Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megjegyzés:
Ez a képesség Intune bővítményként érhető el. További információ: A Intune Suite bővítmény képességeinek használata.
A Microsoft Intune Végponti jogosultságkezelés (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatnak, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.
Végponti jogosultságkezelés támogatja a Teljes felügyelet folyamatot azáltal, hogy segít a szervezetnek elérni egy széles körű, minimális jogosultsággal futó felhasználói bázist, miközben szükség esetén emeli a kijelölt feladatokat a hatékonyság megőrzése érdekében. További információt a Microsoft Intune Teljes felügyelet című témakörben talál.
Ez az áttekintés információkat nyújt az EPM-ről, beleértve az előnyöket, a működését és az első lépéseket.
Érintett szolgáltatás:
- A Windows
Főbb funkciók és előnyök
✅ Az EPM főbb funkcióinak és előnyeinek megismerése
- Standard felhasználók alapértelmezés szerint. A felhasználók helyi rendszergazdai jogosultságok nélkül is elvégezhetik feladataikat.
- Igényalapú jogosultságszint-emelés támogatása. A felhasználók adott, informatikailag jóváhagyott bináris fájlokat vagy szkripteket aktiválhatnak, hogy ideiglenesen megemelkedjenek.
- Szabályzatalapú vezérlés. A rendszergazdák a jogosultságszint-emelési feltételek és viselkedés szabályozására vonatkozó beállításokat és szabályokat határoznak meg a szervezeti igényeknek megfelelő részletes szabálylétrehozási képességekkel.
- Naplózás és jelentéskészítés. Intune minden jogosultságszint-emelést részletes metaadatokkal naplóz.
- Igazodás Teljes felügyelet elvekhez a minimális jogosultsági hozzáférés engedélyezésével és az oldalirányú mozgás kockázatainak minimalizálásával.
Az EPM alapjai
✅ Az EPM működésének megismerése
Az EPM-emelés két módszerrel aktiválható:
- Automatikusan vagy;
- Felhasználó által kezdeményezett.
Az EPM kétféle szabályzattal konfigurálható, amelyek mindegyike felhasználók vagy eszközök csoportjaira irányulhat:
- Jogosultságszint-emelési beállítások szabályzata – az EPM-ügyfél, a jelentéskészítési szint és az alapértelmezett jogosultságszint-emelési képesség szabályozása.
- Jogosultságszint-emelési szabályokra vonatkozó szabályzat – a bináris fájlok vagy szkriptek jogosultságszint-emelési viselkedését határozza meg feltételek alapján.
A jogosultságszint-emelés az eszközön való végrehajtásához az EPM szolgáltatás egy virtuális fiókot használ a legtöbb jogosultságszint-emelési típushoz, amely elkülönül a bejelentkezett felhasználók fiókjától. Egyik fiók sem lesz hozzáadva a helyi rendszergazdák csoportjához. A virtuális fiók használata alól kivételt képez a Jogosultságszint emelése aktuális felhasználószint-emelési típusként , amelyet a következő szakaszban részletesebben ismertetünk.
Az EPM-ügyfél automatikusan települ, amikor jogosultságszint-emelési beállításokra vonatkozó szabályzat van hozzárendelve az eszközökhöz vagy felhasználókhoz. Az EPM-ügyfél a "Microsoft EPM Agent Service" szolgáltatást használja, és bináris fájljait a "C:\Program Files\Microsoft EPM Agent" címtárban tárolja.
Ez az ábra az EPM-ügyfél aktiválásának magas szintű architektúráját mutatja be, ellenőrzi a szabályokat, majd megkönnyíti a jogosultságszint-emelést:
Jogosultságszint-típusok
✅ Annak szabályozása, hogy az EPM hogyan emeli fel a fájlokat
Az EPM lehetővé teszi, hogy a rendszergazdai jogosultságokkal nem rendelkező felhasználók rendszergazdai környezetben futtassanak folyamatokat. Jogosultságszint-emelési szabály létrehozásakor ez a szabály lehetővé teszi az EPM számára, hogy rendszergazdai jogosultságokkal futtassa a szabály célját az eszközön. Ennek az az eredménye, hogy az alkalmazás teljes körű felügyeleti képességgel rendelkezik az eszközön.
Az Aktuális felhasználói típusként való Jogosultságszint-emelés kivételével az EPM egy virtuális fiókot használ a folyamatok megemeléséhez. A virtuális fiók használata elkülöníti az emelt szintű műveleteket a felhasználó profiljától, csökkentve a felhasználóspecifikus adatoknak való kitettséget, és csökkenti a jogosultságok eszkalálásának kockázatát.
A Végponti jogosultságkezelés használatakor a jogosultságszint-emelési viselkedésnek van néhány lehetősége:
Automatikus: Automatikus jogosultságszint-emelési szabályok esetén az EPM automatikusan emeli ezeket az alkalmazásokat a felhasználótól érkező bemenet nélkül. Az ebben a kategóriában található széles körű szabályok széles körű hatással lehetnek a szervezet biztonsági helyzetére.
Felhasználó megerősítve: A felhasználó által megerősített szabályokkal a végfelhasználók egy új helyi menüt használnak, amely emelt szintű hozzáféréssel futtatja a helyi menüt. A rendszergazdák megkövetelhetik a felhasználótól, hogy további ellenőrzést végezzen hitelesítési kéréssel, üzleti indoklással vagy mindkettővel.
Jogosultságszint emelése aktuális felhasználóként: Ezt a jogosultságszint-emelési típust olyan alkalmazásokhoz használja, amelyek felhasználóspecifikus erőforrásokhoz való hozzáférést igényelnek a megfelelő működéshez, például profilelérési utak, környezeti változók vagy futásidejű beállítások. A virtuális fiókot használó jogosultságszint-emelésektől eltérően ez a mód a bejelentkezett felhasználó saját fiókja alatt futtatja az emelt szintű folyamatot, megőrizve az aktív felhasználói profilra támaszkodó eszközökkel és telepítőkkel való kompatibilitást. Ha ugyanazt a felhasználói identitást tartja fenn a jogosultságszint-emelés előtt és után, ez a megközelítés konzisztens és pontos auditnaplókat biztosít. Támogatja a Windows-hitelesítést is, amely megköveteli a felhasználótól, hogy a jogosultságszint-emelés előtt újra hitelesítsen érvényes hitelesítő adatokat.
Mivel azonban az emelt szintű folyamat örökli a felhasználó teljes környezetét, ez a mód szélesebb körű támadási felületet vezet be, és csökkenti a felhasználói adatoktól való elkülönítést.
Főbb szempontok:
- Kompatibilitási igény: Ezt a módot csak akkor használja, ha a virtuális fiók emelése alkalmazáshibákat okoz.
- Hatókör szigorúan: A kockázat csökkentése érdekében korlátozza a jogosultságszint-emelési szabályokat a megbízható bináris fájlokra és elérési utakra.
- Biztonsági kompromisszum: Ismerje meg, hogy ez a mód növeli a felhasználóspecifikus adatoknak való kitettséget.
Tipp
Ha a kompatibilitás nem probléma, inkább olyan módszert válasszon, amely a virtuális fiók magasabb szintű jogosultságszint-emelését használja a nagyobb biztonság érdekében.
Támogatás jóváhagyva: A támogatás által jóváhagyott szabályok esetében a végfelhasználóknak egy emelt szintű engedélyekkel rendelkező alkalmazás futtatására vonatkozó kérelmet kell benyújtaniuk. A kérés elküldése után a rendszergazda jóváhagyhatja a kérelmet. A kérelem jóváhagyása után a végfelhasználó értesítést kap arról, hogy újra megpróbálhatja a jogosultságszint-emelést az eszközön. További információ a szabálytípus használatáról: Jóváhagyott jogosultságszint-emelési kérések támogatása.
Megtagadás: A megtagadási szabály azonosít egy fájlt, amelyet az EPM nem futtat emelt szintű környezetben. Bizonyos esetekben a megtagadási szabályok biztosíthatják, hogy az ismert fájlok vagy potenciálisan rosszindulatú szoftverek ne futhassanak emelt szintű környezetben.
Az EPM-ügyfél konfigurálható egy alapértelmezett jogosultságszint-emelési válaszsal, vagy olyan szabályokkal, amelyek engedélyezik a megadott jogosultságszint-emelési választ.
Szabályképességek
✅ Fájlok részletes célzása jogosultságszint-emeléshez
Az EPM jogosultságszint-emelési szabályai egy vagy több attribútum (például fájlnév, elérési út stb.) alapján hozhatók létre. Néhány példa a szabályképességekre:
Gyermekfolyamat-vezérlők – Ha a folyamatokat az EPM emeli, szabályozhatja, hogy a gyermekfolyamatok létrehozását hogyan szabályozza az EPM, így részletes vezérlést kaphat az emelt szintű alkalmazás által esetleg létrehozott alfolyamatok felett.
Argumentumok támogatása – Csak bizonyos paraméterek engedélyezése az alkalmazások számára emelt szintűvé.
Fájlkivonat támogatása – Egyezzen az alkalmazással a fájl kivonata alapján.
Közzétevői tanúsítvány támogatása – Olyan szabályokat hozhat létre, amelyek az alkalmazás közzétevői tanúsítványának más attribútumokkal együtt való megbízhatóságán alapulnak.
Támogatott fájltípusok
Az EPM támogatja az ilyen típusú fájlok megemelését:
- Végrehajtható fájlok kiterjesztéssel
.exe. - Windows installer-fájlok kiterjesztéssel
.msi. - PowerShell-szkriptek a
.ps1bővítménnyel.
Jelentés
✅ A jogosultságszint-emelések nyomon követése a környezetben
Az EPM olyan jelentéseket tartalmaz, amelyek segítenek a szolgáltatás előkészítésében, figyelésében és használatában. A jelentések nem felügyelt és felügyelt jogosultságszint-emelésekhez érhetők el:
Nem felügyelt jogosultságszint-emelés: Minden fájlszint-emelés, amely Végponti jogosultságkezelés használata nélkül történik. Ezek a jogosultságszint-emelések akkor fordulhatnak elő, ha egy rendszergazdai jogosultsággal rendelkező felhasználó a Futtatás rendszergazdaként alapértelmezett Windows-műveletet használja.
Felügyelt jogosultságszint-emelés: Minden olyan jogosultságszint-emelés, amelyet Végponti jogosultságkezelés megkönnyít. A felügyelt jogosultságszint-emelések közé tartozik az összes olyan jogosultságszint-emelés, amelyet az EPM végül megkönnyít a standard felhasználó számára. Ezek a felügyelt jogosultságszint-emelések olyan jogosultságszint-emeléseket is tartalmazhatnak, amelyek egy jogosultságszint-emelési szabály eredményeként vagy az alapértelmezett jogosultságszint-emelési művelet részeként történnek.
A Végponti jogosultságkezelés használatának első lépései
✅ Az EPM használatának megkezdése
A Végponti jogosultságkezelés (EPM) a Microsoft Intune Rendszergazda Centerből felügyelhető. Amikor a szervezetek elkezdik használni az EPM-et, a következő magas szintű folyamatot használják:
EpM és csomag licencelése
- Licencelési EPM – Ahhoz, hogy Végponti jogosultságkezelés szabályzatokat használhassa, Intune bővítményként kell licencelnie az EPM-et a bérlőben. A licencelési információkért lásd: Intune Suite bővítményfunkciók használata.
- Az EPM megtervezése – Mielőtt elkezdené használni az EPM-et, figyelembe kell vennie néhány fontos követelményt és fogalmat. További információ: Plan for EPM (EpM tervezése).
EPM üzembe helyezése – Az EPM üzembe helyezéséhez engedélyezze a naplózást, hozzon létre szabályokat, és figyelje az üzembe helyezést. További információ: EpM üzembe helyezése.
EPM kezelése – Az EPM üzembe helyezése után monitorozhatja a támogatott kérelmeket és jogosultságszint-emeléseket. Fenntarthatja és frissítheti a szabályokat, és áttekintheti a felhasználói jogosultságokat.