Felhasználói és csoportidentitások kezelése a Microsoft Intune

A felhasználói identitások kezelése és védelme minden végpontkezelési stratégia és megoldás jelentős részét képezi. Az identitáskezelés magában foglalja a szervezeti erőforrásokhoz hozzáférő felhasználói fiókokat és csoportokat.

A rendszergazdáknak kezelniük kell a fióktagságokat, engedélyezniük és hitelesíteniük kell az erőforrásokhoz való hozzáférést, kezelniük kell a felhasználói identitásokat érintő beállításokat, és biztonságosnak kell & védeniük az identitásokat a rosszindulatú szándékokkal szemben.

Microsoft Intune el tudja végezni ezeket a feladatokat, és így tovább. Az Intune egy felhőalapú szolgáltatás, amely szabályzatokkal, többek között biztonsági és hitelesítési szabályzatokkal képes kezelni a felhasználói identitásokat. Az Intune-nal és annak előnyeiről a Mi az Microsoft Intune? című témakörben talál további információt.

Szolgáltatás szempontjából az Intune Microsoft Entra azonosítót használ az identitástároláshoz és az engedélyekhez. A Microsoft Intune Felügyeleti központ segítségével ezeket a feladatokat egy végpontkezelésre tervezett központi helyen kezelheti.

Ez a cikk az identitások kezelése során megfontolandó fogalmakat és funkciókat ismerteti.

Meglévő felhasználók és csoportok használata

A végpontok kezelésének nagy része a felhasználók és csoportok kezelése. Ha már rendelkezik felhasználók és csoportok használatával, vagy új felhasználókat és csoportokat hoz létre, az Intune segíthet.

A helyszíni környezetekben a felhasználói fiókok és csoportok létrehozása és kezelése helyi Active Directory történik. Ezeket a felhasználókat és csoportokat a tartomány bármely tartományvezérlőjének használatával frissítheti.

Hasonló fogalom az Intune-ban.

Az Intune Felügyeleti központ egy központi helyet tartalmaz a felhasználók és csoportok kezeléséhez. A felügyeleti központ webalapú, és bármely internetkapcsolattal rendelkező eszközről elérhető. A rendszergazdáknak csak be kell jelentkezniük a felügyeleti központba az Intune rendszergazdai fiókjával.

Fontos döntés a felhasználói fiókok és csoportok Intune-ba való beolvasásának meghatározása. Az Ön lehetőségei:

• Ha jelenleg a Microsoft 365-öt használja, és az Microsoft 365 Felügyeleti központ használja a felhasználókat és csoportokat, akkor ezek a felhasználók és csoportok az Intune Felügyeleti központban is elérhetők.

  Microsoft Entra azonosító és az Intune egy "bérlőt" használ, amely az Ön szervezete, például a Contoso vagy a Microsoft. Ha több bérlője van, jelentkezzen be az Intune felügyeleti központba ugyanabban a Microsoft 365-bérlőben, mint a meglévő felhasználók és csoportok. A felhasználók és csoportok automatikusan megjelennek és elérhetők.

  A bérlőkről további információt a Gyorsútmutató: Bérlő beállítása című témakörben talál.

• Ha jelenleg helyi Active Directory használ, akkor a Microsoft Entra Connect használatával szinkronizálhatja a helyszíni AD-fiókokat Microsoft Entra azonosítóval. Ha ezek a fiókok Microsoft Entra azonosítóban vannak, akkor az Intune Felügyeleti központban is elérhetők.

  További információt a Mi az Microsoft Entra Csatlakozás szinkronizálása? című témakörben talál.

• A meglévő felhasználókat és csoportokat CSV-fájlból is importálhatja az Intune Felügyeleti központba, vagy létrehozhatja a felhasználókat és csoportokat az alapoktól. Csoportok hozzáadásakor hozzáadhat felhasználókat és eszközöket ezekhez a csoportokhoz, hogy hely, részleg, hardver stb. szerint rendezze őket.

  Az Intune-beli csoportkezeléssel kapcsolatos további információkért tekintse meg a Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez című témakört.

Alapértelmezés szerint az Intune automatikusan létrehozza a Minden felhasználó és a Minden eszköz csoportot. Ha a felhasználók és csoportok elérhetők az Intune-ban, hozzárendelheti a szabályzatokat ezekhez a felhasználókhoz és csoportokhoz.

Áthelyezés a számítógépfiókokból

Amikor egy Windows-végpont, például egy Windows 10/11-eszköz csatlakozik egy helyi Active Directory (AD) tartományhoz, a rendszer automatikusan létrehoz egy számítógépfiókot. A számítógép-/számítógépfiók a helyszíni programok, szolgáltatások és alkalmazások hitelesítésére használható.

Ezek a gépfiókok helyiek a helyszíni környezetben, és nem használhatók Microsoft Entra azonosítóhoz csatlakoztatott eszközökön. Ebben az esetben felhasználói hitelesítésre kell váltania a helyszíni programok, szolgáltatások és alkalmazások hitelesítéséhez.

További információért és útmutatásért tekintse meg a natív felhőbeli végpontokkal kapcsolatos ismert problémákat és korlátozásokat ismertető cikket.

A szerepkörök és engedélyek szabályozzák a hozzáférést

A különböző rendszergazdai típusú feladatok esetében az Intune szerepköralapú hozzáférés-vezérlést (RBAC) használ. A hozzárendelt szerepkörök határozzák meg, hogy a rendszergazdák milyen erőforrásokhoz férhetnek hozzá az Intune Felügyeleti központban, és hogy mit tehetnek ezekkel az erőforrásokkal. Vannak olyan beépített szerepkörök, amelyek többek között a végpontkezelésre összpontosítanak, például az Alkalmazáskezelőre, a Szabályzat- és profilkezelőre.

Mivel az Intune Microsoft Entra azonosítót használ, a beépített Microsoft Entra szerepkörökhöz is hozzáférhet, például a globális rendszergazda és az Intune szolgáltatásadminisztrátor.

Minden szerepkör saját létrehozási, olvasási, frissítési vagy törlési engedélyekkel rendelkezik. Egyéni szerepköröket is létrehozhat, ha a rendszergazdáknak adott engedélyre van szükségük. Amikor rendszergazdai típusú felhasználókat és csoportokat ad hozzá vagy hoz létre, hozzárendelheti ezeket a fiókokat a különböző szerepkörökhöz. Az Intune Felügyeleti központ ezeket az információkat egy központi helyen találja, és könnyen frissíthető.

További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune

Felhasználói affinitás létrehozása eszközök regisztrálásakor

Amikor a felhasználók első alkalommal jelentkeznek be az eszközeikre, az eszköz az adott felhasználóhoz lesz társítva. Ezt a funkciót felhasználói affinitásnak nevezzük.

A felhasználói identitáshoz hozzárendelt vagy üzembe helyezett szabályzatok a felhasználóval együtt az összes eszközükön eljárnak. Ha egy felhasználó az eszközhöz van társítva, hozzáférhet az e-mail-fiókjához, a fájljaihoz, az alkalmazásaihoz és egyebekhez.

Ha nem társít felhasználót egy eszközhöz, akkor az eszköz felhasználó nélkülinek minősül. Ez a forgatókönyv gyakori az adott feladathoz dedikált kioszkeszközök és a több felhasználóval megosztott eszközök esetében.

Az Intune-ban mindkét forgatókönyvhöz létrehozhat szabályzatokat Android, iOS/iPadOS, macOS és Windows rendszeren. Amikor készen áll ezeknek az eszközöknek a kezelésére, győződjön meg arról, hogy ismeri az eszköz rendeltetését. Ezek az információk segítenek a döntéshozatalban, amikor az eszközöket regisztrálják.

További információt a platformok regisztrációs útmutatóiban talál:

• Telepítési útmutató: Android-eszközök regisztrálása a Microsoft Intune
• Telepítési útmutató: iOS- és iPadOS-eszközök regisztrálása a Microsoft Intune
• Telepítési útmutató: MacOS-eszközök regisztrálása a Microsoft Intune
• Telepítési útmutató: Windows-eszközök regisztrálása a Microsoft Intune

Szabályzatok hozzárendelése felhasználókhoz és csoportokhoz

A helyszínen tartományi fiókokkal és helyi fiókokkal dolgozik, majd helyi, hely-, tartomány- vagy szervezeti egységszinten (LSDOU) telepít csoportházirendeket és engedélyeket ezekre a fiókokra. A szervezeti egység házirendje felülír egy tartományházirendet, a tartományi házirend felülír egy helyházirendet stb.

Az Intune felhőalapú. Az Intune-ban létrehozott szabályzatok többek között eszközfunkciók, biztonsági szabályok és egyéb beállításokat tartalmaznak. Ezek a szabályzatok a felhasználókhoz és csoportokhoz vannak rendelve. Nincs olyan hagyományos hierarchia, mint az LSDOU.

Az Intune beállításkatalógusa több ezer beállítást tartalmaz az iOS/iPadOS, macOS és Windows rendszerű eszközök kezeléséhez. Ha jelenleg helyszíni Csoportházirend objektumokat (GPO-kat) használ, akkor a beállításkatalógus használata természetes átmenet a felhőalapú szabályzatokra.

Az Intune szabályzataival kapcsolatos további információkért látogasson el az alábbiakra:

• Beállítások konfigurálása Windows, iOS/iPadOS és macOS rendszerű eszközökön a beállításkatalógus használatával
• A Microsoft Intune eszközszabályzataival és profiljaival kapcsolatos gyakori kérdések és válaszok

A felhasználói identitások védelme

A felhasználói és csoportfiókok hozzáférnek a szervezeti erőforrásokhoz. Meg kell őriznie ezeket az identitásokat, és meg kell akadályoznia az identitásokhoz való rosszindulatú hozzáférést. Íme néhány megfontolandó szempont:

• Vállalati Windows Hello lecseréli a felhasználónevet és a jelszót, és egy jelszó nélküli stratégia része.

  A jelszavakat a rendszer egy eszközön adja meg, majd továbbítja a hálózaton keresztül a kiszolgálónak. Bárki és bárhol elfoghatja és használhatja őket. A kiszolgálói incidensek felfedhetik a tárolt hitelesítő adatokat.

  A Vállalati Windows Hello a felhasználók PIN-kóddal vagy biometrikus azonosítással, például arc- és ujjlenyomat-felismeréssel jelentkeznek be és hitelesítik magukat. Ezeket az információkat a rendszer helyileg tárolja az eszközön, és nem küldi el külső eszközöknek vagy kiszolgálóknak.

  Ha Vállalati Windows Hello van üzembe helyezve a környezetben, az Intune-ból létrehozhat Vállalati Windows Hello szabályzatokat az eszközeihez. Ezek a szabályzatok konfigurálhatják a PIN-kód beállításait, lehetővé téve a biometrikus hitelesítést, biztonsági kulcsok használatát és egyebeket.

  További információt a következő témakörben talál:

  • Vállalati Windows Hello áttekintése
  • Eszközök Vállalati Windows Hello kezelése az Intune-nal való regisztráláskor
  • Identitásvédelmi profilok használata Vállalati Windows Hello kezeléséhez a Microsoft Intune

• A tanúsítványalapú hitelesítés egy jelszó nélküli stratégia része is. A tanúsítványokkal VPN-en, Wi-Fi kapcsolaton vagy e-mail-profilokon keresztül hitelesítheti a felhasználókat az alkalmazásokban és a szervezeti erőforrásokban. A tanúsítványok használata esetén a felhasználóknak nem kell felhasználóneveket és jelszavakat megadniuk, és egyszerűbben hozzáférhetnek ezekhez az erőforrásokhoz.

  További információt a Tanúsítványok használata hitelesítéshez Microsoft Intune című témakörben talál.

• A többtényezős hitelesítés (MFA) Microsoft Entra id azonosítóval elérhető szolgáltatás. A felhasználók sikeres hitelesítéséhez legalább két különböző ellenőrzési módszer szükséges. Amikor az MFA üzembe van helyezve a környezetben, MFA-t is megkövetelhet, amikor az eszközök regisztrálnak az Intune-ban.

  További információt a következő témakörben talál:

  • Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése
  • Többtényezős hitelesítés megkövetelése az Intune-eszközregisztrációkhoz

• Teljes felügyelet ellenőrzi az összes végpontot, beleértve az eszközöket és az alkalmazásokat is. Az ötlet az, hogy segítsen megőrizni a szervezeti adatokat a szervezetben, és megakadályozza az adatszivárgást a véletlen vagy rosszindulatú szándékból. Különböző funkciókat tartalmaz, többek között a Vállalati Windows Hello, az MFA használatát és sok mást.

  További információt a Microsoft Intune Teljes felügyelet című témakörben talál.

Következő lépések

• Eszközök kezelése
• Alkalmazások kezelése