Hantera användar- och gruppidentiteter i Microsoft Intune

Att hantera och skydda användaridentiteter är en viktig del av alla strategier och lösningar för slutpunktshantering. Identitetshantering omfattar användarkonton och grupper som har åtkomst till organisationens resurser.

Administratörer måste hantera kontomedlemskap, auktorisera och autentisera åtkomst till resurser, hantera inställningar som påverkar användaridentiteter och skydda & skydda identiteterna mot skadliga avsikter.

Microsoft Intune kan utföra alla dessa uppgifter med mera. Intune är en molnbaserad tjänst som kan hantera användaridentiteter via principer, inklusive säkerhets- och autentiseringsprinciper. Mer information om Intune och dess fördelar finns i Vad är Microsoft Intune?.

Ur ett tjänstperspektiv använder Intune Microsoft Entra-ID för identitetslagring och behörigheter. Med hjälp av administrationscentret för Microsoft Intune kan du hantera dessa uppgifter på en central plats som är utformad för slutpunktshantering.

Den här artikeln beskriver begrepp och funktioner som du bör tänka på när du hanterar dina identiteter.

Använda dina befintliga användare och grupper

En stor del av hanteringen av slutpunkter är att hantera användare och grupper. Om du har befintliga användare och grupper eller skapar nya användare och grupper kan Intune hjälpa dig.

I lokala miljöer skapas och hanteras användarkonton och grupper i lokala Active Directory. Du kan uppdatera dessa användare och grupper med valfri domänkontrollant i domänen.

Det är ett liknande koncept i Intune.

Administrationscentret för Intune innehåller en central plats för att hantera användare och grupper. Administrationscentret är webbaserat och kan nås från alla enheter som har en Internetanslutning. Administratörer behöver bara logga in på administrationscentret med sitt Intune-administratörskonto.

Ett viktigt beslut är att avgöra hur användarkonton och grupper ska hämtas till Intune. Dina alternativ:

• Om du för närvarande använder Microsoft 365 och har dina användare och grupper i administrationscentret för Microsoft 365 är dessa användare och grupper också tillgängliga i Administrationscenter för Intune.

  Microsoft Entra ID och Intune använder en "klientorganisation", som är din organisation, till exempel Contoso eller Microsoft. Om du har flera klienter loggar du in på Administrationscenter för Intune i samma Microsoft 365-klientorganisation som dina befintliga användare och grupper. Dina användare och grupper visas automatiskt och är tillgängliga.

  Mer information om vad en klientorganisation är finns i Snabbstart: Konfigurera en klientorganisation.

• Om du för närvarande använder lokal Active Directory kan du använda Microsoft Entra Connect för att synkronisera dina lokala AD-konton till Microsoft Entra-ID. När dessa konton finns i Microsoft Entra-ID är de också tillgängliga i Administrationscenter för Intune.

  Mer specifik information finns i Vad är Microsoft Entra Connect Sync?.

• Du kan också importera befintliga användare och grupper från en CSV-fil till Intune-administrationscentret eller skapa användare och grupper från grunden. När du lägger till grupper kan du lägga till användare och enheter i dessa grupper för att organisera dem efter plats, avdelning, maskinvara med mera.

  Mer information om grupphantering i Intune finns i Lägg till grupper för att organisera användare och enheter.

Som standard skapar Intune automatiskt grupperna Alla användare och Alla enheter . När dina användare och grupper är tillgängliga för Intune kan du tilldela dina principer till dessa användare och grupper.

Flytta från datorkonton

När en Windows-slutpunkt, till exempel en Windows 10/11-enhet, ansluter till en lokal Active Directory-domän (AD) skapas ett datorkonto automatiskt. Dator-/datorkontot kan användas för att autentisera lokala program, tjänster och appar.

Dessa datorkonton är lokala i den lokala miljön och kan inte användas på enheter som är anslutna till Microsoft Entra-ID. I det här fallet måste du växla till användarbaserad autentisering för att autentisera till lokala program, tjänster och appar.

Mer information och vägledning finns i Kända problem och begränsningar med molnbaserade slutpunkter.

Roller och behörigheter styr åtkomsten

För olika administratörstyper av uppgifter använder Intune rollbaserad åtkomstkontroll (RBAC). De roller som du tilldelar avgör vilka resurser en administratör kan komma åt i Intune-administrationscentret och vad de kan göra med dessa resurser. Det finns några inbyggda roller som fokuserar på slutpunktshantering, till exempel Programhanteraren, Princip- och profilhanteraren med mera.

Eftersom Intune använder Microsoft Entra-ID har du även åtkomst till de inbyggda Microsoft Entra-rollerna, till exempel Intune-tjänstadministratören.

Varje roll har sina egna behörigheter för att skapa, läsa, uppdatera eller ta bort efter behov. Du kan också skapa anpassade roller om dina administratörer behöver en specifik behörighet. När du lägger till eller skapar din administratörstyp av användare och grupper kan du tilldela dessa konton till de olika rollerna. Intune-administrationscentret har den här informationen på en central plats och kan enkelt uppdateras.

Mer information finns i Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune

Skapa användartillhörighet när enheter registreras

När användarna loggar in på sina enheter första gången associeras enheten med den användaren. Den här funktionen kallas användartillhörighet.

Alla principer som tilldelats eller distribuerats till användaridentiteten följer med användaren till alla deras enheter. När en användare är associerad med enheten kan de komma åt sina e-postkonton, sina filer, sina appar med mera.

När du inte associerar en användare med en enhet betraktas enheten som användarlös. Det här scenariot är vanligt för kioskenheter som är dedikerade till en viss uppgift och enheter som delas med flera användare.

I Intune kan du skapa principer för båda scenarierna i Android, iOS/iPadOS, macOS och Windows. När du gör dig redo att hantera dessa enheter måste du känna till enhetens avsedda syfte. Den här informationen hjälper till i beslutsprocessen när enheter registreras.

Mer specifik information finns i registreringsguiderna för dina plattformar:

• Distributionsguide: Registrera Android-enheter i Microsoft Intune
• Distributionsguide: Registrera iOS- och iPadOS-enheter i Microsoft Intune
• Distributionsguide: Registrera macOS-enheter i Microsoft Intune
• Distributionsguide: Registrera Windows-enheter i Microsoft Intune

Tilldela principer till användare och grupper

Lokalt arbetar du med domänkonton och lokala konton och distribuerar sedan grupprinciper och behörigheter till dessa konton på lokal nivå, plats, domän eller organisationsenhetsnivå (LSDOU). En organisationsenhetsprincip skriver över en domänprincip, en domänprincip skriver över en webbplatsprincip och så vidare.

Intune är molnbaserad. Principer som skapats i Intune innehåller inställningar som styr enhetsfunktioner, säkerhetsregler med mera. Dessa principer tilldelas dina användare och grupper. Det finns ingen traditionell hierarki som LSDOU.

Inställningskatalogen i Intune innehåller tusentals inställningar för att hantera iOS/iPadOS-, macOS- och Windows-enheter. Om du för närvarande använder lokala grupprincipobjekt är det en naturlig övergång till molnbaserade principer att använda inställningskatalogen.

Mer information om principer i Intune finns i:

• Använd inställningskatalogen för att konfigurera inställningar på Windows-, iOS/iPadOS- och macOS-enheter
• Vanliga frågor och svar med enhetsprinciper och profiler i Microsoft Intune

Skydda dina användaridentiteter

Dina användar- och gruppkonton har åtkomst till organisationsresurser. Du måste skydda dessa identiteter och förhindra skadlig åtkomst till identiteterna. Här följer några saker att tänka på:

• Windows Hello för företag ersätter inloggning med användarnamn och lösenord och ingår i en strategi utan lösenord.

  Lösenord anges på en enhet och överförs sedan via nätverket till servern. De kan fångas upp och användas av vem som helst och var som helst. Ett serverintrång kan avslöja lagrade autentiseringsuppgifter.

  Med Windows Hello för företag loggar användarna in och autentiserar med en PIN-kod eller biometrisk kod, till exempel ansikts- och fingeravtrycksigenkänning. Den här informationen lagras lokalt på enheten och skickas inte till externa enheter eller servrar.

  När Windows Hello för företag distribueras till din miljö kan du använda Intune för att skapa Windows Hello för företag-principer för dina enheter. Dessa principer kan konfigurera PIN-inställningar, tillåta biometrisk autentisering, använda säkerhetsnycklar med mera.

  Mer information finns i:

  • Översikt över Windows Hello för företag
  • Hantera Windows Hello för företag på enheter när enheter registreras med Intune

  Om du vill hantera Windows Hello för företag använder du något av följande alternativ:

  • Under enhetsregistreringen: Konfigurera en princip för hela klientorganisationen som tillämpar Windows Hello-inställningar på enheter när enheten registreras med Intune.
  • Säkerhetsbaslinjer: Vissa inställningar för Windows Hello kan hanteras via Intunes säkerhetsbaslinjer, till exempel baslinjerna för Microsoft Defender för Endpoint-säkerhet eller Säkerhetsbaslinje för Windows 10 och senare.
  • Inställningskatalog: Inställningarna från endpoint security Kontoskyddsprofiler är tillgängliga i Intune-inställningskatalogen.

• Certifikatbaserad autentisering är också en del av en lösenordsfri strategi. Du kan använda certifikat för att autentisera dina användare till program och organisationsresurser via ett VPN, en Wi-Fi-anslutning eller e-postprofiler. Med certifikat behöver användarna inte ange användarnamn och lösenord och kan göra det enklare att komma åt dessa resurser.

  Mer information finns i Använda certifikat för autentisering i Microsoft Intune.

• multifaktorautentisering (MFA) är en funktion som är tillgänglig med Microsoft Entra ID. För att användarna ska kunna autentisera krävs minst två olika verifieringsmetoder. När MFA distribueras till din miljö kan du också kräva MFA när enheter registreras i Intune.

  Mer information finns i:

  • Planera en distribution av Multifaktorautentisering i Microsoft Entra
  • Kräv multifaktorautentisering för Enhetsregistreringar i Intune

• Noll förtroende verifierar alla slutpunkter, inklusive enheter och appar. Tanken är att hjälpa till att behålla organisationsdata i organisationen och förhindra dataläckor från oavsiktlig eller skadlig avsikt. Den innehåller olika funktionsområden, inklusive Windows Hello för företag, MFA med mera.

  Mer information finns i Noll förtroende med Microsoft Intune.

Nästa steg

• Hantera enheter
• Hantera appar