Végponti jogosultságkezelés használata Microsoft Intune

  • Cikk

Megjegyzés:

Ez a képesség Intune bővítményként érhető el. További információ: A Intune Suite bővítmény képességeinek használata.

A Microsoft Intune Endpoint Privilege Management (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatnak, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.

Az Endpoint Privilege Management támogatja a Teljes felügyelet folyamatot azáltal, hogy segít a szervezetnek elérni a minimális jogosultságokkal futó széles körű felhasználói bázist, miközben lehetővé teszi a felhasználók számára, hogy továbbra is a szervezet által engedélyezett feladatokat futtassanak, hogy produktívak maradjanak. További információt a Microsoft Intune Teljes felügyelet című témakörben talál.

A cikk következő szakaszai az EPM használatára vonatkozó követelményeket ismertetik, funkcionális áttekintést nyújtanak a képesség működéséről, és fontos fogalmakat vezetnek be az EPM-hez.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

Előfeltételek

Licencelés

A Végponti jogosultságkezeléshez további licencre van szükség az Microsoft Intune 1. csomag licencen túl. Választhat egy különálló licenc közül, amely csak EPM-et ad hozzá, vagy licencelési EPM-et a Microsoft Intune Suite részeként. További információ: A Intune Suite bővítmény képességeinek használata.

Követelmények

Az Endpoint Privilege Management a következő követelményekkel rendelkezik:

Megjegyzés:

  • Windows 365 (CloudPC) támogatott operációsrendszer-verzióval
  • A végponti jogosultságkezelés nem támogatja a munkahelyi csatlakoztatású eszközöket
  • Az Endpoint Privilege Management nem támogatja az Azure Virtual Desktopot

Az Endpoint Privilege Management a következő operációs rendszereket támogatja:

  • Windows 11, 23H2-es verzió (22631.2506 vagy újabb) KB5031455
  • Windows 11, 22H2-es verzió (22621.2215-ös vagy újabb) KB5029351
  • Windows 11, 21H2-es verzió (22000.2713 vagy újabb) KB5034121
  • Windows 10, 22H2-es verzió (19045.3393 vagy újabb) KB5030211
  • Windows 10, 21H2-es verzió (19044.3393 vagy újabb) KB5030211

Fontos

  • A jogosultságszint-emelési beállításokra vonatkozó szabályzat nem alkalmazhatóként jelenik meg a támogatott operációsrendszer-verziót nem futtató eszközök esetében.
  • Az Endpoint Privilege Management új hálózati követelményekkel rendelkezik, lásd: Hálózati végpontok Intune.

Az Endpoint Privilege Management használatának első lépései

A Végponti jogosultságkezelés (EPM) be van építve a Microsoft Intune, ami azt jelenti, hogy az összes konfiguráció befejeződött a Microsoft Intune Rendszergazda Centerben. Amikor a szervezetek elkezdik használni az EPM-et, a következő magas szintű folyamatot használják:

  • Licencvégpont jogosultságkezelése – A végponti jogosultságkezelési szabályzatok használata előtt licencbe kell vennie az EPM-et a bérlőben Intune bővítményként. A licencelési információkért lásd: Intune Suite bővítményfunkciók használata.

  • Jogosultságszint-emelési beállításokra vonatkozó szabályzat üzembe helyezése – A jogosultságszint-emelési beállításokra vonatkozó szabályzat aktiválja az EPM-et az ügyféleszközön. Ezzel a szabályzattal olyan beállításokat is konfigurálhat, amelyek az ügyfélre jellemzőek, de nem feltétlenül kapcsolódnak az egyes alkalmazások vagy feladatok emeléséhez.

  • Jogosultságszint-emelési szabályházirendek üzembe helyezése – A jogosultságszint-emelési szabályszabály-házirendek egy alkalmazást vagy feladatot egy jogosultságszint-emelési művelethez kapcsolnak. Ezzel a szabályzattal konfigurálhatja a szervezet által engedélyezett alkalmazások jogosultságszint-emelési viselkedését, amikor az alkalmazások futnak az eszközön.

A Végponti jogosultságkezelés fontos fogalmai

Amikor a korábban említett jogosultságszint-emelési beállításokat és jogosultságszint-emelési szabályokat konfigurálja, néhány fontos fogalmat figyelembe kell vennie annak biztosításához, hogy az EPM-et a szervezet igényeinek megfelelően konfigurálja. Mielőtt széles körben üzembe helyezené az EPM-et, az alábbi fogalmakat jól meg kell érteni, valamint azt, hogy milyen hatással vannak a környezetére:

  • Futtatás emelt szintű hozzáféréssel – A jobb gombbal kattintva elérhető helyi menüelem, amely akkor jelenik meg, ha az EPM aktiválva van egy eszközön. Ha ezt a beállítást használja, a rendszer ellenőrzi, hogy az eszközök jogosultságszint-emelési szabályainak szabályzatai megegyeznek-e annak megállapításához, hogy a fájl rendszergazdai környezetben futtatható-e, és ha igen, hogyan. Ha nincs érvényes jogosultságszint-emelési szabály, akkor az eszköz a jogosultságszint-emelési beállítások házirendje által meghatározott alapértelmezett jogosultságszint-emelési konfigurációkat használja.

  • Fájlszint-emelési és jogosultságszint-emelési típusok – Az EPM lehetővé teszi a rendszergazdai jogosultságokkal nem rendelkező felhasználók számára a folyamatok felügyeleti környezetben való futtatását. Jogosultságszint-emelési szabály létrehozásakor ez a szabály lehetővé teszi az EPM számára, hogy rendszergazdai jogosultságokkal futtassa a szabály célját az eszközön. Ennek az az eredménye, hogy az alkalmazás teljes körű felügyeleti képességgel rendelkezik az eszközön.

    A Végponti jogosultságkezelés használata esetén a jogosultságszint-emelési viselkedésre van néhány lehetőség:

    • Az automatikus jogosultságszint-emelési szabályok esetében az EPM automatikusan emeli ezeket az alkalmazásokat anélkül, hogy a felhasználótól ad visszajelzést. Az ebben a kategóriában található széles körű szabályok széles körű hatással lehetnek a szervezet biztonsági helyzetére.
    • A felhasználó által megerősített szabályok esetében a végfelhasználók egy új, jobb gombbal kattintva elérhető helyi menüt használnak : Futtatás emelt szintű hozzáféréssel. A felhasználó által megerősített szabályok megkövetelik, hogy a végfelhasználó teljesítsen néhány további követelményt, mielőtt az alkalmazás megemelhető lenne. Ezek a követelmények további védelmi réteget biztosítanak azáltal, hogy a felhasználó tudomásul veszi, hogy az alkalmazás emelt szintű környezetben fog futni, mielőtt ez a jogosultságszint-emelés bekövetkezne.
    • A támogatás által jóváhagyott szabályok esetében a végfelhasználóknak kérelmet kell benyújtaniuk egy alkalmazás jóváhagyására. A kérés elküldése után a rendszergazda jóváhagyhatja a kérelmet. A kérelem jóváhagyása után a végfelhasználó értesítést kap arról, hogy elvégezheti a jogosultságszint-emelést az eszközön. További információ a szabálytípus használatáról: Jóváhagyott jogosultságszint-emelési kérelmek támogatása

    Megjegyzés:

    Minden jogosultságszint-emelési szabály beállíthatja az emelt szintű folyamat által létrehozott gyermekfolyamatok jogosultságszint-emelési viselkedését is.

  • Gyermekfolyamat-vezérlők – Ha a folyamatokat az EPM emeli, szabályozhatja, hogy a gyermekfolyamatok létrehozását hogyan szabályozza az EPM, így részletes vezérlést kaphat az emelt szintű alkalmazás által esetleg létrehozott alfolyamatok felett.

  • Ügyféloldali összetevők – A Végponti jogosultságkezelés használatához Intune kiépít egy kis összetevőkészletet az eszközön, amely jogosultságszint-emelési szabályzatokat kap, és kikényszeríti azokat. Intune csak a jogosultságszint-emelési beállításokra vonatkozó szabályzat fogadásakor helyezi üzembe az összetevőket, és a szabályzat kifejezi a végponti jogosultságkezelés engedélyezésének szándékát.

  • Letiltás és megszüntetés – Eszközre telepítendő összetevőként a végponti jogosultságkezelés letiltható a jogosultságszint-emelési beállítások házirendjén belül. A jogosultságszint-emelési beállítások házirendjének használata szükséges a Végponti jogosultságkezelés eszközről való eltávolításához.

    Ha az eszköz olyan jogosultságszint-emelési beállítási szabályzattal rendelkezik, amely megköveteli az EPM letiltását, Intune azonnal letiltja az ügyféloldali összetevőket. Az EPM hét nap elteltével eltávolítja az EPM-összetevőt. A késés annak biztosítása, hogy a szabályzatok vagy hozzárendelések ideiglenes vagy véletlen módosításai ne eredményezhessenek tömeges kiépítési/újraépítési eseményeket, amelyek jelentős hatással lehetnek az üzleti műveletekre.

  • Felügyelt jogosultságszint-emelések és nem felügyelt jogosultságszint-emelések – Ezeket a kifejezéseket használhatjuk a jelentéskészítési és használati adatokban. Ezek a kifejezések a következő leírásokra vonatkoznak:

    • Felügyelt jogosultságszint-emelés: Az Endpoint Privilege Management által elősegített jogosultságszint-emelések. A felügyelt jogosultságszint-emelések közé tartozik az összes olyan jogosultságszint-emelés, amelyet az EPM végül megkönnyít a standard felhasználó számára. Ezek a felügyelt jogosultságszint-emelések olyan jogosultságszint-emeléseket is tartalmazhatnak, amelyek egy jogosultságszint-emelési szabály eredményeként vagy az alapértelmezett jogosultságszint-emelési művelet részeként történnek.
    • Nem felügyelt jogosultságszint-emelés: Minden fájlszint-emelés, amely a Végponti jogosultságkezelés használata nélkül történik. Ezek a jogosultságszint-emelések akkor fordulhatnak elő, ha egy rendszergazdai jogosultsággal rendelkező felhasználó a Futtatás rendszergazdaként alapértelmezett Windows-műveletet használja.

Szerepköralapú hozzáférés-vezérlés végponti jogosultságkezeléshez

A Végponti jogosultságkezelés kezeléséhez a fiókjához hozzá kell rendelni egy Intune szerepköralapú hozzáférés-vezérlési (RBAC-) szerepkört, amely tartalmazza a következő engedélyeket a kívánt feladat elvégzéséhez szükséges jogosultságokkal:

  • Végponti jogosultságkezelési házirend létrehozása – Ez az engedély szükséges a végponti jogosultságkezelés házirendjével vagy adataival és jelentéseivel való munkához, és a következő jogosultságokat támogatja:

    • Jelentések megtekintése
    • Olvasni
    • Létrehozás
    • Frissítés
    • Törlés
    • Hozzárendelése

  • Végponti jogosultságkezelés jogosultságszint-emelési kérelmei – Ez az engedély szükséges a felhasználók által jóváhagyásra küldött jogosultságszint-emelési kérelmek kezeléséhez, és a következő jogosultságokat támogatja:

    • Jogosultságszint-emelési kérelmek megtekintése
    • Jogosultságszint-emelési kérelmek módosítása

Ezt az engedélyt hozzáadhatja egy vagy több jogosultsággal a saját egyéni RBAC-szerepköreihez, vagy használhat egy beépített RBAC-szerepkört, amely a végpontjogosultság-kezelés kezelésére van fenntartva:

  • Endpoint Privilege Manager – Ez a beépített szerepkör a végponti jogosultságok kezelésének a Intune-konzolon való kezelésére van kiépítve. Ez a szerepkör tartalmazza a végponti jogosultságkezelési házirendek szerzői és a végponti jogosultságkezelési jogosultságszint-emelési kérések összes jogosultságát.

  • Végpontjogosultság-olvasó – Ezzel a beépített szerepkörrel tekintheti meg a végponti jogosultságkezelési szabályzatokat a Intune konzolon, beleértve a jelentéseket is. Ez a szerepkör a következő jogokat foglalja magában:

    • Jelentések megtekintése
    • Olvasni
    • Jogosultságszint-emelési kérelmek megtekintése

A dedikált szerepkörök mellett a Intune következő beépített szerepkörei az Endpoint Privilege Management Policy Authoring jogosultságait is tartalmazzák:

  • Endpoint Security Manager – Ez a szerepkör magában foglalja a végponti jogosultságkezelési házirendek szerzői és a végponti jogosultságkezelési jogosultságszint-emelési kérések összes jogosultságát.

  • Írásvédett operátor – Ez a szerepkör a következő jogosultságokat tartalmazza:

    • Jelentések megtekintése
    • Olvasni
    • Jogosultságszint-emelési kérelmek megtekintése

További információ: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.

EpmTools PowerShell-modul

Minden olyan eszköz, amely végponti jogosultságkezelési szabályzatokat kap, telepíti az EPM Microsoft Agentet a szabályzatok kezeléséhez. Az ügynök tartalmazza az EpmTools PowerShell-modult, amely egy eszközre importálható parancsmagok készlete. Az EpmTools parancsmagjait a következőre használhatja:

  • Végponti jogosultságkezeléssel kapcsolatos problémák diagnosztizálása és hibaelhárítása.
  • Szerezze be a Fájlattribútumokat közvetlenül egy olyan fájlból vagy alkalmazásból, amelyhez észlelési szabályt szeretne létrehozni.

Az EpmTools PowerShell-modul telepítése

Az EPM-eszközök PowerShell-modulja bármely olyan eszközről elérhető, amely kapott EPM-szabályzatot. Az EpmTools PowerShell-modul importálása:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Az elérhető parancsmagok a következők:

  • Szabályzatok lekérése: Lekéri az Epm-ügynök által egy adott PolicyType -hoz kapott összes szabályzat listáját (ElevationRules, ClientSettings).
  • Get-DeclaredConfiguration: Lekéri az eszközre vonatkozó szabályzatokat azonosító WinDC-dokumentumok listáját.
  • Get-DeclaredConfigurationAnalysis: Lekéri az MSFTPolicies típusú WinDC-dokumentumok listáját, és ellenőrzi, hogy a szabályzat már megtalálható-e az Epm-ügynökben (Feldolgozott oszlop).
  • Get-ElevationRules: Kérdezze le az EpmAgent keresési funkciót, és lekéri a megadott keresési és célszabályokat. A Keresés a FileName és a CertificatePayload esetében támogatott.
  • Get-ClientSettings: Az EPM-ügynök által használt érvényes ügyfélbeállítások megjelenítéséhez dolgozza fel az összes meglévő ügyfélbeállítási házirendet.
  • Get-FileAttributes: Lekéri egy .exe fájl fájlattribútumait, és kinyeri annak közzétevői és hitelesítésszolgáltatói tanúsítványait egy megadott helyre, amellyel feltölthető a jogosultságszint-emelési szabály tulajdonságai egy adott alkalmazáshoz.

Az egyes parancsmagokkal kapcsolatos további információkért tekintse át az eszköz EpmTools mappájában található readme.txt fájlt.

Következő lépések