Opprett og administrer lokale kontoer, påloggings-ID-er og profiler med Intune

Administrere på en ordnet måte Lokale kontoer, Microsoft Entra ID-kontoer (tidligere Azure AD) og bedriftsprofiler med Intune Det har blitt en nøkkelkomponent i enhver moderne IT-avdeling. Det er ikke lenger nok å bare opprette brukere i Active Directory og håpe på det beste: nå er det nødvendig å kombinere skyidentiteter, hybridenheter, sikkerhetspolicyer og automatisering, samtidig som man tar hensyn til brukeropplevelsen.

Gjennom hele denne veiledningen vil du se, i detalj, hvordan Opprett, synkroniser og administrer brukerkontoer, lokale profiler og administratorroller ved hjelp av Microsoft Entra ID, Intune og, når det er aktuelt, den lokale katalogen. Vi skal også se på hvordan administratorrettigheter kontrolleres i Windows og macOS (inkludert LAPS for Mac), hvordan enheter er koblet til brukere og hvilke sikkerhetselementer (MFA, sertifikater, Windows Hello, Zero Trust) passer inn i dette puslespillet.

Forholdet mellom Microsoft Entra ID, Intune og brukerkontoer

Microsoft Entra ID er identitetstjenesten som Intune er avhengig av.Dette betyr at brukerkontoene du ser i Intune faktisk befinner seg i Entra-leietakeren. Intune vedlikeholder ikke sin egen separate katalog; i stedet bruker og utvider den bare det som allerede finnes i Entra ID.

Hvis du har tilstrekkelige tillatelser til å Rollebasert tilgangskontroll (RBAC) i Microsoft EnterDu kan administrere brukere fra tre steder: Intune-administrasjonssenteret, administrasjonssenteret til Microsoft 365 og Entras eget administrasjonssenter. Bakgrunnsautorisasjonen er alltid den samme, og Intunes tillatelser er faktisk et delsett av Entras RBAC-modell.

Intune integreres også sømløst med hybridmiljøer: Du kan bruke kontoer som er synkronisert fra lokal Active Directory til Entra ID og dele den samme leietakeren med Intune og andre Microsoft 365-skytjenester. Når en bruker er opprettet eller synkronisert med Entra og tildelt en Intune-lisens, er de dermed klare til å registrere enheter og få tilgang til bedriftsressurser.

I tillegg til det rent identitetsrelaterte aspektet, kan administratorer tilordne Intune RBAC-roller til brukergrupper å delegere oppgaver (for eksempel la en støttegruppe se LAPS-passord eller rotere dem, uten å gjøre dem til globale administratorer).

Minimum RBAC-tillatelser som kreves for å administrere kontoer i Entra og Intune

For å administrere brukere fra Intune er det ikke nok å bare gi dem en intern Intune-rolle: Det er obligatorisk at kontoen har nødvendige RBAC-tillatelser i Microsoft Entra ID.Siden Intune-roller er basert på Entra-modellen, vil ikke en administrator med bare en Intune-rolle, men uten en Entra-rolle, kunne administrere identiteter i katalogen.

Microsofts anbefaling er å følge nøye prinsippet om minste privilegiumGi hver person kun tillatelsene som er nødvendige for rollen deres, og reserver de mest privilegerte rollene (for eksempel global administrator eller Intune-administrator) kun for bestemte oppgaver og strengt kontrollerte kontoer.

Innenfor de integrerte rollene til Entra ID er den mest passende rollen for å administrere brukere uten å overskride privilegier BrukerbehandlerDenne rollen lar deg opprette, redigere og slette brukerkontoer fra Entra-, Microsoft 365- og Intune-administrasjonssentrene, uten å måtte gi dem absolutt eierskap over leietakeren.

Registrere brukere i Intune via Microsoft-påloggings-ID

Når vi snakker om å legge til brukere i Intune, snakker vi egentlig om Opprett dem i Microsoft Enter ID fra Intune Admin CenterVeiviseren er veldig lik Entras: du kan registrere brukere én etter én eller bruke masseopplastinger via CSV.

For individuell registrering er det første trinnet å få tilgang til Intune. Brukere > Alle brukere > Ny bruker > Opprett ny brukerI fanen for grunnleggende informasjon konfigurerer du UPN (brukerens hovednavn), e-postalias, visningsnavn, det første passordet og om kontoen er opprettet aktivert eller ikke, slik at du kan gjøre alt klart med bare denne grunnleggende informasjonen.

UPN-en som er definert på dette tidspunktet er legitimasjonen som skal brukes til Logg på Entra ID, Microsoft 365 og IntuneDerfor er det avgjørende å tilpasse formatet (f.eks. fornavn.etternavn@domene) til organisasjonens standard. Alle nye brukere må endre passordet sitt ved første innlogging, noe som styrker sikkerheten.

Hvis du bestemmer deg for å fortsette med Egenskaper-fanen, utvides informasjonen med felt for identitet (navn, etternavn, brukertype: medlem eller gjest, data for sertifikatbasert autentisering), ansettelsesdata (stilling, avdeling, leder), kontaktinformasjon, foreldrekontroller for mindreårige (svært nyttig i utdanningsmiljøer fra barnehage til videregående) og brukerens bruksstedsom påvirker juridiske og lisensspørsmål.

Senere, i Oppgaver-delen, tillater veiviseren Koble brukeren til en administrativ Entra ID-enhet, opptil 20 grupper og opptil 20 Entra-rollerDette er veldig praktisk, slik at brukeren kan dra ut med de riktige eiendelene og om nødvendig kunne utføre visse administrative funksjoner fra dag én.

Entras administrative enheter er en effektiv måte å delegere administrasjon til delsett av brukere, grupper eller enheter, men mange Intune-distribusjoner foretrekker å bruke omfangskoder og omfangsgrupper å segmentere administrasjonen av selve Intune-tjenesten.

Masseoppretting av kontoer ved hjelp av CSV-filer

Når du importerer store mengder brukere, er den mest effektive måten å bruke ... masseoppretting fra Intune-administrasjonssenteret ved hjelp av en CSV-fil. Denne funksjonaliteten unngår å opprette hver bruker manuelt og reduserer menneskelige feil.

Flyten er enkel: fra Intune får du tilgang Brukere > Alle brukere > Masseoperasjoner > MasseopprettingCSV-malen som leveres av konsollen lastes ned og fylles ut med den komplette listen over brukere som skal opprettes. Denne CSV-filen kan redigeres med enten et tekstredigeringsprogram eller Excel, så lenge formateringen beholdes.

Når filen er ferdig, lastes den opp tilbake til Intune, sendes til behandling, og Etter datavalidering opprettes kontoer i Entra IDDen samme CSV-malfilosofien gjentas i andre masseoppgaver, for eksempel sletting av brukere.

Active Directory-synkronisering med Entra ID for å bruke Intune

I organisasjoner med lokal infrastruktur er det vanlig å utnytte Katalogsynkronisering mellom lokal Active Directory og Microsoft Entra IDPå denne måten administreres kontoer i AD og replikeres til Entra, hvor de deretter brukes i Intune og andre skytjenester.

Det finnes flere måter å oppnå dette på, men den veien Microsoft støtter er å konfigurere en hybrid identitetDette sikrer at brukeridentiteter finnes i både Active Directory og Entra ID. På denne måten gjøres endringer fortsatt lokalt, men gjenspeiles i skyen uten duplisering av prosesser.

Nøkkelkomponenten er Microsoft Enter Connect-assistentAt trinnvis guide Koblingen mellom Active Directory-skogen og Entra-leietakeren. Under konfigurasjonen velges topologien (en enkelt skog eller flere skoger, én eller flere kataloger), samt autentiseringsmetoden: passord-hash-synkronisering, gjennomgangsautentisering (PTA) eller føderasjon med AD FS.

I bakgrunnen installerer og konfigurerer Entra Connect synkroniseringstjenestene og de nødvendige komponentene for Active Directory Federation Services (AD FS) når det er aktuelt, og modulen til PowerShell / Passende graf, slik at infrastrukturen er klar slik at AD-brukere vises som skybrukere.

For at denne modellen skal fungere bra, er det viktig at Active Directory-administratorer har tilgang til Entra-leietakeren og få opplæring i både klassiske AD-oppgaver og det spesifikke ved skykatalogen.

Brukersletting og masseoperasjoner

Når en ansatt slutter i bedriften, er det ikke nok å bare hente den bærbare datamaskinen: Du må deaktivere eller slette brukerkontoen din For å kutte tilgang til bedriftsressurser. Fra Intune-administrasjonssenteret kan du starte sletting av kontoer i Entra ID, som også fjerner dem fra Intune.

For å gjøre dette individuelt, logg inn på Intune og gå deretter til Brukere > Alle brukereVelg den aktuelle kontoen og klikk på Slett. Denne handlingen krever at administratorkontoen minst har tillatelser tilsvarende rollen Brukeradministrator i Microsoft-pålogging.

Hvis det som trengs er en massiv utrenskning (for eksempel en bølge av kontokanselleringer eller opprydding av gamle kontoer), så tyr vi igjen til masseoperasjoner med CSV-filI dette tilfellet brukes alternativet Massesletting av brukere, der malen lastes ned, fylles ut med kontoene som skal slettes, og lastes opp slik at systemet kan behandle forespørselen.

Det er viktig å vurdere omfanget: kontoer utenfor gjeldende Intune-omfangsgruppe De kan ikke endres fra selve konsollen, fordi omfangskoder og RBAC begrenser hvilke objekter hver administrator kan berøre.

Opprette og administrere lokale administratorkontoer med Intune

I mange miljøer er det fortsatt nødvendig å ha lokale administratorkontoer på enheteneEnten det er for feltstøtteoppgaver, frakoblede scenarioer eller som en siste utvei ved tilkoblingsproblemer med Entra ID, tilbyr Intune flere måter å opprette og administrere disse kontoene sentralt.

I Windows kan konfigurasjonspolicyer eller skript brukes til å opprett en lokal konto med administratorrolle og holde det under kontroll. For å legge til en Entra ID-bruker eller -gruppe i den lokale administratorgruppen, kan du bruke konfigurasjonsalternativene for lokal konto eller OMA-URI/kontobeskyttelsesmekanismene, som beskrevet i diverse spesialveiledninger.

Denne tilnærmingen hindrer hver tekniker i å opprette forskjellige lokale kontoer på hver datamaskin, noe som gjør det vanskelig å kontrollere og revidere hvem som har reell tilgang med høye rettigheter på organisasjonens enheter.

macOS ADE og LAPS: Sikre lokale kontoer administrert med Intune

I Apple-verdenen integreres Intune med Apple Business Manager / School Manager for å Registrer macOS-enheter automatisk ved hjelp av ADE (Automatisert enhetsregistrering). Når det gjelder denne prosessen, har Microsoft innlemmet en funksjonalitet som ligner på LAPS, men designet for Mac, som muliggjør sikker distribusjon og administrasjon av lokale kontoer.

Samtalen Konfigurering av lokal macOS-konto med LAPS Den er aktivert i macOS ADE-registreringsprofiler og gjelder bare for nye registreringer. Den lar deg tildele en lokal administratorkonto på enheten et sterkt, tilfeldig, kryptert passord, som lagres sikkert i Intune.

I tillegg kan profilen inneholde en lokal standard brukerkonto som sameksisterer med administratorkontoen. Når enheten er registrert, roterer Intune automatisk passordet til den lokale administratoren som administreres av LAPS omtrent hver sjette måned, noe som reduserer risikoen for statiske passord.

Når en Mac allerede var registrert før aktivering av LAPS i ADE-profilen, er det nødvendig registrer den på nytt med en ADE-profil med LAPS aktivert slik at den administrerte kontoen opprettes riktig og kobles til passordrotasjonssyklusen.

Som standard har passordene som genereres for disse administratorkontoene 15 tegn og kombinere store bokstaver, små bokstaver, tall og spesialtegn, som gir et rimelig høyt nivå av kompleksitet uten å være umulig å håndtere når de må introduseres av og til.

RBAC-krav og tillatelser for macOS LAPS

For at macOS LAPS skal fungere ordentlig, finnes det en rekke Minimumskrav for enheter og registrering Disse kravene kan ikke ignoreres. Systemet må kjøre macOS 12 eller nyere, datamaskinen må være synkronisert med Intune fra Apple Business Manager eller School Manager, og registreringen må gjøres via en macOS ADE-profil.

I tillegg til de tekniske kravene krever passordadministrasjon spesifikke RBAC-tillatelser i Intune. Innenfor kategorien Innmeldingsprogrammer I Intunes RBAC-modell må du aktivere tillatelsene «Vis macOS-administratorpassord» og «Roter macOS-administratorpassord» for administratorrollene eller gruppene som skal kunne se eller rotere passordet.

Denne granulariteten tillater for eksempel andrenivåstøtteteamet kan se eller generere passordet på nytt lokal administrator av en Mac uten å måtte bli Intune-administratorer globalt, noe som reduserer risikoflaten.

Alternativer for konfigurasjon av konto og passord i macOS ADE-profiler

Når du redigerer eller oppretter en macOS ADE-registreringsprofil i Intune, vises en fane for Kontoinnstillinger Det er her lokale administrator- og standardbrukerkontoer aktiveres. Som standard er begge alternativene deaktivert, så du må eksplisitt velge hvilke du vil opprette.

Hvis du velger å opprette en lokal administratorkonto eller en standard brukerkonto, aktiveres og genereres macOS LAPS-konfigurasjonssettet unike passord på 15 tegn I henhold til kompleksitetsreglene som allerede er omtalt. I backend-modus tvinges parameteren «await final» til Ja, slik at kontoopprettelsen utføres under enhetens første konfigurasjonsveiviser.

For den lokale administratorkontoen kan du definere brukernavn og fullt administratornavn enten med en fast verdi eller ved bruk av dynamiske variabler som {{serialNumber}}, {{partialupn}}, {{managedDeviceName}} eller {{onPremisesSamAccountName}}, som erstattes med data fra selve enheten eller brukeren.

Det finnes også et alternativ for Skjul kontoen på innloggingsskjermen og i Brukere og grupperDette hindrer sluttbrukeren i å se det med et raskt blikk. En ekstra rotasjonsperiode, i dager, kan også spesifiseres slik at passordet roteres med et bestemt intervall mellom 1 og 180 dager, i tillegg til LAPS' grunnleggende automatiske rotasjonssyklus.

Når det gjelder standard lokal brukerkonto, er elementer som kontotype definert (som standard Standard, men hvis ingen lokal administratorkonto er konfigurert, vil systemet heve den til administrator på grunn av en plattformbegrensning), hvis ønskelig. forhåndsutfylling av kontoinformasjon, hovedkontonavnet og det fulle navnet, også støttevariabler.

I tillegg kan du bestemme om sluttbrukeren kan eller ikke Rediger kontonavn og fullt navn under oppsettveiviseren, og konfigurer alternativet for redigeringsbegrensning deretter.

Vise og manuelt rotere LAPS-passord på macOS

For å sjekke det lokale administratorpassordet til en Mac som administreres med LAPS, må du ha tildelt RBAC-tillatelse. Vis macOS-administratorpassord innenfor kategorien Intune-registreringsprogrammer. Uten denne tillatelsen vil ikke konsollen vise sensitiv informasjon.

Prosessen for å se passordet innebærer å gå til Intune Admin Center, logge på Enheter > Enheter > macOSVelg den aktuelle datamaskinen, og åpne delen Passord og nøkler fra panelet Generell informasjon. Der ser du det gjeldende passordet for den lokale administratorkontoen og datoen for siste passordrotasjon.

Hvis passordet hentes riktig i den visningen, er det et tegn på at Den lokale administratorkontoen er under Intune-administrasjon.Ellers kan det hende at enheten ikke er konfigurert med riktig ADE-profil, eller at LAPS ikke har blitt brukt under registreringen.

I tillegg til automatisk rotasjon finnes det en fjernfunksjon som kalles Endre lokalt administratorpassord som tillater å tvinge frem en umiddelbar endring. For å bruke den må administratoren ha macOS Password Rotation RBAC-tillatelsen aktivert i rollen sin.

Når du utfører denne handlingen på en enhet, genererer Intune et nytt passord, sender det til datamaskinen, venter på at det skal brukes og oppdaterer konsollen med den nye legitimasjonen og det nøyaktige tidspunktet endringen skjedde. Denne informasjonen er synlig igjen i delen Passord og nøkler.

Alle disse operasjonene, både visualisering og manuell rotasjon, gjenspeiles i Intune-revisjonsloggerI delen for revisjonslogger for leietakeradministrasjon finner du oppføringer som «Get AdminAccountDto» (passordforespørsel) og «rotateLocalAdminPassword ManagedDevice» (rotasjon utført), noe som forenkler sporbarhet og samsvar med forskrifter.

Lokal administratoradministrasjon på Windows-enheter koblet til Enter

I Windows-miljøet er det viktig å administrere en datamaskin tilhører den lokale administratorgruppen for enhetenNår en enhet blir med i Microsoft Entra ID, oppdaterer denne prosessen automatisk medlemskapet i den lokale administratorgruppen.

Under Entra ID-tilmeldingsprosessen legges visse standard sikkerhetsprinsipper til i gruppen Lokale administratorer, inkludert Lokal administratorrolle for Microsoft-tilkoblede enheter. Logg innPå denne måten kan du kontrollere hvem som har høye rettigheter på enhetene, uten å måtte berøre dem én etter én.

Den store fordelen er at ved å legge til brukere eller grupper i den rollen i Logg inn, Administratorene for alle enheter som er koblet til Entra er oppdatert uten å måtte endre den lokale konfigurasjonen til hver maskin. Dette støtter naturligvis prinsippet om minste privilegium, siden rollen til enhetsadministrator fra den globale administratoren.

Rolleadministrasjon utføres fra enhetskonfigurasjonen i Entra-portalen: ved å logge inn med minst en konto med rollen Rolleadministrator med rettigheter, navigere til Gå til ID > Enheter > Alle enheter > Enhetsinnstillinger og bruke alternativet for å administrere flere lokale administratorer på alle enheter som er koblet til Entra.

Det er viktig å vite at denne rollen Dette gjelder alle enheter som er koblet til Entra. og det kan ikke begrenses til et delsett. Dessuten er ikke endringene umiddelbare: det kan ta opptil fire timer før et nytt Master Refresh Token (PRT) utstedes med de nye eller tilbakekalte rettighetene, og brukeren må logge ut og logge inn igjen for at det skal tre i kraft.

Lokal rettighetskontroll ved hjelp av oppføringsgrupper og MDM-policyer

Hvis det er behov for en mer detaljert tilnærming enn den globale lokale administratorrollen for enheter som er koblet til Entra, kan man ty til MDM-policy for lokale brukere og grupperDenne policyen lar deg tilordne påloggede brukere og grupper til bestemte lokale grupper (administratorer, brukere, gjester, privilegerte brukere, brukere av eksternt skrivebord osv.) på datamaskiner som kjører Windows 10 eller nyere.

Med denne konfigurasjonen kan organisasjoner bruke Intune til å definere tilpassede OMA-URI-policyer eller bruke Retningslinjer for kontobeskyttelse for å gi visse Entra-grupper lokale administratorrettigheter bare på bestemte enheter eller samlinger av enheter.

For å legge til Entra-grupper må du kjenne til deres SID (sikkerhetsidentifikator)Dette oppnås via Microsoft Graph API ved å analysere securityIdentifier-egenskapen til gruppeobjektet. Denne SID-en refereres deretter til i policykonfigurasjonen.

Det er visse begrensninger å vurdere: denne metoden for å administrere lokale administratorer gjennom oppføringsgrupper Dette gjelder ikke domenetilkoblede hybridenheter eller enheter som kun er registrert hos Entra.Videre kontrollerer ikke grupper som legges til på denne måten tilkoblinger til eksternt skrivebord, der du fortsatt må legge til brukerens SID direkte i den aktuelle gruppen på enheten.

Standard brukeradministrasjon og manuell utvidelse i Windows

Som standard, når en bruker kobler en enhet til Microsoft Sign In ID, Den brukeren blir den lokale administratoren for datamaskinen.I mange selskaper er dette ikke ønskelig, fordi det øker risikoområdet og kompliserer endre kontroll i lag.

For å forhindre at brukeren som utfører sammenføyningen er administrator, finnes det to svært vanlige strategier: bruk Windows autopilot med en profil som hindrer hovedbrukeren i å bli administrator, eller ty til masseregistrering, der det å bli med i Entra gjøres i konteksten av en selvopprettet teknisk bruker, og sluttbrukere som logger inn senere forblir standardbrukere.

Når du manuelt må heve tillatelsene til en bestemt bruker på en bestemt enhet, kan du gjøre det fra selve Windows-grensesnittet. Fra og med Windows 10 versjon 1709, i Innstillinger > Kontoer > Andre brukere En profesjonell eller pedagogisk bruker legges til ved å oppgi UPN-en deres og velge «Administrator» som kontotype.

Det finnes også alternativer på nett kommandoer Slik legger du til brukere i den lokale administratorgruppen: nett lokalgruppeadministratorer /legg til «Contoso\bruker» hvis brukeren er synkronisert fra AD, eller net localgroup administrators /add “AzureAD\UPN” Hvis identiteten ble opprettet direkte i Entra ID. I begge tilfeller må du allerede være en lokal administrator for datamaskinen for å utføre disse kommandoene.

Som ytterligere hensyn kan kun følgende tildeles rollebaserte grupper til rollen Lokal enhetsadministrator som er koblet til EnterB2B-gjester tilegner seg ikke lokale administratorrettigheter gjennom denne rollen, og når brukere fjernes fra rollen, skjer tapet av rettigheter utsatt, ved fornyelse av PRT-en og ved pålogging igjen.

Bruke eksisterende brukere og grupper med Intune

Mange distribusjoner har allerede kontoer og grupper, både lokalt og i skyen, så det gir mening. gjenbruk identitetsstrukturen med Intune I stedet for å opprette alt fra bunnen av, tilbyr Intune Admin Center en sentralisert visning for å jobbe med disse brukerne og gruppene.

Hvis organisasjonen allerede bruker Microsoft 365, kontoene og gruppene som administreres fra Microsoft 365-administrasjonssenteret De vises også automatisk i Intune.forutsatt at samme leietaker brukes. Entra ID og Intune deler samme leietaker, så bare logg inn på Intune med riktig administratorkonto.

Når du starter fra et 100 % lokalt miljø med Active Directory, er den anbefalte strategien Synkroniser AD-kontoer med Entra ID ved hjelp av Entra Connect SyncNår identitetene er tilgjengelige i skykatalogen, er de synlige i Intune og kan motta enhetspolicyer.

Det er også mulig Importer brukere og grupper fra CSV-filer direkte i Intune eller opprett dem manuelt fra bunnen av, og organiser dem etter avdeling, sted, enhetstype osv. Intune oppretter gruppene Alle brukere og Alle enheter som standard, som fungerer som globale mål for å bruke brede konfigurasjoner.

Roller og tillatelser i Intune for å kontrollere tilgang

Autorisasjon i Intune er i stor grad avhengig av RBAC. Hver administrator får én eller flere roller som bestemmer hvilke ressurser kan du se og hvilke handlinger kan du utføre i Intune-administrasjonssenteret. Det finnes innebygde roller rettet mot spesifikke oppgaver, for eksempel Programbehandling eller Policy- og profilbehandling.

Siden Intune støttes av Entra ID, kan du også bruke integrerte roller i EnterFor eksempel gir Intune Service Manager et sett med tillatelser som er i tråd med tjenesteadministrasjon. I tillegg kan du definere egendefinerte roller for mer detaljerte scenarier, og justere tillatelser for lesing, oppretting, oppdatering eller sletting.

I praksis kombineres rolletildeling vanligvis med bruk av omfangsetiketter å definere hvilke objekter (enheter, profiler, applikasjoner) hver rolle kan se basert på region, forretningsenhet eller annen segmentering som gir mening for selskapet.

Brukertilhørighet i enhetsregistrering

Når en enhet registreres i Intune og en bruker logger seg på for første gang, oppretter systemet det som kalles brukertilhørighetDen enheten er knyttet til den primære brukeren. Derfra blir retningslinjene og apps Tilordnet brukeren gjelder også for affinitetsenheten.

Denne oppførselen er ideell for personlige arbeidsteam, bærbar bedrifts- eller enheter som er tydelig og permanent tilordnet en person. Det lar brukeren ha sine e-postkontoer, filer, applikasjoner og innstillinger knyttet til identiteten deres på tvers av alle enheter med aktiv affinitet.

Hvis du ikke vil koble enheten til en bruker, registrerer du deg som brukerløs enhetDenne tilnærmingen er typisk i kiosker, møteromsskjermer, delte enheter eller terminaler dedikert til spesifikke oppgaver, der enhetens tilstand er viktigere enn identiteten til personen som kobler seg til.

Intune tilbyr spesifikke direktiver for begge scenariene i AndroidiOS/iPadOS, macOS og Windows, så det å planlegge nøye hvilken type enhet som skal registreres unngår senere problemer med apptildeling eller begrensninger.

Policytildeling til brukere og grupper kontra den lokale LSDOU-modellen

I et rent lokalt miljø med Active Directory brukes gruppepolicyer i henhold til hierarkiet LSDOU (Lokal, Nettsted, Domene, Organisasjonsenhet)Intune, filosofien er annerledes fordi dette klassiske hierarkiet ikke finnes. Gruppepolicyobjekter (GPO-er) i OU-en som er nærmest objektet, prioriteres vanligvis.

Intune oppretter profiler og policyer i skyen, og deretter tildeler dem direkte til brukere eller grupperDet finnes ingen arvede nivåer som standard, selv om et hierarki kan tilnærmes ved å leke med grupper, filtre og kombinasjoner av inkluderende og eksklusive tildelinger.

Intune-konfigurasjonskatalogen samler tusenvis av innstillinger for Windows-, iOS-/iPadOS- og macOS-enheter, og er en svært nyttig bro for de som kommer fra å administrere gruppepolicyobjekter, fordi den tillater å flytte en stor del av disse konfigurasjonene til en skybasert modell uten å måtte lære hver parameter fra bunnen av.

Identitetsbeskyttelse: Windows Hello, sertifikater, MFA og null tillit

Siden brukerkontoer er inngangsporten til bedriftsressurser, er det ikke nok å bare opprette dem og tilordne enhetspolicyer til dem: det er nødvendig å Styrk autentiseringen og reduser avhengigheten av passordDet er der flere komponenter som integreres med Intune kommer inn i bildet.

Windows Hello for bedrifter erstatter den klassiske brukernavn- og passordpåloggingen med en PIN-kode eller biometrisk faktor (ansikt, fingeravtrykk) koblet til enheten. Legitimasjon lagres og valideres lokalt, uten å måtte reise over nettverket eller være avhengig av en gjenbrukbar hemmelighet, noe som reduserer risikoen for passordtyveri.

Med Intune kan du opprette spesifikke Windows Hello-policyer i løpet av registreringsfasen ved hjelp av sikkerhetsgrunnlinjer (som Microsoft Defender for Endpoint eller Windows 10 og nyere) eller gå til konfigurasjonskatalogen for å justere parametere som minimum PIN-lengde, antall mislykkede forsøk, biometrikrav osv.

Sertifikatbasert autentisering er en annen viktig del av en passordløs strategi. Intune kan distribuere sertifikater til enheter og brukere for å autentisere dem på bedriftens Wi-Fi-nettverk, VPN-er eller e-postsystemer uten å måtte oppgi påloggingsinformasjon hver gang, noe som gjør opplevelsen smidigere og sikrere.

Flerfaktorautentisering (MFA), tilgjengelig via Microsoft Entra ID, legger til et ekstra lag med verifisering. Det kan være påkrevd. MFA for både innlogging og registrering av enheter i Intune, og dermed forsterker et av de mest følsomme øyeblikkene i identitetens livssyklus.

Til slutt er alt dette innrammet innenfor en visjon av Null tillitI dette miljøet anses ingenting og ingen som pålitelige som standard. Hver forespørsel evalueres med tanke på enhetens status, identitet, plassering, risiko og andre faktorer, med mål om å holde organisasjonens data innenfor en godt forsvart logisk perimeter.

Ved å kombinere kontoadministrasjon i Entra ID, enhetsadministrasjon med Intune, finjustert lokal rettighetskontroll (inkludert LAPS for macOS og lokal administratortildeling i Windows) og identitetssikkerhetstiltak som MFA, sertifikater og Windows Hello, kan du bygge et scenario der Den daglige IT-driften er mer smidig, og risikoen for sikkerhetshendelser er betydelig redusert.uten at det går på bekostning av en rimelig brukeropplevelse.