Üzembehelyezési szempontok és gyakori kérdések a végponti jogosultságkezeléssel kapcsolatban
Megjegyzés:
Ez a képesség Intune bővítményként érhető el. További információ: A Intune Suite bővítmény képességeinek használata.
A Microsoft Intune Endpoint Privilege Management (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatnak, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.
Az Endpoint Privilege Management azzal támogatja a megbízhatóság nélküli folyamatot, hogy segít a szervezetnek elérni a minimális jogosultságokkal futó széles körű felhasználói bázist, miközben lehetővé teszi a felhasználók számára, hogy továbbra is a szervezet által engedélyezett feladatokat futtassanak, hogy produktívak maradjanak.
A cikk következő szakaszai az üzembe helyezés szempontjait és az EPM-hez kapcsolódó gyakori kérdéseket ismertetik.
Érintett szolgáltatás:
- Windows 10 rendszer esetén
- Windows 11
Üzembehelyezési szempontok a végponti jogosultságkezeléshez
Windows 10 eszközök nem feltétlenül kapják meg azonnal a támogatási jóváhagyások megerősítését
Dolgozunk néhány olyan forgatókönyv megoldásán, amelyek megakadályozzák, hogy Windows 10 eszközök automatikusan értesítést kapjanak arról, hogy az új jóváhagyás készen áll az eszközre a támogatott jogosultságszint-emelések használatakor. A tulajdonossal együtt dolgozunk a probléma lehető leggyorsabb megoldásán.
A felhasználói fiókok felügyeletét (UAC) letiltó szervezetnél problémák léphetnek fel a végponti jogosultságkezeléssel kapcsolatban
A Végponti jogosultságkezelés nem támogatja az UAC explicit módon letiltott használatát. A Felhasználói hozzáférés-vezérlési szolgáltatás parancssori viselkedésének Windows-házirend-vezérlői szabályozzák az UAC-kérések viselkedését. Ha a szervezetek további lépéseket tesznek az UAC letiltására a meglévő szabályzatvezérlőkön kívül, például letiltják a Windows-szolgáltatásokat, problémákat tapasztalhatnak a végponti jogosultságkezeléssel kapcsolatban.
Az Alkalmazásvezérlés vállalati verziót használó szervezeteknél problémák léphetnek fel az Endpoint Privilege Management futtatásakor
Az üzleti alkalmazásvezérlési szabályzatok, amelyek nem veszik figyelembe az EPM-ügyfélösszetevőket, megakadályozhatják az EPM-összetevők működését. Ha az EpM-et az AppControlrel szeretné használni, győződjön meg arról, hogy az alkalmazásvezérlési szabályzat olyan szabályokat tartalmaz, amelyek lehetővé teszik az EPM működését.
Azok a szervezetek, amelyek korlátozzák az interaktív bejelentkezésre jogosult felhasználókat, problémákat tapasztalhatnak az Endpoint Privilege Managementtel kapcsolatban
Az Endpoint Privilege Management egy elkülönített fiókot használ a jogosultságszint-emelések megkönnyítésére. Ehhez a fiókhoz szükség van egy interaktív bejelentkezési munkamenet létrehozására. Azoknak a szervezeteknek, akik korlátozzák a felhasználók interaktív munkamenetek létrehozását, módosítaniuk kell az EPM megfelelő működését.
A jogosultságszint-emelési támogatás jóváhagyását kérő felhasználóknak elsődleges felhasználónak kell lenniük az eszközön
A Végponti jogosultságkezelés jelenleg megköveteli, hogy a jogosultságszint-emelést kérő felhasználó legyen az eszköz elsődleges felhasználója. Dolgozunk a korlátozás eltávolításán egy későbbi kiadásban.
Fájlnévvel rendelkező fájlok létrehozása az azonosítás egyetlen attribútumaként
A fájlnév olyan attribútum, amely egy emelt szintű alkalmazás észlelésére használható. A fájl aláírása azonban nem védi.
A fájlnevek nagyon érzékenyek a változásokra, és a megbízható tanúsítvánnyal aláírt fájlok nevének észlelése , majd emelt szintű jogosultsága lehet, ami nem feltétlenül a kívánt viselkedés.
Fontos
Mindig győződjön meg arról, hogy a fájlnevet tartalmazó szabályok más attribútumokat is tartalmaznak, amelyek erős helyességi feltételt biztosítanak a fájl identitásához. Az olyan attribútumok, mint a fájlkivonat vagy a fájlaláírásban szereplő tulajdonságok jól jelzik, hogy a kívánt fájl valószínűleg emelt szintű.
A jogosultságszint-emelési beállítások szabályzatai ütközést jelezhetnek, ha gyors egymásutánban módosítják
A Végponti jogosultságkezelés a Jogosultságszint-emelési beállítások profillal alkalmazott egyes beállítások állapotát jelenti. Ha a profil beállításai (például az alapértelmezett jogosultságszint-emelési viselkedés) többször is módosulnak gyors egymásutánban, az eszközjelentés ütközését okozhatja, vagy visszaeshet a jogosultságszint-emelés megtagadásának alapértelmezett viselkedésére. Ez egy átmeneti állapot, és további művelet nélkül oldható fel (kevesebb mint 60 perc alatt). Ezt a problémát egy későbbi kiadásban kijavítjuk.
Az internetről letöltött blokkolt fájlok száma nem emelhető
A Windowsban létezik olyan viselkedés, amely beállít egy attribútumot a közvetlenül az internetről letöltött fájlokon, és megakadályozza a végrehajtásukat az ellenőrzésig. A Windows olyan funkciókkal rendelkezik, amelyek az internetről letöltött fájlok hírnevét ellenőrzik. Ha egy fájl hírnevét nem ellenőrzi a rendszer, előfordulhat, hogy nem sikerül megemelni a jogosultságszintet.
Ennek a viselkedésnek a kijavításához oldja fel a fájl blokkolását úgy, hogy feloldja a fájl zárolását a fájltulajdonságok paneljén. A fájl tiltásának feloldását csak akkor szabad elvégezni, ha megbízik a fájlban.
A "munkahelyhez csatlakoztatott" Windows-eszközök nem engedélyezik a végponti jogosultságkezelést
A munkahelyhez csatlakoztatott eszközöket az Endpoint Privilege Management nem támogatja. Ezek az eszközök nem jelenítik meg a sikeres vagy folyamatszintű EPM-szabályzatokat (jogosultságszint-emelési beállítások vagy jogosultságszint-emelési szabályok) az eszközön való üzembe helyezéskor.
Előfordulhat, hogy egy hálózati fájl szabályainak megemelése nem sikerül
Az Endpoint Privilege Management támogatja a lemezen helyileg tárolt fájlok végrehajtását. A fájlok hálózati helyről, például hálózati megosztásról vagy leképezett meghajtóról történő végrehajtása nem támogatott.
A végponti jogosultságkezelés nem kap szabályzatot, ha "SSL-ellenőrzést" használok a hálózati infrastruktúrámon
A Végponti jogosultságkezelés nem támogatja az SSL-ellenőrzést, amelyet "megszakításnak és vizsgálatnak" nevezünk. Az Endpoint Privilege Management használatához győződjön meg arról, hogy az Intune Endpoints for Endpoints for Endpoint Management (Végponti jogosultságkezelés végpontjai) listában felsorolt URL-címek mentesülnek a vizsgálat alól.
Gyakori kérdések
Miért nem regisztrálja a virtuális eszközöm az Endpoint Privilege Managementet?
Az Endpoint Privilege Management jelenleg nem támogatott az Azure Virtual Desktopban. Ezt a problémát a jövőbeli kiadásban kijavítjuk.
A Windows 365 (felhőalapú számítógépek) támogatása 2023 szeptemberében lett hozzáadva.
Miért jelenik meg a jogosultságszint-emelési beállításokra vonatkozó szabályzatom hibaüzenete/nem alkalmazható?
A jogosultságszint-emelési beállítások házirendje szabályozza az EPM engedélyezését és az ügyféloldali összetevők konfigurálását. Ha ez a szabályzat hibás vagy nem alkalmazható, az azt jelzi, hogy az eszköznél probléma merült fel az EPM engedélyezésével kapcsolatban. A két leggyakoribb ok a szükséges Windows-frissítések hiánya vagy a végponti jogosultságkezeléshez szükséges Intune végpontokkal való kommunikáció sikertelensége.
Mi történik, ha egy rendszergazdai jogosultsággal rendelkező személy olyan eszközt használ, amely engedélyezve van az EPM-hez?
A Végponti jogosultságkezelés nem kezeli az eszköz rendszergazdai engedélyekkel rendelkező felhasználói jogosultságszint-emelési kéréseit. Előfordulhatnak olyan esetek, amikor egy rendszergazda elindít egy fájlt, amely rendelkezik az eszközön definiált jogosultságszint-emelési szabmánnyal (konkrétan egy automatikus jogosultságszint-emelési szabmánnyal). Ez az alkalmazás ugyanúgy indul el, mint általában a rendszergazda számára, és az EPM egy nem felügyelt jogosultságszint-emelési eseményt hoz létre.
Mely fájlok emelhetők rendszergazdai jogosultságúra?
Az Endpoint Privilege Management támogatja a végrehajtható fájlokat. A Microsoft jelenleg azon dolgozik, hogy kiterjesztse a más fájltípusok (MSI stb.) támogatását, és egyszerű módszert biztosít az operációs rendszer gyakori feladatainak megemelésére.
Miért nem jelenik meg a "Futtatás emelt szintű hozzáféréssel" üzenet a Start menü elemeiben?
A Start menüben vagy a tálcán található egyes elemek válogatott helyi menüvel rendelkeznek, és az EPM helyi menüjét nem lehet hozzáadni ezekhez a menükhöz. A problémát egy későbbi kiadásban tervezzük kijavítani.
Elindíthatok több fájlt emelt szintűként a "Futtatás emelt szintű hozzáféréssel" jobb gombbal a helyi menüben?
Egyszerre csak egy fájl emelhető. Több fájl emelt szintű indításához kattintson a jobb gombbal az egyes fájlokra egyenként, és válassza a Futtatás emelt szintű hozzáféréssel lehetőséget.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: