Fiókvédelmi szabályzat a végpontbiztonsághoz a Intune

  • Cikk

A fiókvédelemhez használja Intune végpontbiztonsági szabályzatokat a felhasználók identitásának és fiókjainak védelméhez, valamint az eszközök beépített csoporttagságainak kezeléséhez.

Keresse meg a fiókvédelem végpontbiztonsági szabályzatait a Felügyelet területen, a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában.

A fiókvédelmi profilok előfeltételei

  • A fiókvédelmi (előzetes verzió) profil támogatásához az eszközöknek Windows 10 vagy Windows 11 kell futniuk.
  • A Helyi felhasználói csoport tagsági (előzetes verzió) profil támogatásához az eszközöknek 20H2 vagy újabb Windows 10 vagy Windows 11 kell futniuk.

Fiókvédelmi profilok

A fiókvédelmi profilok előzetes verzióban érhetők el.

Windows 10/11 profilok:

  • Fiókvédelem (előzetes verzió) – A fiókvédelmi szabályzatok beállításai segítenek a felhasználói hitelesítő adatok védelmében.

    A fiókvédelmi szabályzat a windowsos identitás- és hozzáférés-kezelés részét képező Windows Hello és Credential Guard beállításaira összpontosít.

    • Vállalati Windows Hello a jelszavakat erős kétfaktoros hitelesítésre cseréli pc-ken és mobileszközökön.
    • A Credential Guard segít megvédeni az eszközeivel használt hitelesítő adatokat és titkos kulcsokat.

    További információ: Identitás- és hozzáférés-kezelés a Windows identitás- és hozzáférés-kezelési dokumentációjában.

    A fiókvédelmi profil beállításainak megtekintése.

  • Helyi rendszergazdai jelszómegoldás (Windows LAPS) – Ezzel a profillal konfigurálhatja a Windows LAPS-t az eszközökön. A Windows LAPS lehetővé teszi egyetlen helyi rendszergazdai fiók felügyeletét eszközönként. Intune házirend a Rendszergazdai fiók neve házirendbeállítással megadhatja, hogy melyik helyi rendszergazdai fiókra vonatkozik.

    A Windows LAPS Intune használatával kapcsolatos további információkért lásd:

  • Helyi felhasználói csoporttagság – Ezzel a profillal hozzáadhatja, eltávolíthatja vagy lecserélheti a beépített helyi csoportok tagjait Windows-eszközökön. A Rendszergazdák helyi csoport például széles körű jogosultságokkal rendelkezik. Ezzel a szabályzattal szerkesztheti a Rendszergazda csoport tagságát, hogy kizárólag meghatározott tagokra zárolja azt.

    Ennek a profilnak a használatát a következő, Helyi csoportok kezelése Windows-eszközökön című szakaszban találja.

Helyi csoportok kezelése Windows-eszközökön

A Helyi felhasználói csoport tagsági profillal kezelheti azokat a felhasználókat, amelyek a beépített helyi csoportok tagjai a Windows 10 20H2 vagy újabb rendszerű eszközökön, valamint Windows 11 eszközöket.

Tipp

A rendszergazdai jogosultságok Microsoft Entra csoportok használatával történő kezelésével kapcsolatos további információkért lásd: Rendszergazdai jogosultságok kezelése Microsoft Entra csoportokkal a Microsoft Entra dokumentációjában.

A profil konfigurálása

Ez a profil kezeli a helyi csoporttagságokat az eszközökön a Házirend CSP – LocalUsersAndGroups használatával. A CSP dokumentációja további részleteket tartalmaz a konfigurációk alkalmazásáról, valamint a CSP használatával kapcsolatos gyakori kérdéseket.

A profil konfigurálásakor a Konfigurációs beállítások lapon több szabályt is létrehozhat a módosítani kívánt beépített helyi csoportok, a végrehajtandó csoportművelet és a felhasználók kiválasztásának módja kezelésére.

Képernyőkép a profil konfigurálására szolgáló Konfigurációs beállítások lapról.

A következő konfigurációkat hozhatja létre:

  • Helyi csoport: Válasszon ki egy vagy több csoportot a legördülő listából. Ezek a csoportok ugyanazt a csoport- és felhasználói műveletet alkalmazzák a hozzárendelt felhasználókra. Egy profilban több helyi csoportcsoportot is létrehozhat, és különböző műveleteket és felhasználói csoportokat rendelhet hozzá a helyi csoportok egyes csoportjaihoz.

Megjegyzés:

A helyi csoportok listája a bejelentkezéskor garantáltan kiértékelendő hat beépített helyi csoportra korlátozódik, a Helyi rendszergazdák csoport kezelése Microsoft Entra csatlakoztatott eszközökön című dokumentációban leírtak szerint.

  • Csoport- és felhasználói művelet: Konfigurálja úgy a műveletet, hogy a kiválasztott csoportokra vonatkozzanak. Ez a művelet azokra a felhasználókra vonatkozik, amelyeket ugyanahhoz a művelethez és a helyi fiókok csoportosításához választott. A választható műveletek a következők:

    • Hozzáadás (frissítés): Tagokat ad hozzá a kijelölt csoportokhoz. A szabályzat által nem meghatározott felhasználók csoporttagságát a rendszer nem módosítja.
    • Eltávolítás (frissítés): Tagok eltávolítása a kijelölt csoportokból. A szabályzat által nem meghatározott felhasználók csoporttagságát a rendszer nem módosítja.
    • Hozzáadás (csere): Cserélje le a kijelölt csoportok tagjait a művelethez megadott új tagokra. Ez a beállítás ugyanúgy működik, mint a korlátozott csoportok, és a szabályzatban nem megadott csoporttagok törlődnek.

    Figyelem!

    Ha ugyanazt a csoportot a Csere és a Frissítés művelettel is konfigurálja, a Csere művelet nyer. Ez nem tekinthető ütközésnek. Ilyen konfiguráció akkor fordulhat elő, ha több szabályzatot telepít ugyanarra az eszközre, vagy ha ezt a CSP-t a Microsoft Graph is konfigurálja.

  • Felhasználóválasztás típusa: Válassza ki a felhasználók kiválasztásának módját. A lehetőségek a következők:

    • Felhasználók: Válassza ki a felhasználókat és a felhasználói csoportokat a Microsoft Entra ID. (Csak Microsoft Entra csatlakoztatott eszközök esetén támogatott).
    • Manuális: Adja meg manuálisan Microsoft Entra felhasználókat és csoportokat felhasználónév, tartomány\felhasználónév vagy a csoportok biztonsági azonosítója (SID) alapján. (A hibrid csatlakoztatott eszközök Microsoft Entra és Microsoft Entra támogatottak).

  • Kijelölt felhasználó(k): A Felhasználó kiválasztása típustól függően az alábbi lehetőségek egyikét fogja használni:

    • Felhasználó(k) kiválasztása: Válassza ki a felhasználókat és a felhasználói csoportokat a Microsoft Entra.

    • Felhasználók hozzáadása: Ezzel megnyitja a Felhasználók hozzáadása panelt, ahol megadhat egy vagy több felhasználói azonosítót, amint azok megjelennek az eszközön. A felhasználót biztonsági azonosító (SID), Tartomány\felhasználónév vagy Felhasználónév alapján adhatja meg.

      Képernyőkép a Felhasználók hozzáadása lapról.

A Manuális beállítás kiválasztása olyan helyzetekben lehet hasznos, amikor a helyszíni Active Directory-felhasználókat az Active Directoryból egy helyi csoportba szeretné kezelni egy Microsoft Entra hibrid csatlakoztatott eszközhöz. A felhasználó kiválasztásának a leggyakrabban előnyben részesített sorrendben történő azonosításának támogatott formátumai a SID, a tartomány\felhasználónév vagy a tag felhasználónevén keresztül határozhatók meg. Az Active Directoryból származó értékeket hibrid csatlakoztatott eszközökhöz kell használni, míg a Microsoft Entra ID értékeit Microsoft Entra csatlakoztatáshoz. Microsoft Entra csoportazonosítók a csoportok Graph API használatával szerezhetők be.

Konfliktusok

Ha a szabályzatok ütközést okoznak egy csoporttagsághoz, a rendszer nem küldi el az egyes szabályzatok ütköző beállításait az eszközre. Ehelyett a Microsoft Intune Felügyeleti központban ezeknél a szabályzatoknál jelentkezik az ütközés. Az ütközés feloldásához konfiguráljon újra egy vagy több szabályzatot.

Jelentés

Amikor az eszközök bejelentkeznek és alkalmazzák a szabályzatot, a felügyeleti központ megjeleníti az eszközök és a felhasználók állapotát sikeresként vagy hibásan.

Mivel a szabályzat több szabályt is tartalmazhat, vegye figyelembe a következőket:

  • Az eszközökre vonatkozó szabályzat feldolgozásakor a beállításonkénti állapotnézet úgy jeleníti meg a szabálycsoport állapotát, mintha egyetlen beállításról lenne szó.
  • A szabályzat minden olyan szabályát, amely hibát eredményez, kihagyja, és nem küldi el az eszközöknek.
  • A rendszer minden sikeres szabályt elküld az alkalmazni kívánt eszközökre.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása