Considérations relatives au déploiement et forum aux questions sur Endpoint Privilege Management
Remarque
Cette fonctionnalité est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.
Avec Microsoft Intune Endpoint Privilege Management (EPM), les utilisateurs de votre organisation peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches qui nécessitent des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.
Endpoint Privilege Management prend en charge votre parcours de confiance zéro en aidant votre organisation à atteindre une large base d’utilisateurs s’exécutant avec le moindre privilège, tout en permettant aux utilisateurs d’exécuter les tâches autorisées par votre organisation pour rester productif.
Les sections suivantes de cet article traitent des considérations relatives au déploiement et des questions fréquemment posées pour EPM.
S’applique à :
- Windows 10
- Windows 11
Considérations relatives au déploiement pour Endpoint Privilege Management
Les appareils Windows 10 peuvent ne pas recevoir immédiatement la confirmation des approbations de support
Nous nous efforçons de résoudre quelques scénarios qui empêchent les appareils Windows 10 de recevoir automatiquement la notification indiquant qu’une nouvelle approbation est prête pour l’appareil lorsque vous utilisez des élévations approuvées de prise en charge. Nous travaillons avec le propriétaire pour résoudre ce problème le plus rapidement possible.
L’organisation qui désactive le contrôle de compte d’utilisateur (UAC) peut rencontrer des problèmes avec Endpoint Privilege Management
Endpoint Privilege Management ne prend pas en charge la désactivation explicite de la UAC. Les contrôles de stratégie Windows pour le comportement de l’invite de contrôle de compte d’utilisateur existent pour contrôler le comportement du contrôle de contrôle de compte d’utilisateur. Si les organisations prennent des mesures supplémentaires pour désactiver le contrôle de compte d’utilisateur en dehors des contrôles de stratégie existants, comme la désactivation des services Windows, elles peuvent rencontrer des problèmes avec Endpoint Privilege Management.
Les organisations qui utilisent Application Control for Business peuvent rencontrer des problèmes lors de l’exécution de Endpoint Privilege Management
Les stratégies De contrôle d’application pour entreprise qui ne comptent pas pour les composants clients EPM peuvent empêcher le fonctionnement des composants EPM. Pour utiliser EPM avec AppControl, vérifiez que votre stratégie De contrôle d’application inclut des règles qui permettent à EPM de fonctionner. Pour plus d’informations sur la résolution des problèmes de contrôle d’application, consultez Débogage et résolution des problèmes WDAC.
Remarque
EPM n’est pas inclus dans les stratégies par défaut pour le contrôle d’application et peut nécessiter la création de stratégies personnalisées.
Les organisations qui limitent les utilisateurs qui peuvent se connecter de manière interactive peuvent rencontrer des problèmes avec Endpoint Privilege Management
Endpoint Privilege Management utilise un compte isolé pour faciliter les élévations. Ce compte nécessite la possibilité de créer une session d’ouverture de session interactive. Les organisations qui limitent la possibilité pour les utilisateurs de créer des sessions interactives doivent apporter des modifications pour qu’EPM fonctionne correctement.
Les utilisateurs qui demandent l’approbation du support technique pour l’élévation doivent être l’utilisateur principal sur l’appareil
Endpoint Privilege Management exige actuellement que l’utilisateur qui demande une élévation soit l’utilisateur principal de l’appareil. Nous travaillons à la suppression de cette limitation dans une version ultérieure.
Création de fichiers avec un nom de fichier comme l’un des seuls attributs pour l’identification
Le nom de fichier est un attribut qui peut être utilisé pour détecter une application qui doit être élevée. Toutefois, il n’est pas protégé par la signature du fichier.
Les noms de fichiers sont très susceptibles d’être modifiés, et les fichiers signés avec un certificat que vous approuvez peuvent avoir leur nom modifié pour être détecté et par la suite élevé , ce qui peut ne pas être votre comportement prévu.
Importante
Assurez-vous toujours que les règles incluant un nom de fichier incluent d’autres attributs qui fournissent une assertion forte à l’identité du fichier. Les attributs tels que le hachage de fichier ou les propriétés qui sont incluses dans la signature des fichiers sont de bons indicateurs que le fichier que vous souhaitez est probablement celui qui est élevé.
Les stratégies de paramètres d’élévation peuvent afficher un conflit en cas de modification rapide
Endpoint Privilege Management signale l’état des paramètres individuels appliqués à l’aide du profil Paramètres d’élévation . Si les paramètres de ce profil (comportement d’élévation par défaut par exemple) sont modifiés plusieurs fois dans une succession rapide, cela peut entraîner un conflit de rapports d’appareil ou revenir au comportement par défaut de refus de l’élévation. Il s’agit d’un état temporaire qui se résout sans autre action (en moins de 60 minutes). Ce problème sera résolu dans une version ultérieure.
Les fichiers bloqués téléchargés à partir d’Internet ne parviennent pas à s’élever
Un comportement existe dans Windows pour définir un attribut sur les fichiers téléchargés directement à partir d’Internet et les empêcher de s’exécuter jusqu’à ce qu’ils soient validés. Windows dispose de fonctionnalités permettant de valider la réputation des fichiers téléchargés à partir d’Internet. Lorsqu’une réputation de fichiers n’est pas validée, elle peut ne pas être élevée.
Pour corriger ce comportement, débloquez le fichier en le débloquant à partir du volet des propriétés du fichier. Le déblocage d’un fichier ne doit être effectué que lorsque vous approuvez le fichier.
Les appareils Windows qui sont « joints à l’espace de travail » ne parviennent pas à activer Endpoint Privilege Management
Les appareils joints à l’espace de travail ne sont pas pris en charge par Endpoint Privilege Management. Ces appareils n’affichent pas les stratégies EPM réussies ou ne traitent pas les stratégies EPM (paramètres d’élévation ou règles d’élévation) lorsqu’ils sont déployés sur l’appareil.
Les règles d’un fichier réseau peuvent ne pas être élevées
Endpoint Privilege Management prend en charge l’exécution de fichiers stockés localement sur le disque. L’exécution de fichiers à partir d’un emplacement réseau, tel qu’un partage réseau ou un lecteur mappé, n’est pas prise en charge.
Endpoint Privilege Management ne reçoit pas de stratégie lorsque j’utilise une « inspection SSL » sur mon infrastructure réseau
Endpoint Privilege Management ne prend pas en charge l’inspection SSL, appelée « break and inspect ». Pour utiliser Endpoint Privilege Management, vérifiez que les URL répertoriées dans Les points de terminaison Intune pour Endpoint Privilege Management ne sont pas soumises à l’inspection.
Foire aux questions
Pourquoi mon appareil virtuel n’est-il pas intégré à Endpoint Privilege Management ?
Actuellement, Endpoint Privilege Management n’est pas pris en charge avec Azure Virtual Desktop. Ce problème sera résolu dans la prochaine version.
La prise en charge de Windows 365 (PC cloud) a été ajoutée en septembre 2023.
Pourquoi ma stratégie de paramètres d’élévation affiche-t-elle une erreur/non applicable ?
La stratégie des paramètres d’élévation contrôle l’activation d’EPM et la configuration des composants côté client. Lorsque cette stratégie est en erreur ou s’affiche non applicable, cela indique que l’appareil a rencontré un problème lors de l’activation d’EPM. Les deux raisons les plus courantes sont l’absence des mises à jour Windows requises ou l’échec de communication avec les points de terminaison Intune requis pour la gestion des privilèges de point de terminaison.
Que se passe-t-il lorsqu’une personne disposant de privilèges administratifs utilise un appareil activé pour EPM ?
Endpoint Privilege Management ne gère pas les demandes d’élévation effectuées par les utilisateurs disposant d’autorisations administratives sur un appareil. Il peut arriver qu’un administrateur lance un fichier qui a une règle d’élévation (en particulier une règle d’élévation automatique) définie sur l’appareil. Cette application démarre comme elle le fait normalement pour l’administrateur et un événement pour une élévation non managée est généré par EPM.
Quels fichiers peuvent être élevés à l’administrateur ?
Endpoint Privilege Management prend en charge les fichiers exécutables, y compris ceux avec l’extension .msi
et .ps1
les scripts PowerShell.
Pourquoi « Exécuter avec accès élevé » ne s’affiche-t-il pas dans les éléments du menu Démarrer ?
Certains éléments qui résident dans le menu Démarrer ou la barre des tâches ont un menu contextuel organisé et le menu contextuel EPM ne peut pas être ajouté à ces menus. Nous prévoyons de résoudre ce problème dans une prochaine version.
Puis-je lancer plusieurs fichiers avec élévation de privilèges avec le menu contextuel « Exécuter avec accès élevé » ?
Un seul fichier peut être élevé à la fois. Pour lancer plusieurs fichiers avec élévation de privilèges, cliquez avec le bouton droit sur chaque fichier individuellement et sélectionnez Exécuter avec accès élevé.