使用 Intune 建立和管理本機帳戶、登入 ID 和設定文件

以有序的方式進行管理 本機帳戶、Microsoft Entra ID 帳戶（以前稱為 Azure AD）以及 Intune 企業設定檔 它已成為任何現代IT部門的關鍵組成部分。僅僅在Active Directory中創建用戶然後聽天由命已經遠遠不夠了：現在必須將雲端身份、混合設備、安全策略和自動化結合起來，同時還要兼顧用戶體驗。

本指南將詳細介紹如何 建立、同步和管理使用者帳戶、本機設定檔和管理員角色 我們將使用 Microsoft Entra ID、Intune，並在適當情況下使用本機目錄。我們也將探討如何在 Windows 和 macOS 中控制管理員權限（包括 LAPS for）。 免費下載）、裝置如何與使用者關聯，以及哪些安全性元素（MFA、憑證、Windows Hello、零信任）融入這個難題中。

Microsoft Entra ID、Intune 與使用者帳戶之間的關係

Microsoft Entra ID 是 Intune 所依賴的身分識別服務。這表示您在 Intune 中看到的使用者帳戶實際上位於 Entra 租用戶內。 Intune 不維護自己的獨立目錄；相反，它只是使用並擴展 Entra ID 中已有的內容。

如果您擁有足夠的權限 Microsoft Enter 中的角色為基礎的存取控制 (RBAC)您可以從三個地方管理使用者：Intune 管理中心、管理中心 微軟365 以及Entra自身的管理中心。後台授權始終相同，Intune的權限實際上是Entra基於角色的存取控制（RBAC）模型的子集。

Intune 還能與混合環境無縫整合： 您可以使用從本機 Active Directory 同步的帳戶。 使用者需使用 Entra ID，並與 Intune 和其他 Microsoft 365 雲端服務共用相同租用戶。因此，一旦使用者建立或同步到 Entra 並分配了 Intune 許可證，即可註冊裝置並存取企業資源。

除了純粹的身份相關方面之外，管理員還可以 將 Intune RBAC 角色指派給使用者群組 委派任務（例如，允許支援群組查看 LAPS 密碼或輪調密碼，而不將其設為全域管理員）。

在 Entra 和 Intune 中管理帳戶所需的最低 RBAC 權限

要透過 Intune 管理用戶，僅僅給他們一個內部 Intune 角色是不夠的： 該帳戶必須在 Microsoft Entra ID 中擁有適當的基於角色的存取控制 (RBAC) 權限。由於 Intune 角色是基於 Entra 模型，因此只有 Intune 角色而沒有 Entra 角色的管理員將無法管理目錄中的身分。

微軟的建議是嚴格遵守以下規定： 最小特權原則：只授予每個人與其角色相符的權限，並將最高特權角色（例如全域管理員或 Intune 管理員）僅保留給特定任務和高度控制的帳戶。

在Entra ID的整合角色中，最適合在不超出權限的情況下管理使用者的角色是： 使用者經理此角色可讓您在 Entra、Microsoft 365 和 Intune 管理中心建立、編輯和刪除使用者帳戶，而無需授予他們租用戶的絕對所有權。

透過 Microsoft 登入 ID 在 Intune 中註冊用戶

當我們談到向 Intune 添加用戶時，我們實際上指的是 在 Microsoft Intune 管理中心建立它們並輸入 ID此精靈與 Entra 的非常相似：您可以逐一註冊用戶，也可以透過 CSV 進行批次上傳。

對於個人註冊，第一步是訪問 Intune。 使用者 > 所有使用者 > 新使用者 > 建立新用戶在基本資訊標籤中，您可以設定 UPN（使用者主體名稱）、電子郵件別名、顯示名稱、初始密碼以及是否啟用帳戶創建，從而僅憑這些基本資訊即可完成所有準備工作。

此時定義的UPN是將要使用的憑證。 登入 Entra ID、Microsoft 365 和 Intune因此，確保使用者名稱格式（例如，firstname.surname@domain）與組織標準保持一致至關重要。所有新用戶首次登入時都必須更改密碼，以加強安全性。

如果您決定繼續使用「屬性」標籤，則會擴展訊息，其中包含身分欄位（姓名、姓氏、使用者類型：成員或訪客、基於憑證的身分驗證資料）、就業資料（職位、部門、經理）、聯絡方式、未成年人家長監護（在 K-12 教育環境中非常有用）以及 使用者使用位置這會影響法律和許可問題。

稍後，在「任務分配」部分，嚮導允許 將使用者關聯到 Entra ID 管理單元、最多 20 個群組和最多 20 個 Entra 角色。這非常實用，使用者可以攜帶正確的物品離開，並且如有必要，可以從第一天起就執行某些管理功能。

Entra 的管理單元功能強大，可將管理權限委派給部分使用者、群組或設備，但許多 Intune 部署更傾向於使用 範圍標籤和範圍組 將 Intune 服務本身的管理細分。

使用 CSV 檔案批次建立帳戶

導入大量使用者時，最有效的方法是使用… 從 Intune 管理中心批量創建 使用 CSV 檔案。此功能避免了手動建立每個用戶，並減少了人為錯誤。

流程很簡單：從 Intune 訪問 使用者 > 所有使用者 > 批次操作 > 批次創建控制台提供的 CSV 範本會被下載，並填寫所有待建立使用者的完整清單。此 CSV 檔案可以使用文字編輯器或 Excel 進行編輯，但必須保持格式不變。

文件完成後，會將其上傳回 Intune 進行處理， 資料驗證完成後，Entra ID 中將建立帳戶。這種 CSV 範本理念同樣適用於其他批次任務，例如使用者刪除。

使用 Entra ID 進行 Active Directory 同步以使用 Intune

在擁有本地基礎設施的組織中，利用以下技術是很常見的： 本機 Active Directory 與 Microsoft Entra ID 之間的目錄同步這樣，帳戶就可以在 AD 中進行管理，並複製到 Entra，然後在 Intune 和其他雲端服務中使用。

實現此目的有多種方法，但微軟支援的方法是配置一個 混合身份這樣可以確保使用者身分同時存在於 Active Directory 和 Entra ID 中。透過這種方式，修改仍然在本地進行，但會反映到雲端，而無需重複操作。

關鍵部件是 Microsoft Enter Connect 助手該 逐步指南 Active Directory 林與 Entra 租用戶之間的連結。在配置期間，需要選擇拓撲結構（單一林或多個林，一個或多個目錄），以及驗證方法：密碼雜湊同步、傳遞身份驗證 (PTA) 或與 AD FS 聯合。

在後台，Entra Connect 安裝並設定同步服務以及必要的元件。 活動目錄聯合身分驗證服務 (AD FS) 在適用情況下，以及模組 PowerShell的 / 適當的圖表，使基礎架構準備就緒，以便 AD 使用者顯示為雲端使用者。

為了使該模型有效運作，重要的是… Active Directory 管理員有權存取 Entra 租用戶 並接受經典 AD 任務和雲端目錄具體功能的訓練。

使用者刪除和批量操作

當員工離職時，僅僅收回他們的筆記型電腦是不夠的： 您需要停用或刪除您的使用者帳戶 要切斷對企業資源的存取。您可以從 Intune 管理中心發起刪除 Entra ID 帳戶的操作，該操作也會將這些帳戶從 Intune 中移除。

若要單獨執行此操作，請登入 Intune，然後前往 用戶 > 所有用戶選擇相關帳戶，然後按一下「刪除」。此操作要求管理員帳戶至少擁有與 Microsoft 登入中的「使用者管理員」角色同等的權限。

如果需要進行大規模清理（例如，大量註銷帳戶或清理舊帳戶），那麼我們再次訴諸於… 使用 CSV 檔案進行批量操作在這種情況下，可以使用「批次刪除使用者」選項，下載模板，填寫要刪除的帳戶，然後上傳，以便系統可以處理請求。

考慮範圍很重要： 目前 Intune 範圍組之外的帳戶 它們無法從控制臺本身進行修改，因為作用域標籤和基於角色的存取控制限制了每個管理員可以存取的物件。

使用 Intune 建立和管理本機管理員帳戶

在許多環境中，仍然需要擁有 裝置上的本機管理員帳戶無論是現場支援任務、離線場景，或是在 Entra ID 連線出現問題時的最後手段，Intune 都提供了多種集中建立和管理這些帳戶的方法。

在Windows系統中，可以使用設定原則或腳本來… 建立具有管理員角色的本機帳戶 並加以控制。若要將 Entra ID 使用者或群組新增至本機管理員群組，您可以使用本機帳戶設定選項或 OMA-URI/帳戶保護機制，具體方法請參閱各種專屬指南。

這種方法可以防止每個技術人員在每台電腦上建立不同的本機帳戶，從而難以控制和審核誰對組織的設備擁有真正的存取權和高權限。

macOS ADE 和 LAPS：使用 Intune 管理的安全性本機帳戶

在蘋果系統中，Intune 與 Apple Business Manager / School Manager 整合。 使用 ADE 自動註冊 macOS 設備 （自動設備註冊）。針對此流程，微軟整合了類似 LAPS 的功能，但專為 Mac 設計，可實現本機帳戶的安全部署和管理。

電話 使用 LAPS 設定 macOS 本機帳戶 此功能在 macOS ADE 註冊設定檔中啟用，且僅適用於新註冊。它允許您在裝置上配置一個本機管理員帳戶，該帳戶具有強隨機加密密碼，並安全地儲存在 Intune 中。

此外，個人資料可能包括 本地標準用戶帳戶 該帳戶與管理員帳戶共存。設備註冊後，Intune 會自動輪換由 LAPS 管理的本地管理員的密碼，大約每六個月輪換一次，從而降低靜態密碼的風險。

如果 Mac 在 ADE 設定檔中啟動 LAPS 之前就已經註冊，則必須這樣做。 使用啟用了 LAPS 的 ADE 設定檔重新註冊。 這樣就能正確建立託管帳戶並將其與密碼輪換週期關聯起來。

預設情況下，為這些管理員帳戶產生的密碼有 15 個字符，可組合大寫字母、小寫字母、數字和特殊字符這樣既能提供相當高的複雜性，又不會在偶爾需要引入時難以處理。

macOS LAPS 的基於角色的存取控制 (RBAC) 要求和權限

為了使 macOS LAPS 正常運作，需要滿足以下幾個條件： 最低設備和註冊要求 這些要求不容忽視。系統必須執行 macOS 12 或更高版本，電腦必須透過 Apple Business Manager 或 School Manager 與 Intune 同步，並且必須透過 macOS ADE 設定檔進行註冊。

除了技術要求外，密碼管理還需要在 Intune 中設定特定的基於角色的存取控制 (RBAC) 權限。 招生計劃 在 Intune 的 RBAC 模型中，您需要為應該能夠查看或輪換密碼的管理角色或群組啟用「查看 macOS 管理員密碼」和「輪換 macOS 管理員密碼」權限。

這種粒度允許，例如： 二級支援團隊可以查看或重新產生密碼 無需成為全域 Intune 管理員即可成為 Mac 的本機管理員，從而降低風險面。

macOS ADE 設定檔中的帳戶和密碼設定選項

在 Intune 中編輯或建立 macOS ADE 註冊設定檔時，會顯示一個選項卡，用於… 帳號設置 這裡啟用本機管理員帳戶和標準使用者帳戶。預設情況下，這兩個選項均處於停用狀態，因此您必須明確選擇要建立哪些帳戶。

如果您選擇建立本機管理員帳戶或標準使用者帳戶，則會啟動並產生 macOS LAPS 配置集。 唯一的 15 個字元密碼 根據前面討論過的複雜性規則，後端強制將“await final”參數設為“是”，以便在裝置的初始設定精靈期間執行帳戶建立操作。

對於本機管理員帳戶，您可以定義 使用者名稱和管理員全名 可以使用固定值，也可以使用動態變量，例如 {{serialNumber}}、{{partialupn}}、{{managedDeviceName}} 或 {{onPremisesSamAccountName}}，這些變數會被裝置本身或使用者的資料取代。

還有一種選擇是 在登入介面和使用者與群組中隱藏帳戶這樣可以防止最終使用者一眼看到密碼。除了 LAPS 的基本自動輪換週期外，還可以指定一個額外的輪換週期（以天為單位），使密碼以 1 到 180 天之間的特定間隔輪換。

對於標準本機使用者帳戶，可以定義帳戶類型等元素（預設為標準帳戶，但如果未配置本機管理員帳戶，則由於平台限制，系統會將其提升為管理員帳戶），如果需要的話。 預先填寫帳戶資訊主帳戶名稱和全名，也支援變數。

此外，您還可以決定最終用戶是否可以 編輯帳號名稱和全名 在設定精靈中，相應地配置編輯限制選項。

在 macOS 上查看和手動輪換 LAPS 密碼

若要檢查使用 LAPS 管理的 Mac 的本機管理員密碼，您需要被指派 RBAC 權限。 查看 macOS 管理員密碼 在「Intune 註冊計畫」類別下。如果沒有該權限，控制台將不會顯示敏感資訊。

查看密碼的過程包括：進入 Intune 管理中心，登入 設備 > 設備 > macOS選擇目標計算機，然後在“常規資訊”面板中開啟“密碼和密鑰”部分。您將在此處看到本機管理員帳戶的目前密碼以及上次密碼輪替的日期。

如果在該視圖中正確檢索到密碼，則表示 本機管理員帳戶由 Intune 管理。否則，設備可能未配置適當的 ADE 配置文件，或在註冊期間未套用 LAPS。

除了自動旋轉之外，還有一種稱為遠端操作的功能。 更改本機管理員密碼 這允許強制立即更改密碼。若要使用此功能，管理員必須在其角色中啟用 macOS 密碼輪替 RBAC 權限。

當您在裝置上執行此操作時，Intune 會產生一個新密碼，將其發送到計算機，等待其應用，並使用新憑證和更改發生的準確時間更新控制台，這些資訊在「密碼和金鑰」部分中再次可見。

所有這些操作，包括可視化和手動旋轉，都體現在… Intune 稽核日誌在租用戶管理稽核日誌部分，可以找到諸如「Get AdminAccountDto」（密碼查詢）和「rotateLocalAdminPassword ManagedDevice」（已執行輪替）之類的條目，從而有助於追溯和合規性。

加入 Enter 的 Windows 裝置上的本機管理員管理

在Windows環境下，要管理一台計算機，不可或缺 屬於該裝置的本機管理員群組當裝置加入 Microsoft Entra ID 時，此程序會自動更新其在本機管理員群組中的成員資格。

在加入 Entra ID 的過程中，某些預設安全性主體會被加入到本機管理員群組，其中包括： 擁有 Microsoft 關聯設備的本機管理員角色。登入這樣，您就可以控制誰擁有設備的高級權限，而無需逐一操作。

最大的優勢在於，透過在登入過程中向該角色添加使用者或群組， 所有加入 Entra 的設備的管理員都會更新 無需修改每台機器的本機配置。這自然符合最小權限原則，因為… administrador de dispositivos 來自全域管理員。

角色管理在Entra入口網站的裝置配置中進行：使用至少具有管理員角色權限的帳戶登錄，然後導航至 前往 ID > 設備 > 所有設備 > 設備設置 並使用該選項管理加入 Entra 的所有裝置上的其他本機管理員。

了解這個角色很重要。 這適用於所有連接到 Entra 的裝置。 而且，更改不能局限於某個子集。此外，變更並非立即生效：新的主刷新權杖 (PRT) 可能需要長達四個小時才能頒發，其中包含新增或撤銷的權限，且使用者必須登出並重新登入才能使變更生效。

使用入口群組和 MDM 策略進行本機權限控制

如果需要比全域本機管理員角色更精細的方法來管理加入 Entra 的設備，則可以採用以下方法： 本機使用者和群組的 MDM 策略此原則可讓您在執行 Windows 10 或更高版本的電腦上，將登入使用者和群組指派給特定的本機群組（管理員、使用者、來賓、進階使用者、遠端桌面使用者等）。

透過這種配置，組織可以使用 Intune 定義自訂 OMA-URI 策略或使用 帳戶保護政策 確保 Entra 群組僅對某些裝置或裝置集合取得本機管理員權限。

要新增Entra群組，您需要了解他們的資訊。 SID（安全識別碼）這是透過 Microsoft Graph API 分析群組物件的 securityIdentifier 屬性獲得的。然後，在策略配置中引用此 SID。

需要考慮一些限制：這種透過入口群組管理本機管理員的方法有一些限制。 這不適用於加入網域的混合裝置或僅在 Entra 註冊的裝置。此外，以這種方式新增的群組無法控制遠端桌面連接，您仍需要將使用者的 SID 直接新增至裝置上的對應群組。

Windows 中的標準使用者管理與手動提升

預設情況下，當使用者將裝置加入 Microsoft 登入 ID 時， 該使用者將成為電腦的本機管理員。在許多公司，這並非理想之選，因為它會增加風險範圍並使情況變得複雜。 改變控制 在團隊中。

為了防止執行加入操作的使用者是管理員，有兩種非常常見的策略：使用 Windows自動駕駛儀 透過設定配置文件，防止主用戶成為管理員。或採用大量註冊的方式，加入 Entra 時，使用者將以自行建立的技術使用者身分註冊，而稍後登入的最終使用者仍為標準使用者。

當您需要手動提升特定裝置上特定使用者的權限時，可以直接透過 Windows 介面進行操作。從 Windows 10 版本 1709 開始，在 設定 > 帳戶 > 其他用戶 若要新增專業用戶或教育用戶，請輸入他們的 UPN 並選擇「管理員」作為帳戶類型。

此外，還有線上選項。 命令 若要將使用者新增至本機管理員群組： net localgroup administrators /add “Contoso\user” 如果使用者是從 AD 同步的，或者 net localgroup administrators /add “AzureAD\UPN” 如果身分是直接在 Entra ID 中建立的。無論哪種情況，您都必須已經是電腦的本機管理員才能執行這些命令。

作為附加考慮因素，僅可分配以下各項。 已加入本機設備管理員角色的基於角色的群組B2B 訪客不會透過此角色獲得本機管理員權限，並且從該角色中刪除使​​用者時，權限的遺失會延遲發生，在 PRT 續訂和重新登入時才會發生。

使用 Intune 的現有使用者和群組

許多部署環境已經擁有本機和雲端的帳戶和群組，所以這樣做是合理的。 使用 Intune 重複使用該身分結構 Intune 管理中心提供了一個集中式視圖，用於管​​理這些使用者和群組，而無需從頭開始建立所有內容。

如果組織已在使用 Microsoft 365，則帳戶和群組均透過 Microsoft 365 管理中心進行管理。 它們也會自動出現在 Intune 中。前提是使用同一租戶。 Entra ID 和 Intune 共用相同租用戶，因此只需使用正確的管理員帳戶登入 Intune 即可。

如果從完全本機且使用 Active Directory 的環境開始，建議的策略是： 使用 Entra Connect Sync 將 AD 帳戶與 Entra ID 同步一旦身分識別資訊在雲端目錄中可用，它們就會在 Intune 中可見，並且可以接收裝置策略。

也有可能 從 CSV 檔案匯入使用者和群組 您可以直接在 Intune 中建立它們，也可以從頭開始手動創建，並按部門、位置、設備類型等進行組織。 Intune 預設會建立「所有使用者」和「所有裝置」群組，這些群組可作為應用廣泛配置的全域目標。

在 Intune 中使用角色和權限來控制訪問

Intune 中的授權嚴重依賴於基於角色的存取控制 (RBAC)。每個管理員都被賦予一個或多個角色，這些角色決定了授權的實現。 你可以看到哪些資源？你可以採取哪些行動？ 在 Intune 管理中心內，內建了針對特定任務的角色，例如應用程式管理員或策略和設定檔管理員。

由於 Intune 支援 Entra ID，您也可以使用 整合角色例如，Intune 服務管理員會授予一組與服務管理相關的權限。此外，您還可以為更細微的場景定義自訂角色，調整讀取、建立、更新或刪除權限。

在實踐中，角色分配通常與以下方式結合使用： 範圍標籤 根據區域、業務部門或公司認為有意義的任何其他細分，定義每個角色可以看到哪些物件（裝置、設定檔、應用程式）。

用戶在設備註冊中的偏好

當裝置註冊到 Intune 並且使用者首次登入時，系統會建立所謂的 使用者親和力該設備與該主用戶關聯。由此，策略和 應用程序 指派給使用者的權限也適用於關聯設備。

這種行為方式非常適合個人工作團隊。 手提 企業或設備明確且永久分配給個人。它允許用戶擁有自己的 電子郵件帳戶、文件、應用程式和設定 在所有具有活躍親和性的設備上與他們的身份關聯。

如果您不想將裝置與使用者關聯，則註冊為 無用戶設備這種方法常見於自助服務終端、會議室螢幕、共享設備或專用於特定任務的終端，在這些終端中，設備的狀態比連接者的身分更重要。

Intune針對這兩種情況都提供了具體的指示。 AndroidiOS/iPadOS、macOS 和 Windows，因此仔細規劃要註冊的裝置類型可以避免以後出現應用程式分配或限制方面的問題。

使用者和群組的策略分配與本地 LSDOU 模型

在完全本機部署且使用 Active Directory 的環境中，群組原則依照下列層次結構套用。 LSDOU（本地、站點、網域、組織單元）Intune 的概念有所不同，因為它不存在這種傳統的層級結構。通常情況下，距離目標物件最近的組織單元 (OU) 中的群組原則物件 (GPO) 具有較高的優先權。

Intune 在雲端建立設定檔和策略，然後 直接將它們指派給使用者或群組預設沒有繼承級別，但可以透過調整群組、過濾器以及包含和排除分配的組合來近似地建立層次結構。

Intune 設定目錄匯集了適用於 Windows、iOS/iPadOS 和 macOS 設備的數千個設置，對於從管理 GPO 轉過來的用戶來說，它是一個非常有用的橋樑，因為它允許… 將其中大部分配置遷移到基於雲端的模型 無需從頭開始學習每個參數。

身分保護：Windows Hello、憑證、多因素驗證 (MFA) 和零信任。

由於使用者帳戶是存取公司資源的入口，因此僅建立帳戶並為其分配設備策略是不夠的：還需要： 加強身份驗證並減少對密碼的依賴這時就需要用到幾個與 Intune 整合的元件了。

企業版 Windows Hello 以一個捷徑取代了傳統的使用者名稱和密碼登入。 個人識別碼或生物辨識因素 （臉部、指紋）與設備關聯。憑證儲存在本地並進行驗證，無需透過網路傳輸或依賴可重複使用的金鑰，從而降低密碼被盜的風險。

使用 Intune，您可以在註冊階段建立特定的 Windows Hello 原則。 安全基線 （例如 Microsoft Defender for Endpoint 或 Windows 10 及更高版本）或前往配置目錄調整參數，例如最小 PIN 碼長度、失敗嘗試次數、生物辨識要求等。

基於憑證的身份驗證是無密碼原則的另一個重要組成部分。 Intune 可以 向設備和使用者分發證書 無需每次都輸入憑證，即可在企業 Wi-Fi 網路、VPN 或電子郵件系統中驗證其身份，使體驗更加流暢和安全。

多重身份驗證 (MFA) 可透過 Microsoft Entra ID 實現，它增加了第二層驗證。此功能可能被強制要求。 在 Intune 中，登入和註冊設備均需啟用 MFA。從而強化了身分認同生命週期中最敏感的時刻之一。

最後，這一切都被置於一個願景框架內： 零信任在這種環境下，任何事物或任何人默認情況下都不被認為是可信的。每個請求都會根據設備的狀態、身分、位置、風險和其他因素進行評估，目的是將組織的資料保護在一個防禦嚴密的邏輯邊界內。

將 Entra ID 中的帳戶管理、Intune 中的裝置管理、細粒度的本機權限控制（包括 macOS 的 LAPS 和 Windows 中的本機管理員指派）以及身分安全措施（例如 MFA、憑證和 Windows Hello）結合，您可以建立一個場景，其中 日常IT運維更靈活，安全事件風險也顯著降低。在不犧牲合理使用者體驗的前提下。