Sdílet prostřednictvím

Zásady ochrany účtů pro zabezpečení koncových bodů v Intune

  • Článek

Pomocí Intune zásad zabezpečení koncových bodů pro ochranu účtů můžete chránit identitu a účty uživatelů a spravovat předdefinované členství ve skupinách na zařízeních.

Důležité

V červenci 2024 byly následující profily Intune pro ochranu identit a ochrany účtů zastaralé a nahrazené novým konsolidovaný profil s názvem Ochrana účtů. Tento novější profil se nachází v uzlu zásad ochrany účtů zabezpečení koncového bodu a je jedinou šablonou profilu, která zůstává k dispozici pro vytváření nových instancí zásad pro ochranu identit a účtů. Nastavení z tohoto nového profilu jsou k dispozici také prostřednictvím katalogu nastavení.

Všechny instance následujících starších profilů, které jste vytvořili, zůstanou dostupné k použití a úpravám:

  • Ochrana identit – dříve dostupná v částiKonfigurace>zařízení>– Vytvoření>nové zásady>Windows 10 a novějších>šablon Identity>Protection
  • Ochrana účtu (Preview) – dříve dostupná v části Endpoint Security>Account Protection>Windows 10 a novější>ochrana účtu (Preview)

V uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune vyhledejte zásady zabezpečení koncových bodů pro ochranu účtů v části Spravovat.

Požadavky na profily ochrany účtů

  • Aby zařízení podporovala profil ochrany účtu, musí spouštět Windows 10 nebo Windows 11.
  • Aby zařízení podporovala profil členství v místní skupině uživatelů, musí běžet Windows 10 20H2 nebo novější nebo Windows 11.
  • Pokud chcete podporovat řešení *s heslem místního správce (Windows LAPS), přečtěte si téma Požadavky na podporu Microsoft Intune pro Windows LAPS.

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv ke správě profilů ochrany Intune účtů najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.

Profily ochrany účtů

Nástupiště:

  • Windows

Profily:

  • Ochrana účtu – nastavení zásad ochrany účtu pomáhá chránit přihlašovací údaje uživatelů. Zásady ochrany účtů se zaměřují na nastavení Windows Hello pro firmy s oborem zařízení a uživatelem a na Ochranu Credential Guard. Ochrana Credential Guard je součástí správy identit a přístupu ve Windows.

    • Windows Hello pro firmy nahrazuje hesla silným dvojúrovňovým ověřováním na počítačích a mobilních zařízeních.
    • Ochrana Credential Guard pomáhá chránit přihlašovací údaje a tajné kódy, které používáte se svými zařízeními.

    Další informace najdete v tématu Správa identit a přístupu v dokumentaci ke správě identit a přístupu ve Windows.

    Nastavení v tomto profilu jsou k dispozici také v katalogu Nastavení.

  • Řešení pro hesla místního správce (Windows LAPS) – Pomocí tohoto profilu můžete nakonfigurovat windows LAPS na zařízeních. Windows LAPS umožňuje správu jednoho účtu místního správce pro každé zařízení. Intune zásady můžou určit, na který účet místního správce se vztahuje, pomocí nastavení zásad Název účtu správce.

    Další informace o používání Intune ke správě windows LAPS najdete tady:

  • Členství v místní skupině uživatelů – Tento profil slouží k přidání, odebrání nebo nahrazení členů předdefinovaných místních skupin na zařízeních s Windows. Například místní skupina Administrators má obecná práva. Tuto zásadu můžete použít k úpravě členství skupiny Správa a uzamknout ji na sadu výhradně definovaných členů.

    Použití tohoto profilu je podrobně popsáno v následující části Správa místních skupin na zařízeních s Windows.

Správa místních skupin na zařízeních s Windows

Profil členství v místní skupině uživatelů můžete použít ke správě uživatelů, kteří jsou členy předdefinovaných místních skupin na zařízeních se systémem Windows 10 20H2 a novějším a Windows 11 zařízení.

Tip

Další informace o podpoře správy oprávnění správce pomocí skupin Microsoft Entra najdete v tématu Správa oprávnění správce pomocí Microsoft Entra skupin v dokumentaci k Microsoft Entra.

Konfigurace profilu

Tento profil spravuje členství v místní skupině na zařízeních prostřednictvím CSP zásad – LocalUsersAndGroups. Dokumentace k CSP obsahuje další podrobnosti o tom, jak se konfigurace používají, a nejčastější dotazy týkající se použití CSP.

Při konfiguraci tohoto profilu můžete na stránce Nastavení konfigurace vytvořit více pravidel pro správu předdefinovaných místních skupin, které chcete změnit, akce skupiny, která se má provést, a metody výběru uživatelů.

Snímek obrazovky se stránkou Nastavení konfigurace pro konfiguraci profilu

Následující konfigurace můžete provést:

  • Místní skupina: V rozevíracím seznamu vyberte jednu nebo více skupin. Všechny tyto skupiny použijí stejnou akci Skupiny a uživatele u uživatelů, které přiřadíte. V jednom profilu můžete vytvořit více než jedno seskupení místních skupin a každému seskupení místních skupin přiřadit různé akce a skupiny uživatelů.

Poznámka

Seznam místních skupin je omezený na šest předdefinovaných místních skupin, u kterých je zaručeno, že se vyhodnotí při přihlášení, jak je uvedeno v dokumentaci Jak spravovat místní skupinu administrators na Microsoft Entra připojených zařízeních.

  • Akce skupiny a uživatele: Nakonfigurujte akci tak, aby se použila na vybrané skupiny. Tato akce se vztahuje na uživatele, které vyberete pro stejnou akci a seskupení místních účtů. Mezi akce, které můžete vybrat, patří:

    • Přidat (aktualizovat): Přidá členy do vybraných skupin. Členství ve skupinách pro uživatele, které zásady nezadávají, se nezmění.
    • Odebrat (aktualizace): Odebere členy z vybraných skupin. Členství ve skupinách pro uživatele, které zásady nezadávají, se nezmění.
    • Přidat (nahradit): Nahraďte členy vybraných skupin novými členy, které určíte pro tuto akci. Tato možnost funguje stejným způsobem jako skupina s omezeným přístupem a odeberou se všechny členy skupiny, kteří nejsou v zásadách zadáni.

    Upozornění

    Pokud je stejná skupina nakonfigurovaná s akcemi Nahradit i Aktualizovat, akce Nahradit vyhraje. To se nepovažuje za konflikt. K takové konfiguraci může dojít v případě, že do stejného zařízení nasadíte více zásad nebo pokud je tento CSP také nakonfigurován pomocí Microsoft Graphu.

  • Typ výběru uživatele: Zvolte způsob výběru uživatelů. Mezi možnosti patří:

    • Uživatelé: V Microsoft Entra ID vyberte uživatele a skupiny uživatelů. (Podporuje se jenom u zařízení připojených k Microsoft Entra.)
    • Ručně: Zadejte uživatele a skupiny Microsoft Entra ručně, podle uživatelského jména, domény\uživatelského jména nebo identifikátoru zabezpečení skupiny (SID). (Podporuje se pro zařízení připojená Microsoft Entra a Microsoft Entra hybridně připojená zařízení.

  • Vybraní uživatelé: V závislosti na vašem výběru pro typ výběru uživatele použijte jednu z následujících možností:

    • Vyberte uživatele: Vyberte uživatele a skupiny uživatelů z Microsoft Entra.

    • Přidat uživatele: Tato možnost otevře podokno Přidat uživatele , kde pak můžete zadat jeden nebo více identifikátorů uživatelů, které se zobrazí na zařízení. Uživatele můžete zadat podle identifikátoru zabezpečení (SID),domény\uživatelského jména nebo uživatelského jména.

      Snímek obrazovky se stránkou Přidat uživatele v Centru pro správu Intune

Volba možnosti Ručně může být užitečná ve scénářích, kdy chcete spravovat uživatele místní Active Directory ze služby Active Directory do místní skupiny pro zařízení s Microsoft Entra hybridním připojením. Podporované formáty identifikace výběru uživatele v pořadí od nejvíce upřednostňovaného po nejméně preferovaný je prostřednictvím identifikátoru SID, domény\uživatelské_jméno nebo uživatelského jména člena. Hodnoty ze služby Active Directory musí být použity pro hybridní zařízení, zatímco hodnoty z Microsoft Entra ID musí být použity pro Microsoft Entra spojení. identifikátory SID skupin Microsoft Entra je možné získat pomocí Graph API pro skupiny.

Konflikty

Pokud zásady vytvoří konflikt členství ve skupině, konfliktní nastavení z každé zásady se do zařízení neodesílají. Místo toho se konflikt u těchto zásad hlásí v Centru pro správu Microsoft Intune. Pokud chcete konflikt vyřešit, překonfigurujte jednu nebo více zásad.

Vytváření sestav

Když se zařízení přihlásí se změnami a použijí zásady, centrum pro správu zobrazuje stav zařízení a uživatelů jako úspěšný nebo chybný.

Vzhledem k tomu, že zásada může obsahovat více pravidel, zvažte následující body:

  • Když Intune zpracuje zásady pro zařízení, zobrazení stavu jednotlivých nastavení zobrazí stav pro skupinu pravidel, jako by šlo o jedno nastavení.
  • Každé pravidlo v zásadách, které vede k chybě, se přeskočí a neodesílá se do zařízení.
  • Každé pravidlo, které je úspěšné, se odešle do zařízení, která se mají použít.

Další kroky

Konfigurace zásad zabezpečení koncových bodů