Hantera användar- och gruppidentiteter i Microsoft Intune
Att hantera och skydda användaridentiteter är en viktig del av alla strategier och lösningar för slutpunktshantering. Identitetshantering omfattar användarkonton och grupper som har åtkomst till organisationens resurser.
Administratörer måste hantera kontomedlemskap, auktorisera och autentisera åtkomst till resurser, hantera inställningar som påverkar användaridentiteter och skydda & skydda identiteterna mot skadliga avsikter.
Microsoft Intune kan utföra alla dessa uppgifter med mera. Intune är en molnbaserad tjänst som kan hantera användaridentiteter via principer, inklusive säkerhets- och autentiseringsprinciper. Mer information om Intune och dess fördelar finns i Vad är Microsoft Intune?.
Ur ett tjänstperspektiv använder Intune Microsoft Entra ID för identitetslagring och behörigheter. Med hjälp av Microsoft Intune administrationscenter kan du hantera dessa uppgifter på en central plats som är utformad för slutpunktshantering.
Den här artikeln beskriver begrepp och funktioner som du bör tänka på när du hanterar dina identiteter.
Använda dina befintliga användare och grupper
En stor del av hanteringen av slutpunkter är att hantera användare och grupper. Om du har befintliga användare och grupper eller skapar nya användare och grupper kan Intune hjälpa till.
I lokala miljöer skapas och hanteras användarkonton och grupper i lokal Active Directory. Du kan uppdatera dessa användare och grupper med valfri domänkontrollant i domänen.
Det är ett liknande koncept i Intune.
Det Intune administrationscentret innehåller en central plats för att hantera användare och grupper. Administrationscentret är webbaserat och kan nås från alla enheter som har en Internetanslutning. Administratörer behöver bara logga in på administrationscentret med sitt Intune administratörskonto.
Ett viktigt beslut är att bestämma hur användarkonton och grupper ska kunna Intune. Dina alternativ:
Om du för närvarande använder Microsoft 365 och har dina användare och grupper i Administrationscenter för Microsoft 365 är dessa användare och grupper också tillgängliga i Intune administrationscenter.
Microsoft Entra ID och Intune använda en "klientorganisation", som är din organisation, till exempel Contoso eller Microsoft. Om du har flera klienter loggar du in på Intune administrationscenter i samma Microsoft 365-klientorganisation som dina befintliga användare och grupper. Dina användare och grupper visas automatiskt och är tillgängliga.
Mer information om vad en klientorganisation är finns i Snabbstart: Konfigurera en klientorganisation.
Om du använder lokal Active Directory kan du använda Microsoft Entra Connect för att synkronisera dina lokala AD-konton för att Microsoft Entra ID. När dessa konton finns i Microsoft Entra ID är de också tillgängliga i Intune administrationscenter.
Mer specifik information finns i Vad är Microsoft Entra Connect Sync?.
Du kan också importera befintliga användare och grupper från en CSV-fil till Intune administrationscenter eller skapa användare och grupper från grunden. När du lägger till grupper kan du lägga till användare och enheter i dessa grupper för att organisera dem efter plats, avdelning, maskinvara med mera.
Mer information om grupphantering i Intune finns i Lägg till grupper för att organisera användare och enheter.
Som standard skapar Intune automatiskt grupperna Alla användare och Alla enheter. När dina användare och grupper är tillgängliga för Intune kan du tilldela dina principer till dessa användare och grupper.
Flytta från datorkonton
När en Windows-slutpunkt, till exempel en Windows 10/11-enhet, ansluter till en lokal Active Directory-domän (AD) skapas ett datorkonto automatiskt. Dator-/datorkontot kan användas för att autentisera lokala program, tjänster och appar.
Dessa datorkonton är lokala i den lokala miljön och kan inte användas på enheter som är anslutna till Microsoft Entra ID. I det här fallet måste du växla till användarbaserad autentisering för att autentisera till lokala program, tjänster och appar.
Mer information och vägledning finns i Kända problem och begränsningar med molnbaserade slutpunkter.
Roller och behörigheter styr åtkomsten
För olika administratörstyper av uppgifter använder Intune rollbaserad åtkomstkontroll (RBAC). De roller som du tilldelar avgör vilka resurser en administratör kan komma åt i Intune administrationscenter och vad de kan göra med dessa resurser. Det finns några inbyggda roller som fokuserar på slutpunktshantering, till exempel Programhanteraren, Princip- och profilhanteraren med mera.
Eftersom Intune använder Microsoft Entra ID har du även åtkomst till de inbyggda Microsoft Entra rollerna, till exempel Intune-tjänstadministratören.
Varje roll har sina egna behörigheter för att skapa, läsa, uppdatera eller ta bort efter behov. Du kan också skapa anpassade roller om dina administratörer behöver en specifik behörighet. När du lägger till eller skapar din administratörstyp av användare och grupper kan du tilldela dessa konton till de olika rollerna. Intune administrationscenter har den här informationen på en central plats och kan enkelt uppdateras.
Mer information finns i Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune
Skapa användartillhörighet när enheter registreras
När användarna loggar in på sina enheter första gången associeras enheten med den användaren. Den här funktionen kallas användartillhörighet.
Alla principer som tilldelats eller distribuerats till användaridentiteten följer med användaren till alla deras enheter. När en användare är associerad med enheten kan de komma åt sina e-postkonton, sina filer, sina appar med mera.
När du inte associerar en användare med en enhet betraktas enheten som användarlös. Det här scenariot är vanligt för kioskenheter som är dedikerade till en viss uppgift och enheter som delas med flera användare.
I Intune kan du skapa principer för båda scenarierna i Android, iOS/iPadOS, macOS och Windows. När du gör dig redo att hantera dessa enheter måste du känna till enhetens avsedda syfte. Den här informationen hjälper till i beslutsprocessen när enheter registreras.
Mer specifik information finns i registreringsguiderna för dina plattformar:
- Distributionsguide: Registrera Android-enheter i Microsoft Intune
- Distributionsguide: Registrera iOS- och iPadOS-enheter i Microsoft Intune
- Distributionsguide: Registrera macOS-enheter i Microsoft Intune
- Distributionsguide: Registrera Windows-enheter i Microsoft Intune
Tilldela principer till användare och grupper
Lokalt arbetar du med domänkonton och lokala konton och distribuerar sedan grupprinciper och behörigheter till dessa konton på lokal nivå, plats, domän eller organisationsenhetsnivå (LSDOU). En organisationsenhetsprincip skriver över en domänprincip, en domänprincip skriver över en webbplatsprincip och så vidare.
Intune är molnbaserad. Principer som skapats i Intune inkludera inställningar som styr enhetsfunktioner, säkerhetsregler med mera. Dessa principer tilldelas dina användare och grupper. Det finns ingen traditionell hierarki som LSDOU.
Inställningskatalogen i Intune innehåller tusentals inställningar för att hantera iOS/iPadOS-, macOS- och Windows-enheter. Om du för närvarande använder lokala grupprincip-objekt är det en naturlig övergång till molnbaserade principer att använda inställningskatalogen.
Mer information om principer i Intune finns i:
- Använd inställningskatalogen för att konfigurera inställningar på Windows-, iOS/iPadOS- och macOS-enheter
- Vanliga frågor och svar med enhetsprinciper och profiler i Microsoft Intune
Skydda dina användaridentiteter
Dina användar- och gruppkonton har åtkomst till organisationsresurser. Du måste skydda dessa identiteter och förhindra skadlig åtkomst till identiteterna. Här följer några saker att tänka på:
Windows Hello för företag ersätter inloggning med användarnamn och lösenord och ingår i en strategi utan lösenord.
Lösenord anges på en enhet och överförs sedan via nätverket till servern. De kan fångas upp och användas av vem som helst och var som helst. Ett serverintrång kan avslöja lagrade autentiseringsuppgifter.
Med Windows Hello för företag loggar användarna in och autentiserar med en PIN-kod eller biometrisk kod, till exempel ansikts- och fingeravtrycksigenkänning. Den här informationen lagras lokalt på enheten och skickas inte till externa enheter eller servrar.
När Windows Hello för företag distribueras till din miljö kan du använda Intune för att skapa Windows Hello för företag principer för dina enheter. Dessa principer kan konfigurera PIN-inställningar, tillåta biometrisk autentisering, använda säkerhetsnycklar med mera.
Mer information finns i:
- översikt över Windows Hello för företag
- Hantera Windows Hello för företag på enheter när enheter registreras med Intune
Om du vill hantera Windows Hello för företag använder du något av följande alternativ:
- Under enhetsregistrering: Konfigurera en princip för hela klientorganisationen som tillämpar Windows Hello inställningar på enheter när enheten registreras med Intune.
- Säkerhetsbaslinjer: Vissa inställningar för Windows Hello kan hanteras via Intune säkerhetsbaslinjer, till exempel baslinjerna för Microsoft Defender för Endpoint säkerhet eller säkerhetsbaslinje för Windows 10 och senare.
- Inställningskatalog: Inställningarna från slutpunktssäkerhet Kontoskyddsprofiler är tillgängliga i Intune inställningskatalogen.
Certifikatbaserad autentisering är också en del av en lösenordsfri strategi. Du kan använda certifikat för att autentisera dina användare till program och organisationsresurser via ett VPN, en Wi-Fi-anslutning eller e-postprofiler. Med certifikat behöver användarna inte ange användarnamn och lösenord och kan göra det enklare att komma åt dessa resurser.
Mer information finns i Använda certifikat för autentisering i Microsoft Intune.
multifaktorautentisering (MFA) är en funktion som är tillgänglig med Microsoft Entra ID. För att användarna ska kunna autentisera krävs minst två olika verifieringsmetoder. När MFA distribueras till din miljö kan du också kräva MFA när enheter registreras i Intune.
Mer information finns i:
Nolltillit verifierar alla slutpunkter, inklusive enheter och appar. Tanken är att hjälpa till att behålla organisationsdata i organisationen och förhindra dataläckor från oavsiktlig eller skadlig avsikt. Den innehåller olika funktionsområden, inklusive Windows Hello för företag, MFA med mera.
Mer information finns i Nolltillit med Microsoft Intune.