Gerenciar identidades de usuário e de grupo em Microsoft Intune

Gerenciar e proteger identidades de usuário é uma parte significativa de qualquer estratégia e solução de gerenciamento de ponto de extremidade. O gerenciamento de identidade inclui as contas de usuário e grupos que acessam os recursos da organização.

Os administradores precisam gerenciar a associação de conta, autorizar e autenticar o acesso aos recursos, gerenciar configurações que afetam as identidades do usuário e proteger & proteger as identidades contra intenções mal-intencionadas.

Microsoft Intune pode fazer todas essas tarefas e muito mais. O Intune é um serviço baseado em nuvem que pode gerenciar identidades de usuário por meio da política, incluindo políticas de segurança e autenticação. Para obter mais informações sobre o Intune e seus benefícios, acesse O que é Microsoft Intune?.

Do ponto de vista do serviço, o Intune usa Microsoft Entra ID para armazenamento e permissões de identidade. Usando o Microsoft Intune centro de administração, você pode gerenciar essas tarefas em um local central projetado para gerenciamento de ponto de extremidade.

Este artigo discute conceitos e recursos que você deve considerar ao gerenciar suas identidades.

Usar seus usuários e grupos existentes

Grande parte do gerenciamento de pontos de extremidade é gerenciar usuários e grupos. Se você tiver usuários e grupos existentes ou criar novos usuários e grupos, o Intune poderá ajudar.

Em ambientes locais, contas de usuário e grupos são criados e gerenciados em Active Directory local. Você pode atualizar esses usuários e grupos usando qualquer controlador de domínio no domínio.

É um conceito semelhante no Intune.

O centro de administração do Intune inclui um local central para gerenciar usuários e grupos. O centro de administração é baseado na Web e pode ser acessado de qualquer dispositivo que tenha uma conexão com a Internet. Os administradores só precisam entrar no centro de administração com sua conta de administrador do Intune.

Uma decisão importante é determinar como colocar as contas e grupos de usuários no Intune. Suas opções:

• Se você atualmente usa o Microsoft 365 e tem seus usuários e grupos no Centro de administração do Microsoft 365, esses usuários e grupos também estão disponíveis no centro de administração do Intune.

  Microsoft Entra ID e o Intune usam um "locatário", que é sua organização, como Contoso ou Microsoft. Se você tiver vários locatários, entre no centro de administração do Intune no mesmo locatário do Microsoft 365 que os usuários e grupos existentes. Seus usuários e grupos são mostrados e disponíveis automaticamente.

  Para obter mais informações sobre o que é um locatário, acesse Início Rápido: configurar um locatário.

• Se você usar Active Directory local no momento, poderá usar Microsoft Entra Conectar para sincronizar suas contas locais do AD para Microsoft Entra ID. Quando essas contas estão em Microsoft Entra ID, elas também estão disponíveis no centro de administração do Intune.

  Para obter informações mais específicas, acesse O que é Microsoft Entra Connect Sync?.

• Você também pode importar usuários e grupos existentes de um arquivo CSV para o centro de administração do Intune ou criar os usuários e grupos do zero. Ao adicionar grupos, você pode adicionar usuários e dispositivos a esses grupos para organizá-los por local, departamento, hardware e muito mais.

  Para obter mais informações sobre o gerenciamento de grupos no Intune, acesse Adicionar grupos para organizar usuários e dispositivos.

Por padrão, o Intune cria automaticamente os grupos Todos os usuários e Todos os dispositivos . Quando seus usuários e grupos estiverem disponíveis para o Intune, você poderá atribuir suas políticas a esses usuários e grupos.

Mover-se de contas de computador

Quando um ponto de extremidade do Windows, como um dispositivo Windows 10/11, ingressa em um domínio Active Directory local (AD), uma conta de computador é criada automaticamente. A conta computador/máquina pode ser usada para autenticar programas, serviços e aplicativos locais.

Essas contas de computador são locais para o ambiente local e não podem ser usadas em dispositivos que são associados a Microsoft Entra ID. Nessa situação, você precisa mudar para a autenticação baseada no usuário para autenticar para programas, serviços e aplicativos locais.

Para obter mais informações e diretrizes, acesse Problemas e limitações conhecidos com pontos de extremidade nativos da nuvem.

Funções e permissões controlam o acesso

Para diferentes tipos de tarefas de administrador, o Intune usa o RBAC (controle de acesso baseado em função). As funções atribuídas determinam os recursos que um administrador pode acessar no centro de administração do Intune e o que eles podem fazer com esses recursos. Há algumas funções internas que se concentram no gerenciamento de pontos de extremidade, como Gerenciador de Aplicativos, Gerenciador de Políticas e Perfis e muito mais.

Como o Intune usa Microsoft Entra ID, você também tem acesso às funções de Microsoft Entra internas, como Administrador Global e Administrador de Serviços do Intune.

Cada função tem suas próprias permissões de criação, leitura, atualização ou exclusão, conforme necessário. Você também pode criar funções personalizadas se seus administradores precisarem de uma permissão específica. Ao adicionar ou criar seu tipo de administrador de usuários e grupos, você pode atribuir essas contas às diferentes funções. O centro de administração do Intune tem essas informações em um local central e pode ser facilmente atualizado.

Para obter mais informações, acesse RBAC (controle de acesso baseado em função) com Microsoft Intune

Criar afinidade de usuário quando os dispositivos se registrarem

Quando os usuários entram em seus dispositivos pela primeira vez, o dispositivo se torna associado a esse usuário. Esse recurso é chamado de afinidade de usuário.

Todas as políticas atribuídas ou implantadas na identidade do usuário vão com o usuário para todos os seus dispositivos. Quando um usuário está associado ao dispositivo, ele pode acessar suas contas de email, seus arquivos, seus aplicativos e muito mais.

Quando você não associa um usuário a um dispositivo, o dispositivo é considerado sem usuário. Esse cenário é comum para dispositivos de quiosque dedicados a uma tarefa específica e dispositivos compartilhados com vários usuários.

No Intune, você pode criar políticas para ambos os cenários no Android, iOS/iPadOS, macOS e Windows. Ao se preparar para gerenciar esses dispositivos, certifique-se de saber a finalidade pretendida do dispositivo. Essas informações ajudam no processo de tomada de decisão quando os dispositivos estão sendo registrados.

Para obter informações mais específicas, acesse os guias de registro de suas plataformas:

• Guia de implantação: Gerenciar dispositivos Android no Microsoft Intune
• Guia de implantação: Registrar dispositivos iOS e iPadOS no Microsoft Intune
• Guia de implantação: gerenciar dispositivos macOS no Microsoft Intune
• Guia de implantação: Registrar dispositivos Windows no Microsoft Intune

Atribuir políticas a usuários e grupos

Localmente, você trabalha com contas de domínio e contas locais e, em seguida, implanta políticas de grupo e permissões para essas contas no nível local, site, domínio ou OU (LSDOU). Uma política de U substitui uma política de domínio, uma política de domínio substitui uma política de site e assim por diante.

O Intune é baseado em nuvem. As políticas criadas no Intune incluem configurações que controlam recursos do dispositivo, regras de segurança e muito mais. Essas políticas são atribuídas a seus usuários e grupos. Não há uma hierarquia tradicional como o LSDOU.

O catálogo de configurações no Intune inclui milhares de configurações para gerenciar dispositivos iOS/iPadOS, macOS e Windows. Se você atualmente usa GPOs (objetos Política de Grupo locais), o uso do catálogo de configurações é uma transição natural para políticas baseadas em nuvem.

Para obter mais informações sobre políticas no Intune, acesse:

• Usar o catálogo de configurações para definir configurações em dispositivos Windows, iOS/iPadOS e macOS
• Perguntas e respostas comuns sobre perfis e políticas de dispositivo no Microsoft Intune

Proteger suas identidades de usuário

Suas contas de usuário e grupo acessam recursos da organização. Você precisa manter essas identidades seguras e impedir o acesso mal-intencionado às identidades. Aqui estão algumas coisas a serem consideradas:

• Windows Hello para Empresas substitui o nome de usuário e a entrada de senha e faz parte de uma estratégia sem senha.

  As senhas são inseridas em um dispositivo e, em seguida, transmitidas pela rede para o servidor. Eles podem ser interceptados e usados por qualquer pessoa e em qualquer lugar. Uma violação de servidor pode revelar credenciais armazenadas.

  Com Windows Hello para Empresas, os usuários entrarão e se autenticam com um PIN ou biométrico, como reconhecimento facial e de impressão digital. Essas informações são armazenadas localmente no dispositivo e não são enviadas para dispositivos ou servidores externos.

  Quando Windows Hello para Empresas é implantado em seu ambiente, você pode usar o Intune para criar políticas de Windows Hello para Empresas para seus dispositivos. Essas políticas podem configurar configurações de PIN, permitindo a autenticação biométrica, usar chaves de segurança e muito mais.

  Para obter mais informações, confira:

  • Visão geral do Windows Hello para Empresas
  • Gerenciar Windows Hello para Empresas em dispositivos quando os dispositivos se registrarem no Intune
  • Usar perfis de proteção de identidade para gerenciar Windows Hello para Empresas no Microsoft Intune

• A autenticação baseada em certificado também faz parte de uma estratégia sem senha. Você pode usar certificados para autenticar seus usuários em aplicativos e recursos de organização por meio de uma VPN, uma conexão Wi-Fi ou perfis de email. Com certificados, os usuários não precisam inserir nomes de usuário e senhas e podem facilitar o acesso a esses recursos.

  Para obter mais informações, acesse Usar certificados para autenticação no Microsoft Intune.

• A MFA (autenticação multifator) é um recurso disponível com Microsoft Entra ID. Para que os usuários se autentiquem com êxito, pelo menos dois métodos de verificação diferentes são necessários. Quando o MFA é implantado em seu ambiente, você também pode exigir MFA quando os dispositivos estão se registrando no Intune.

  Para obter mais informações, confira:

  • Planejar uma implantação de autenticação multifator Microsoft Entra
  • Exigir autenticação multifator para registros de dispositivos do Intune

• Confiança Zero verifica todos os pontos de extremidade, incluindo dispositivos e aplicativos. A ideia é ajudar a manter os dados da organização na organização e evitar que vazamentos de dados sejam de intenção acidental ou mal-intencionada. Ele inclui diferentes áreas de recursos, incluindo Windows Hello para Empresas, usando MFA e muito mais.

  Para obter mais informações, consulte Confiança Zero com Microsoft Intune.

Próximas etapas

• Gerenciar dispositivos
• Gerenciar aplicativos