Důležité informace o nasazení a nejčastější dotazy ke správě oprávnění koncového bodu
Poznámka
Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňků sady Intune.
S Microsoft Intune Endpoint Privilege Management (EPM) můžou uživatelé vaší organizace spouštět jako standardní uživatel (bez oprávnění správce) a provádět úlohy, které vyžadují zvýšená oprávnění. Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.
Správa oprávnění koncového bodu podporuje vaši cestu nulové důvěryhodnosti tím, že pomáhá vaší organizaci dosáhnout široké uživatelské základny spuštěné s minimálními oprávněními a zároveň umožňuje uživatelům stále spouštět úlohy povolené vaší organizací, aby zůstali produktivní.
Následující části tohoto článku se týkají aspektů nasazení a nejčastějších dotazů k EPM.
Platí pro:
- Windows 10
- Windows 11
Důležité informace o nasazení pro správu oprávnění koncového bodu
Zařízení s Windows 10 nemusí okamžitě obdržet potvrzení o schválení podpory
Pracujeme na řešení několika scénářů, které brání zařízením s Windows 10 automaticky přijímat oznámení, že je pro zařízení připravené nové schválení, když použijete schválené zvýšení úrovně podpory. Ve spolupráci s vlastníkem to vyřešíme co nejrychleji.
Organizace, která zakázala Řízení uživatelských účtů,může docházet k problémům se správou oprávnění koncového bodu
Správa oprávnění koncového bodu nepodporuje explicitní zakázání řízení uživatelských dat. Existují ovládací prvky zásad Windows pro chování příkazového řádku řízení uživatelských účtů, které řídí chování nástroje Řízení uživatelských účtů. Pokud organizace podniknou další kroky k zakázání Řízení uživatelských účtů mimo stávající řízení zásad, jako je zakázání služeb Windows, může docházet k problémům se správou oprávnění koncového bodu.
Organizace používající řízení aplikací pro firmy můžou mít problémy se spuštěním správy oprávnění koncového bodu
Zásady řízení aplikací pro firmy, které nezohlácují komponenty klienta EPM, můžou bránit fungování komponent EPM. Pokud chcete používat EPM s AppControlem, ujistěte se, že vaše zásady řízení aplikací obsahují pravidla, která umožňují funkci EPM. Další informace o řešení potíží s řízením aplikací najdete v tématu Ladění wdac a řešení potíží.
Poznámka
EPM není součástí výchozích zásad pro řízení aplikací a může vyžadovat vytvoření vlastních zásad.
Organizace, které omezují uživatele, kteří se můžou přihlašovat interaktivně, můžou docházet k problémům se správou oprávnění koncového bodu.
Správa oprávnění koncového bodu používá izolovaný účet k usnadnění zvýšení oprávnění. Tento účet vyžaduje možnost vytvořit relaci interaktivního přihlašování. Organizace, které omezují možnosti uživatelů vytvářet interaktivní relace, musí udělat změny, aby EPM správně fungovalo.
Uživatelé, kteří žádají o schválení podpory pro zvýšení oprávnění, musí být primárním uživatelem na zařízení.
Správa oprávnění koncového bodu v současné době vyžaduje, aby uživatel, který žádá o zvýšení oprávnění, byl primárním uživatelem zařízení. Pracujeme na odebrání tohoto omezení v budoucí verzi.
Vytváření souborů s názvem souboru jako jedním z jediných atributů pro identifikaci
Název souboru je atribut, který lze použít ke zjištění aplikace, u které je potřeba zvýšit oprávnění. Není však chráněn podpisem souboru.
Názvy souborů jsou vysoce náchylné ke změnám a u souborů podepsaných certifikátem, kterému důvěřujete, může dojít ke změně názvu, aby se zjistilo a následně zvýšilo oprávnění , což nemusí být vaše zamýšlené chování.
Důležité
Vždy zajistěte, aby pravidla včetně názvu souboru obsahovala další atributy, které poskytují silný kontrolní výraz pro identitu souboru. Atributy, jako je hodnota hash souboru nebo vlastnosti, které jsou součástí podpisu souborů, jsou dobrými indikátory toho, že soubor, který chcete, je pravděpodobně soubor se zvýšenými oprávněními.
Pokud se zásady nastavení zvýšení oprávnění rychle po sobě změní, můžou se zobrazovat konflikty.
Správa oprávnění koncového bodu hlásí stav jednotlivých použitých nastavení pomocí profilu Nastavení zvýšení oprávnění . Pokud se nastavení v tomto profilu (například Výchozí chování zvýšení oprávnění) změní několikrát rychle za sebou, může to vést ke konfliktu hlášení zařízení nebo k výchozímu chování Zamítnutí zvýšení oprávnění. Jedná se o přechodný stav, který se vyřeší bez další akce (za méně než 60 minut). Tento problém bude opraven v budoucí verzi.
Zablokovaným souborům staženým z internetu se nepodaří zvýšit úroveň
Ve Windows existuje chování, které nastavuje atribut pro soubory, které se stahují přímo z internetu, a brání jejich spuštění, dokud nebudou ověřeny. Systém Windows má funkce pro ověření reputace souborů stažených z internetu. Pokud se reputace souboru neověří, může se stát, že se nepodaří zvýšit úroveň.
Chcete-li toto chování opravit, odblokujte soubor odblokováním souboru v podokně vlastností souboru. Odblokování souboru by se mělo provést jenom v případě, že souboru důvěřujete.
Zařízení s Windows, která jsou připojená k pracovišti, nepovolí správu oprávnění koncového bodu
Správa oprávnění koncového bodu nepodporuje zařízení připojená k pracovišti. U těchto zařízení se při nasazení na zařízení nezobrazí úspěšné ani nezpracují zásady EPM (nastavení zvýšení oprávnění nebo pravidla zvýšení oprávnění).
Pravidla pro síťový soubor se nemusí podařit zvýšit úroveň
Správa oprávnění koncového bodu podporuje spouštění souborů, které jsou místně uložené na disku. Spouštění souborů ze síťového umístění, například ze sdílené síťové složky nebo mapované jednotky, se nepodporuje.
Správa oprávnění koncového bodu nepřijímá zásady, když v síťové infrastruktuře použiju kontrolu PROTOKOLU SSL
Správa oprávnění koncového bodu nepodporuje kontrolu PROTOKOLU SSL, která se označuje jako "break and inspect". Pokud chcete používat správu oprávnění koncového bodu, ujistěte se, že adresy URL uvedené v koncových bodech Intune pro správu oprávnění koncových bodů jsou vyloučené z kontroly.
Nejčastější dotazy
Proč se moje virtuální zařízení nepřiregistruje do služby Endpoint Privilege Management?
Azure Virtual Desktop v současné době nepodporuje správu oprávnění koncového bodu. Tento problém bude opraven v budoucí verzi.
Podpora pro Windows 365 (cloudové počítače) byla přidána v září 2023.
Proč se u mých zásad nastavení zvýšení oprávnění zobrazuje chyba nebo nejde použít?
Zásady nastavení zvýšení oprávnění řídí povolení EPM a konfiguraci komponent na straně klienta. Pokud je tato zásada chybná nebo se zobrazuje jako nepoužitelná, znamená to, že zařízení mělo problém s povolením EPM. Dvěma nejběžnějšími důvody jsou chybějící požadované aktualizace Windows nebo selhání komunikace s požadovanými koncovými body Intune pro správu oprávnění koncových bodů.
Co se stane, když někdo s oprávněními správce použije zařízení s povoleným EPM?
Správa oprávnění koncového bodu nespravuje žádosti uživatelů, kteří mají na zařízení oprávnění správce. Může se stát, že správce spustí soubor s pravidlem zvýšení oprávnění (konkrétně pravidlem automatického zvýšení oprávnění) definovaným na zařízení. Tato aplikace se spustí obvyklým způsobem pro správce a epm vygeneruje událost pro nespravované zvýšení oprávnění.
Jaké soubory je možné zvýšit oprávnění správce?
Správa oprávnění koncového bodu podporuje spustitelné soubory, včetně souborů s příponou .msi
a .ps1
skripty PowerShellu.
Proč se v položkách nabídky Start nezobrazuje možnost Spustit se zvýšeným přístupem?
Některé položky, které se nacházejí v nabídce Start nebo na hlavním panelu, mají kurátorované místní nabídky zobrazené po kliknutí pravým tlačítkem myši a místní nabídku EPM není možné do těchto nabídek přidat. Tento problém plánujeme vyřešit v budoucí verzi.
Můžu pomocí místní nabídky Spustit se zvýšeným přístupem spustit více souborů se zvýšenými oprávněními?
Najednou je možné zvýšit oprávnění pouze jednoho souboru. Pokud chcete spustit více souborů se zvýšenými oprávněními, klikněte pravým tlačítkem na jednotlivé soubory a vyberte Spustit se zvýšeným přístupem.