Veelgestelde vragen en antwoorden met apparaatbeleid en -profielen in Microsoft Intune

Uw gebruikersidentiteiten beveiligen

Uw gebruikers- en groepsaccounts hebben toegang tot organisatieresources. U moet deze identiteiten veilig houden en schadelijke toegang tot de identiteiten voorkomen. U moet rekening houden met het volgende:

• Windows Hello voor Bedrijven vervangt aanmelding met gebruikersnaam en wachtwoord en maakt deel uit van een strategie zonder wachtwoord.

  Wachtwoorden worden ingevoerd op een apparaat en vervolgens via het netwerk naar de server verzonden. Ze kunnen door iedereen en overal worden onderschept en gebruikt. Een serverschending kan opgeslagen referenties onthullen.

  Met Windows Hello voor Bedrijven kunnen gebruikers zich aanmelden en verifiëren met een pincode of biometrische gegevens, zoals gezichts- en vingerafdrukherkenning. Deze informatie wordt lokaal opgeslagen op het apparaat en wordt niet verzonden naar externe apparaten of servers.

  Wanneer Windows Hello voor Bedrijven wordt geïmplementeerd in uw omgeving, kunt u Intune gebruiken om Windows Hello voor Bedrijven-beleid voor uw apparaten te maken. Met deze beleidsregels kunt u pincodeinstellingen configureren, biometrische verificatie toestaan, beveiligingssleutels gebruiken en meer.

  Ga voor meer informatie naar:

  • overzicht van Windows Hello voor Bedrijven
  • Beheer Windows Hello voor Bedrijven op apparaten wanneer apparaten worden ingeschreven bij Intune
  • Identiteitsbeveiligingsprofielen gebruiken om Windows Hello voor Bedrijven in Microsoft Intune te beheren

• Verificatie op basis van certificaten maakt ook deel uit van een strategie zonder wachtwoord. U kunt certificaten gebruiken om uw gebruikers te verifiëren bij toepassingen en organisatieresources via een VPN, een Wi-Fi-verbinding of e-mailprofielen. Met certificaten hoeven gebruikers geen gebruikersnamen en wachtwoorden in te voeren en kunnen ze de toegang tot deze resources eenvoudiger maken.

  Ga voor meer informatie naar Certificaten gebruiken voor verificatie in Microsoft Intune.

• meervoudige verificatie (MFA) is een functie die beschikbaar is met Microsoft Entra-id. Gebruikers kunnen zich alleen verifiëren als er ten minste twee verschillende verificatiemethoden nodig zijn. Wanneer MFA is geïmplementeerd in uw omgeving, kunt u ook MFA vereisen wanneer apparaten worden ingeschreven bij Intune.

  Ga voor meer informatie naar:

  • Een Microsoft Entra implementatie van meervoudige verificatie plannen
  • Meervoudige verificatie vereisen voor Intune-apparaatinschrijvingen

• Zero Trust controleert alle eindpunten, inclusief apparaten en apps. Het idee is om organisatiegegevens in de organisatie te houden en gegevenslekken te voorkomen door onbedoelde of kwaadwillende bedoelingen. Het bevat verschillende functiegebieden, waaronder Windows Hello voor Bedrijven, het gebruik van MFA en meer.

  Zie Zero Trust met Microsoft Intune voor meer informatie.

Volgende stappen

• Apparaten beheren
• Apps beheren