Überlegungen zur Bereitstellung und häufig gestellte Fragen zur Endpunktberechtigungsverwaltung
Hinweis
Diese Funktion ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.
Mit Microsoft Intune Endpoint Privilege Management (EPM) können die Benutzer Ihrer Organisation als Standardbenutzer (ohne Administratorrechte) ausgeführt und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnosen.
Endpoint Privilege Management unterstützt Ihre Zero-Trust-Journey, indem Sie Ihrer Organisation dabei helfen, eine breite Benutzerbasis mit geringsten Rechten zu erreichen, während Benutzer weiterhin Aufgaben ausführen können, die von Ihrer Organisation erlaubt sind, um produktiv zu bleiben.
In den folgenden Abschnitten dieses Artikels werden Überlegungen zur Bereitstellung und häufig gestellte Fragen zu EPM behandelt.
Gilt für:
- Windows 10
- Windows 11
Überlegungen zur Bereitstellung von Endpoint Privilege Management
Windows 10-Geräte erhalten möglicherweise nicht sofort eine Bestätigung der Supportgenehmigungen
Wir arbeiten daran, einige Szenarien zu beheben, die verhindern, dass Windows 10-Geräte automatisch die Benachrichtigung erhalten, dass eine neue Genehmigung für das Gerät bereit ist, wenn Sie genehmigte Rechteerweiterungen verwenden. Wir arbeiten mit dem Besitzer zusammen, um dies so schnell wie möglich zu beheben.
Bei Organisationen, bei denen die Benutzerkontensteuerung (User Account Control, UAC) deaktiviert wird, kann es zu Problemen mit der Endpunktberechtigungsverwaltung kommen.
Endpoint Privilege Management unterstützt die explizite Deaktivierung der UAC nicht. Windows-Richtliniensteuerelemente für UAC-Eingabeaufforderungsverhalten sind vorhanden, um das Verhalten von UAC zu steuern. Wenn Organisationen zusätzliche Schritte unternehmen, um UAC außerhalb der vorhandenen Richtliniensteuerelemente zu deaktivieren, z. B. das Deaktivieren von Windows-Diensten, können Probleme mit der Endpunktberechtigungsverwaltung auftreten.
Organisationen, die Die Anwendungssteuerung für Unternehmen verwenden, können Probleme beim Ausführen der Endpunktberechtigungsverwaltung auftreten
Anwendungssteuerungsrichtlinien für Unternehmen, die die EPM-Clientkomponenten nicht berücksichtigen, könnten verhindern, dass die EPM-Komponenten funktionieren. Um EPM mit AppControl zu verwenden, stellen Sie sicher, dass Ihre Anwendungssteuerungsrichtlinie Regeln enthält, die es EPM ermöglichen, zu funktionieren. Weitere Informationen zur Problembehandlung bei der Anwendungssteuerung finden Sie unter WDAC-Debuggen und Problembehandlung.
Hinweis
EPM ist nicht in den Standardrichtlinien für die Anwendungssteuerung enthalten und erfordert möglicherweise die Erstellung benutzerdefinierter Richtlinien.
Organisationen, die Benutzer einschränken, die sich interaktiv anmelden können, können Probleme mit der Endpoint Privilege Management-Verwaltung feststellen.
Endpoint Privilege Management verwendet ein isoliertes Konto, um Rechteerweiterungen zu ermöglichen. Dieses Konto erfordert die Möglichkeit, eine interaktive Anmeldesitzung zu erstellen. Organisationen, die die Möglichkeit einschränken, dass Benutzer interaktive Sitzungen erstellen können, müssen Änderungen vornehmen, damit EPM ordnungsgemäß funktioniert.
Benutzer, die die Supportgenehmigung für rechte Rechte anfordern, müssen der primäre Benutzer auf dem Gerät sein.
Endpoint Privilege Management erfordert derzeit, dass der Benutzer, der eine Erhöhung anfordert, der primäre Benutzer des Geräts ist. Wir arbeiten daran, diese Einschränkung in einer zukünftigen Version zu entfernen.
Erstellen von Dateien mit einem Dateinamen als eines der einzigen Attribute für die Identifizierung
Dateiname ist ein Attribut, das verwendet werden kann, um eine Anwendung zu erkennen, die mit erhöhten Rechten versehen werden muss. Sie ist jedoch nicht durch die Signatur der Datei geschützt.
Dateinamen sind sehr anfällig für Änderungen, und Dateien, die mit einem Zertifikat signiert sind, dem Sie vertrauen, könnten ihren Namen ändern, um erkannt und anschließend erhöhte Rechte zu erhalten, was möglicherweise nicht Ihr beabsichtigtes Verhalten ist.
Wichtig
Stellen Sie immer sicher, dass Regeln, einschließlich eines Dateinamens, andere Attribute enthalten, die eine starke Assertion für die Identität der Datei bereitstellen. Attribute wie Dateihash oder Eigenschaften, die in der Dateisignatur enthalten sind, sind gute Indikatoren dafür, dass die gewünschte Datei wahrscheinlich die Datei ist, die mit erhöhten Rechten versehen wird.
Richtlinien für Rechteerweiterungseinstellungen können Konflikte anzeigen, wenn sie in schneller Folge geändert werden
Endpoint Privilege Management meldet den Status einzelner Einstellungen, die mithilfe des Profils "Rechteerweiterungseinstellungen" angewendet werden. Wenn Einstellungen in diesem Profil (z. B. Standardverhalten der Rechteerweiterungen) mehrmals in schneller Folge geändert werden, kann dies dazu führen, dass das Gerät einen Konflikt meldet oder auf das Standardverhalten zurückfällt, bei dem die Rechteerweiterung verweigert wird. Dies ist ein vorübergehender Zustand, der ohne weitere Aktion (in weniger als 60 Minuten) aufgelöst wird. Dieses Problem wird in einer zukünftigen Version behoben.
Blockierte Dateien, die aus dem Internet heruntergeladen wurden, können keine Rechte erhöhen
Das Verhalten in Windows ist vorhanden, um ein Attribut für Dateien festzulegen, die direkt aus dem Internet heruntergeladen werden, und verhindert, dass sie bis zur Überprüfung ausgeführt werden. Windows verfügt über Funktionen zum Überprüfen der Zuverlässigkeit von Dateien, die aus dem Internet heruntergeladen wurden. Wenn eine Dateizulässigkeit nicht überprüft wird, kann die Erhöhung möglicherweise fehlschlagen.
Um dieses Verhalten zu korrigieren, heben Sie die Blockierung der Datei auf, indem Sie die Blockierung im Dateieigenschaftenbereich aufheben. Das Aufheben der Blockierung einer Datei sollte nur erfolgen, wenn Sie der Datei vertrauen.
Windows-Geräte, die "an den Arbeitsplatz eingebunden" sind, können die Endpunktberechtigungsverwaltung nicht aktivieren.
Geräte, die an den Arbeitsplatz eingebunden sind, werden von Endpoint Privilege Management nicht unterstützt. Diese Geräte zeigen keine erfolgreichen EPM-Richtlinien (Rechteerweiterungseinstellungen oder Rechteerweiterungsregeln) an, wenn sie auf dem Gerät bereitgestellt werden.
Regeln für eine Netzwerkdatei können möglicherweise keine Erhöhten ausführen.
Endpoint Privilege Management unterstützt das Ausführen von Dateien, die lokal auf dem Datenträger gespeichert sind. Das Ausführen von Dateien von einem Netzwerkspeicherort, z. B. einer Netzwerkfreigabe oder einem zugeordneten Laufwerk, wird nicht unterstützt.
Endpoint Privilege Management empfängt keine Richtlinie, wenn ich eine "SSL-Überprüfung" für meine Netzwerkinfrastruktur verwende
Endpoint Privilege Management unterstützt keine SSL-Überprüfung, die als "Unterbrechen und Überprüfen" bezeichnet wird. Um endpoint Privilege Management zu verwenden, stellen Sie sicher, dass die unter Intune Endpoints for Endpoint Privilege Management aufgeführten URLs von der Überprüfung ausgenommen sind.
Häufig gestellte Fragen
Warum wird mein virtuelles Gerät nicht in Endpoint Privilege Management integriert?
Derzeit wird Endpoint Privilege Management nicht mit Azure Virtual Desktop unterstützt. Dieses Problem wird in zukünftiger Version behoben.
Unterstützung für Windows 365 (Cloud-PCs) wurde im September 2023 hinzugefügt.
Warum zeigt meine Richtlinie für Die Rechteerweiterungseinstellungen einen Fehler/nicht zutreffend an?
Die Einstellungsrichtlinie für Rechteerweiterungen steuert die Aktivierung von EPM und die Konfiguration der clientseitigen Komponenten. Wenn diese Richtlinie fehlerhaft ist oder nicht anwendbar ist, deutet dies darauf hin, dass beim Aktivieren von EPM ein Problem auf dem Gerät aufgetreten ist. Die beiden häufigsten Gründe sind fehlende erforderliche Windows-Updates oder fehler bei der Kommunikation mit erforderlichen Intune-Endpunkten für die Endpunktberechtigungsverwaltung.
Was passiert, wenn jemand mit Administratorrechten ein Gerät verwendet, das für EPM aktiviert ist?
Endpoint Privilege Management verwaltet keine Rechteerweiterungsanforderungen von Benutzern, die über Administratorberechtigungen auf einem Gerät verfügen. Es kann Vorkommen geben, in denen ein Administrator eine Datei startet, die über eine Aufhebungsregel (insbesondere eine automatische Rechteerweiterungsregel) verfügt, die auf dem Gerät definiert ist. Diese Anwendung wird wie gewohnt für den Administrator gestartet, und ein Ereignis für eine nicht verwaltete Erhöhung wird von EPM generiert.
Welche Dateien können auf den Administrator erhöht werden?
Endpoint Privilege Management unterstützt ausführbare Dateien, einschließlich dateien mit der .msi
Erweiterung und .ps1
PowerShell-Skripts.
Warum wird "Ausführen mit erhöhtem Zugriff" nicht im Startmenü angezeigt?
Bestimmte Elemente, die sich im Startmenü oder in der Taskleiste befinden, verfügen über ein kuratiertes Kontextmenü mit der rechten Maustaste, und das EPM-Kontextmenü kann diesen Menüs nicht hinzugefügt werden. Wir planen, dieses Problem in einer zukünftigen Version zu beheben.
Kann ich mehrere Dateien mit erhöhten Rechten über das Kontextmenü "Ausführen mit erhöhtem Zugriff" starten?
Es können jeweils nur eine Datei mit erhöhten Rechten versehen werden. Um mehrere Dateien mit erhöhten Rechten zu starten, klicken Sie mit der rechten Maustaste auf jede Datei einzeln, und wählen Sie Mit erhöhtem Zugriff ausführen aus.