了解如何在 Microsoft Intune 中管理用户和组标识

管理和保护用户标识是任何终结点管理策略和解决方案的重要组成部分。 标识管理包括访问组织资源的用户帐户和组。

显示将用户添加到 Microsoft Intune 管理中心以及向 Microsoft Intune 中的不同用户和设备类型分配策略的关系图。

管理员必须管理帐户成员身份、授权和验证对资源的访问权限、管理影响用户标识的设置,以及保护 & 保护标识免受恶意意图的影响。

Microsoft Intune可以执行所有这些任务,等等。 Intune是基于云的服务,可以通过策略(包括安全和身份验证策略)管理用户标识。

从服务的角度来看,Intune对标识存储和权限使用Microsoft Entra ID。 使用 Microsoft Intune 管理中心,可以在专为终结点管理设计的中心位置管理这些任务。

本文讨论管理标识时应考虑的概念和功能。

使用现有用户和组

管理终结点的很大一部分是管理用户和组。 如果你有现有用户和组,或者将创建新的用户和组,Intune可以提供帮助。

在本地环境中,用户帐户和组在 本地 Active Directory 中创建和管理。 可以使用域中的任何域控制器更新这些用户和组。

在Intune中,这是一个类似的概念。

Intune管理中心包含用于管理用户和组的中心位置。 管理中心是基于 Web 的,可从具有 Internet 连接的任何设备进行访问。 管理员只需使用其Intune管理员帐户登录到管理中心。

一个重要的决定是确定如何将用户帐户和组放入Intune。 选项包括:

  • 如果当前使用 Microsoft 365,并且用户和组位于 Microsoft 365 管理中心,则这些用户和组也可在 Intune 管理中心中使用。

    Microsoft Entra ID和Intune使用租户,即你的组织,如 Contoso 或 Microsoft。 如果有多个租户,请在与现有用户和组相同的 Microsoft 365 租户中登录到 Intune 管理中心。 用户和组将自动显示并可用。

    有关租户的详细信息,请转到 快速入门:设置租户

  • 如果当前使用 本地 Active Directory,则可以使用 Microsoft Entra Connect 将本地 AD 帐户同步到Microsoft Entra ID。 当这些帐户位于 Microsoft Entra ID 中时,它们也可以在 Intune 管理中心中使用。

    有关更具体的信息,请转到什么是 Microsoft Entra Connect Sync?

  • 还可以将现有用户和组从 CSV 文件导入Intune管理中心,或从头开始创建用户和组。 添加组时,可以将用户和设备添加到这些组,以便按位置、部门、硬件等对其进行组织。

    有关Intune中的组管理的详细信息,请转到添加组以组织用户和设备

默认情况下,Intune自动创建“所有用户”和“所有设备”组。 当用户和组可供Intune时,可以将策略分配给这些用户和组。

从计算机帐户移动

当 Windows 终结点 (如 Windows 10/11 设备) 加入本地 Active Directory (AD) 域时,将自动创建计算机帐户。 计算机/计算机帐户可用于对本地程序、服务和应用进行身份验证。

这些计算机帐户是本地环境的本地帐户,不能在加入到Microsoft Entra ID的设备上使用。 在这种情况下,需要切换到基于用户的身份验证,以便对本地程序、服务和应用进行身份验证。

有关详细信息和指导,请转到 云原生终结点的已知问题和限制

角色和权限控制访问权限

对于不同的管理员类型任务,Intune使用基于角色的访问控制 (RBAC) 。 分配的角色决定了管理员可以在Intune管理中心中访问的资源,以及他们可以对这些资源执行的作。 有一些内置角色侧重于终结点管理,例如应用程序管理器、策略和配置文件管理器。

由于Intune使用Microsoft Entra ID,你还有权访问内置Microsoft Entra角色,例如Intune服务管理员。

每个角色都有自己的创建、读取、更新或删除权限。 如果管理员需要特定权限,还可以创建自定义角色。 添加或创建管理员类型的用户和组时,可以将这些帐户分配给不同的角色。 Intune管理中心将此信息存储在中心位置,并且可以轻松更新。

有关详细信息,请转到使用 Microsoft Intune (RBAC) 的基于角色的访问控制

在设备注册时创建用户相关性

当用户首次登录其设备时,设备将与该用户关联。 此功能称为 用户相关性

分配给用户标识或部署到用户标识的任何策略都会随用户一起转到其所有设备。 当用户与设备关联时,他们可以访问其电子邮件帐户、文件、应用等。

如果未将用户与设备关联,则设备被视为无用户。 对于专用于特定任务的展台设备和与多个用户共享的设备,此方案很常见。

在 Intune 中,可以为 Android、iOS/iPadOS、macOS 和 Windows 上的这两种方案创建策略。 准备好管理这些设备时,请确保知道设备的预期用途。 此信息有助于在注册设备时做出决策。

有关更具体的信息,请转到平台的注册指南:

向用户和组分配策略

在本地,使用域帐户和本地帐户,然后在 LSDOU) (本地、站点、域或 OU 级别部署这些帐户的组策略和权限。 OU 策略覆盖域策略,域策略覆盖站点策略,等等。

Intune是基于云的。 在 Intune 中创建的策略包括用于控制设备功能、安全规则等的设置。 这些策略分配给用户和组。 没有像 LSDOU 这样的传统层次结构。

Intune 中的设置目录包括数千个用于管理 iOS/iPadOS、macOS 和 Windows 设备的设置。 如果当前使用本地组策略对象 (GPO) ,则使用设置目录自然而然地过渡到基于云的策略。

有关Intune中的策略的详细信息,请转到:

保护用户标识

用户和组帐户访问组织资源。 你需要保护这些标识的安全,并防止恶意访问标识。 以下是应考虑的一些事项:

  • Windows Hello 企业版取代用户名和密码登录,并且是无密码策略的一部分。

    密码在设备上输入,然后通过网络传输到服务器。 任何人和任何地方都可以截获和使用它们。 服务器泄露可能会显示存储的凭据。

    使用Windows Hello 企业版,用户可以使用 PIN 或生物识别(如面部和指纹识别)登录并进行身份验证。 此信息存储在本地设备上,不会发送到外部设备或服务器。

    将Windows Hello 企业版部署到环境中时,可以使用 Intune 为设备创建Windows Hello 企业版策略。 这些策略可以配置 PIN 设置、允许生物识别身份验证、使用安全密钥等。

    有关详细信息,请转到:

    若要管理Windows Hello 企业版,请使用以下选项之一:

    • 在设备注册期间:配置租户范围的策略,该策略在设备注册Intune时将Windows Hello设置应用于设备。
    • 安全基线:可以通过Intune的安全基线(如Microsoft Defender for Endpoint安全基线或Windows 10及更高版本的基线)管理Windows Hello的某些设置。
    • 设置目录:终结点安全帐户保护配置文件中的设置可在Intune设置目录中使用。
  • 基于证书的身份验证 也是无密码策略的一部分。 可以使用证书通过 VPN、Wi-Fi 连接或电子邮件配置文件对应用程序和组织资源的用户进行身份验证。 使用证书,用户无需输入用户名和密码,并且证书可以更轻松地访问这些资源。

    有关详细信息,请转到在 Microsoft Intune 中使用证书进行身份验证

  • 多重身份验证 (MFA) 是Microsoft Entra ID提供的一项功能。 若要使用户成功进行身份验证,至少需要两种不同的验证方法。 将 MFA 部署到环境中时,还可以在设备注册到 Intune 时要求 MFA。

    有关详细信息,请转到:

  • 零信任验证所有终结点,包括设备和应用。 其思路是帮助保留组织中的组织数据,并防止意外或恶意泄露数据。 它包括不同的功能区域,包括Windows Hello 企业版、使用 MFA 等。

    有关详细信息,请参阅使用Microsoft Intune零信任