Zásady ochrany účtů pro zabezpečení koncových bodů v Intune
Pomocí zásad zabezpečení koncových bodů Intune pro ochranu účtů můžete chránit identitu a účty uživatelů a spravovat předdefinované členství ve skupinách na zařízeních.
Důležité
V červenci 2024 se následující profily Intune pro ochranu identit a ochrany účtů přestaly používat a nahradil je nový konsolidovaný profil s názvem Ochrana účtů. Tento novější profil se nachází v uzlu zásad ochrany účtů zabezpečení koncového bodu a je jedinou šablonou profilu, která zůstává k dispozici pro vytváření nových instancí zásad pro ochranu identit a účtů. Nastavení z tohoto nového profilu jsou k dispozici také prostřednictvím katalogu nastavení.
Všechny instance následujících starších profilů, které jste vytvořili, zůstanou dostupné k použití a úpravám:
- Ochrana identit – dříve dostupná v částiKonfigurace>zařízení>– Vytvoření>nové zásady>Windows 10 a novějších>šablon Identity>Protection
- Ochrana účtu (Preview) – dříve dostupná v částiOchrana> účtů zabezpečení >koncového boduWindows 10 a novějších>(Preview)
V uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune vyhledejte zásady zabezpečení koncových bodů pro ochranu účtů v části Spravovat.
Požadavky na profily ochrany účtů
- Aby zařízení podporovala profil ochrany účtu , musí používat Windows 10 nebo Windows 11.
- Aby zařízení podporovala profil členství v místní skupině uživatelů , musí používat Windows 10 20H2 nebo novější nebo Windows 11.
- Pokud chcete podporovat řešení *s heslem místního správce (Windows LAPS), přečtěte si téma Požadavky na podporu Microsoft Intune pro Windows LAPS.
Řízení přístupu na základě role (RBAC)
Pokyny k přiřazení správné úrovně oprávnění a práv ke správě profilů ochrany účtů Intune najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.
Profily ochrany účtů
Platforma: Windows:
Profily:
Ochrana účtu – Nastavení zásad ochrany účtu pomáhá chránit přihlašovací údaje uživatelů. Zásady ochrany účtů se zaměřují na nastavení pro Windows Hello pro firmy, která zahrnují nastavení s oborem zařízení i uživatele , a na ochranu Credential Guard, která je součástí správy identit a přístupu ve Windows.
- Windows Hello pro firmy nahrazuje hesla silným dvojúrovňovým ověřováním na počítačích a mobilních zařízeních.
- Ochrana Credential Guard pomáhá chránit přihlašovací údaje a tajné kódy, které používáte se svými zařízeními.
Další informace najdete v tématu Správa identit a přístupu v dokumentaci ke správě identit a přístupu ve Windows.
Nastavení v tomto profilu jsou k dispozici také v katalogu Nastavení.
Řešení pro hesla místního správce (Windows LAPS) – Pomocí tohoto profilu můžete nakonfigurovat windows LAPS na zařízeních. Windows LAPS umožňuje správu jednoho účtu místního správce pro každé zařízení. Zásady Intune můžou určit, na který účet místního správce se vztahuje, pomocí nastavení zásad Název účtu správce.
Další informace o používání Intune ke správě windows LAPS najdete tady:
- Přečtěte si o podpoře Intune pro Windows LAPS.
- Správa zásad LAPS
Členství v místní skupině uživatelů – Tento profil slouží k přidání, odebrání nebo nahrazení členů předdefinovaných místních skupin na zařízeních s Windows. Například místní skupina Administrators má obecná práva. Tuto zásadu můžete použít k úpravě členství ve skupině Správců a uzamknout ji na sadu výhradně definovaných členů.
Použití tohoto profilu je podrobně popsáno v následující části Správa místních skupin na zařízeních s Windows.
Správa místních skupin na zařízeních s Windows
Profil členství v místní skupině uživatelů můžete použít ke správě uživatelů, kteří jsou členy integrovaných místních skupin na zařízeních se systémem Windows 10 20H2 a novějším a zařízeními s Windows 11.
Tip
Další informace o podpoře správy oprávnění správce pomocí skupin Microsoft Entra najdete v tématu Správa oprávnění správce pomocí skupin Microsoft Entra v dokumentaci k Microsoft Entra.
Konfigurace profilu
Tento profil spravuje členství v místní skupině na zařízeních prostřednictvím CSP zásad – LocalUsersAndGroups. Dokumentace k CSP obsahuje další podrobnosti o tom, jak se konfigurace používají, a nejčastější dotazy týkající se použití CSP.
Při konfiguraci tohoto profilu můžete na stránce Nastavení konfigurace vytvořit více pravidel pro správu předdefinovaných místních skupin, které chcete změnit, akce skupiny, která se má provést, a metody výběru uživatelů.
Následující konfigurace můžete provést:
- Místní skupina: V rozevíracím seznamu vyberte jednu nebo více skupin. Všechny tyto skupiny použijí stejnou akci Skupiny a uživatele u uživatelů, které přiřadíte. V jednom profilu můžete vytvořit více než jedno seskupení místních skupin a každému seskupení místních skupin přiřadit různé akce a skupiny uživatelů.
Poznámka
Seznam místních skupin je omezený na šest předdefinovaných místních skupin, u kterých je zaručeno, že budou vyhodnoceny při přihlášení, jak je uvedeno v dokumentaci Jak spravovat místní skupinu administrators na zařízeních připojených k Microsoft Entra .
Akce skupiny a uživatele: Nakonfigurujte akci tak, aby se použila na vybrané skupiny. Tato akce se vztahuje na uživatele, které vyberete pro stejnou akci a seskupení místních účtů. Mezi akce, které můžete vybrat, patří:
- Přidat (aktualizovat): Přidá členy do vybraných skupin. Členství ve skupinách pro uživatele, které zásady nezadávají, se nezmění.
- Odebrat (aktualizace): Odebere členy z vybraných skupin. Členství ve skupinách pro uživatele, které zásady nezadávají, se nezmění.
- Přidat (nahradit): Nahraďte členy vybraných skupin novými členy, které určíte pro tuto akci. Tato možnost funguje stejným způsobem jako skupina s omezeným přístupem a odeberou se všechny členy skupiny, kteří nejsou v zásadách zadáni.
Upozornění
Pokud je stejná skupina nakonfigurovaná s akcemi Nahradit i Aktualizovat, akce Nahradit vyhraje. To se nepovažuje za konflikt. K takové konfiguraci může dojít v případě, že do stejného zařízení nasadíte více zásad nebo pokud je tento CSP také nakonfigurován pomocí Microsoft Graphu.
Typ výběru uživatele: Zvolte způsob výběru uživatelů. Mezi možnosti patří:
- Uživatelé: Vyberte uživatele a skupiny uživatelů z Microsoft Entra ID. (Podporováno pouze pro zařízení připojená k Microsoft Entra.
- Ruční: Zadejte uživatele a skupiny Microsoft Entra ručně, podle uživatelského jména, domény\uživatelského jména nebo identifikátoru zabezpečení skupiny (SID). (Podporuje se pro zařízení připojená k Microsoft Entra a hybridní připojená zařízení Microsoft Entra.
Vybraní uživatelé: V závislosti na vašem výběru pro typ výběru uživatele použijte jednu z následujících možností:
Vyberte uživatele: Vyberte uživatele a skupiny uživatelů z Microsoft Entra.
Přidat uživatele: Tato možnost otevře podokno Přidat uživatele , kde pak můžete zadat jeden nebo více identifikátorů uživatelů, které se zobrazí na zařízení. Uživatele můžete zadat podle identifikátoru zabezpečení (SID),domény\uživatelského jména nebo uživatelského jména.
Volba možnosti Ručně může být užitečná ve scénářích, kdy chcete spravovat místní uživatele služby Active Directory z Active Directory do místní skupiny pro zařízení s hybridním připojením Microsoft Entra. Podporované formáty identifikace výběru uživatele v pořadí od nejvíce upřednostňovaného po nejméně preferovaný je prostřednictvím identifikátoru SID, domény\uživatelské_jméno nebo uživatelského jména člena. Hodnoty ze služby Active Directory musí být použity pro hybridní zařízení, zatímco hodnoty z Microsoft Entra ID musí být použity pro připojení k Microsoft Entra. Identifikátory SID skupin Microsoft Entra je možné získat pomocí rozhraní Graph API pro skupiny.
Konflikty
Pokud zásady vytvoří konflikt členství ve skupině, konfliktní nastavení z každé zásady se do zařízení neodesílají. Místo toho se konflikt těchto zásad hlásí v Centru pro správu Microsoft Intune. Pokud chcete konflikt vyřešit, překonfigurujte jednu nebo více zásad.
Vytváření sestav
Když se zařízení přihlásí se změnami a použijí zásady, centrum pro správu zobrazuje stav zařízení a uživatelů jako úspěšný nebo chybný.
Vzhledem k tomu, že zásada může obsahovat více pravidel, zvažte následující body:
- Při zpracování zásad pro zařízení se v zobrazení stavu jednotlivých nastavení zobrazuje stav pro skupinu pravidel, jako by šlo o jedno nastavení.
- Každé pravidlo v zásadách, které vede k chybě, se přeskočí a neodesílá se do zařízení.
- Každé pravidlo, které je úspěšné, se odešle do zařízení, která se mají použít.