Usare Endpoint Privilege Management con Microsoft Intune

Articolo
04/03/2024

Nota

Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

Con Microsoft Intune Endpoint Privilege Management (EPM) gli utenti dell'organizzazione possono essere eseguiti come utente standard (senza diritti di amministratore) e completare attività che richiedono privilegi elevati. Le attività che in genere richiedono privilegi amministrativi sono le installazioni di applicazioni (ad esempio Applicazioni Di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica di Windows.

Endpoint Privilege Management supporta il percorso di Zero Trust consentendo all'organizzazione di ottenere un'ampia base di utenti in esecuzione con privilegi minimi, consentendo al contempo agli utenti di eseguire ancora attività consentite dall'organizzazione per rimanere produttivi. Per altre informazioni, vedere Zero Trust con Microsoft Intune.

Le sezioni seguenti di questo articolo illustrano i requisiti per l'uso di EPM, offrono una panoramica funzionale del funzionamento di questa funzionalità e introducono concetti importanti per EPM.

Si applica a:

Windows 10
Windows 11

Prerequisiti

Licenze

Endpoint Privilege Management richiede una licenza aggiuntiva oltre alla licenza Microsoft Intune Piano 1. È possibile scegliere tra una licenza autonoma che aggiunge solo EPM o EPM come parte del Microsoft Intune Suite. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

Requisiti

Endpoint Privilege Management presenta i requisiti seguenti:

Microsoft Entra aggiunto o aggiunto Microsoft Entra ibrido
Microsoft Intune Registrazione o Microsoft Configuration Manager dispositivi co-gestiti (nessun requisito del carico di lavoro)
Sistemi operativi supportati
Cancella la linea di vista (senza ispezione SSL) agli endpoint necessari

Nota

Windows 365 (CloudPC) è supportato usando una versione supportata del sistema operativo
I dispositivi workplace-join non sono supportati da Endpoint Privilege Management
Desktop virtuale Azure non è supportato da Endpoint Privilege Management

Endpoint Privilege Management supporta i sistemi operativi seguenti:

Windows 11 versione 23H2 (22631.2506 o successiva) con KB5031455
Windows 11 versione 22H2 (22621.2215 o successiva) con KB5029351
Windows 11 versione 21H2 (22000.2713 o successiva) con KB5034121
Windows 10 versione 22H2 (19045.3393 o successiva) con KB5030211
Windows 10 versione 21H2 (19044.3393 o successiva) con KB5030211

Importante

I criteri delle impostazioni di elevazione dei privilegi verranno visualizzati come non applicabili per i dispositivi che non eseguono una versione del sistema operativo supportata.
Endpoint Privilege Management presenta alcuni nuovi requisiti di rete, vedere Endpoint di rete per Intune.

Introduzione a Endpoint Privilege Management

Endpoint Privilege Management (EPM) è integrato in Microsoft Intune, il che significa che tutta la configurazione viene completata all'interno di Microsoft Intune Amministrazione Center. Quando le organizzazioni iniziano a usare EPM, usano il processo generale seguente:

Gestione dei privilegi degli endpoint di licenza: prima di poter usare i criteri di Endpoint Privilege Management, è necessario concedere in licenza EPM nel tenant come componente aggiuntivo Intune. Per informazioni sulle licenze, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.
Distribuire un criterio delle impostazioni di elevazione dei privilegi: i criteri delle impostazioni di elevazione attivano EPM nel dispositivo client. Questo criterio consente anche di configurare impostazioni specifiche per il client, ma non necessariamente correlate all'elevazione di singole applicazioni o attività.
Distribuire i criteri delle regole di elevazione dei privilegi: i criteri delle regole di elevazione collegano un'applicazione o un'attività a un'azione di elevazione. Usare questo criterio per configurare il comportamento di elevazione per le applicazioni che l'organizzazione consente quando le applicazioni vengono eseguite nel dispositivo.

Concetti importanti per Endpoint Privilege Management

Quando si configurano le impostazioni di elevazione dei privilegi e i criteri delle regole di elevazione menzionati in precedenza, esistono alcuni concetti importanti per comprendere come configurare EPM per soddisfare le esigenze dell'organizzazione. Prima di distribuire ampiamente EPM, i concetti seguenti devono essere ben compresi e l'effetto che hanno sull'ambiente:

Esegui con accesso con privilegi elevati : opzione di menu di scelta rapida che viene visualizzata quando EPM viene attivato in un dispositivo. Quando si usa questa opzione, i criteri delle regole di elevazione dei dispositivi vengono controllati per determinare se e come è possibile eseguire il file con privilegi elevati in un contesto amministrativo. Se non è presente alcuna regola di elevazione applicabile, il dispositivo usa le configurazioni di elevazione predefinite definite dai criteri delle impostazioni di elevazione.
Tipi di elevazione e elevazione dei file : EPM consente agli utenti senza privilegi amministrativi di eseguire processi nel contesto amministrativo. Quando si crea una regola di elevazione dei privilegi, tale regola consente a EPM di eseguire il proxy della destinazione di tale regola con privilegi di amministratore nel dispositivo. Il risultato è che l'applicazione ha funzionalità amministrative complete nel dispositivo.

Quando si usa Endpoint Privilege Management, sono disponibili alcune opzioni per il comportamento di elevazione:
- Per le regole di elevazione automatica, EPM eleva automaticamente queste applicazioni senza l'input dell'utente. Le regole generali in questa categoria possono avere un impatto diffuso sul comportamento di sicurezza dell'organizzazione.
- Per le regole confermate dall'utente, gli utenti finali usano un nuovo menu di scelta rapida con il pulsante destro del mouse Esegui con accesso con privilegi elevati. Le regole confermate dall'utente richiedono che l'utente finale completi alcuni requisiti aggiuntivi prima che l'applicazione sia autorizzata a elevare il livello. Questi requisiti offrono un ulteriore livello di protezione, facendo in modo che l'utente riconosca che l'app verrà eseguita in un contesto con privilegi elevati, prima che si verifichi tale elevazione.
- Per le regole approvate dal supporto, gli utenti finali devono inviare una richiesta per approvare un'applicazione. Dopo l'invio della richiesta, un amministratore può approvare la richiesta. Una volta approvata la richiesta, l'utente finale riceve una notifica che informa che può completare l'elevazione nel dispositivo. Per altre informazioni sull'uso di questo tipo di regola, vedere Support approved elevation requests (Supporto delle richieste di elevazione approvate)
Nota

Ogni regola di elevazione può anche impostare il comportamento di elevazione per i processi figlio creati dal processo con privilegi elevati.
Controlli del processo figlio : quando i processi vengono elevati da EPM, è possibile controllare come la creazione di processi figlio è governata da EPM, che consente di avere un controllo granulare su tutti i sottoprocessi che potrebbero essere creati dall'applicazione con privilegi elevati.
Componenti lato client: per usare Endpoint Privilege Management, Intune effettua il provisioning di un piccolo set di componenti nel dispositivo che ricevono i criteri di elevazione dei privilegi e li applica. Intune esegue il provisioning dei componenti solo quando viene ricevuto un criterio delle impostazioni di elevazione e il criterio esprime la finalità di abilitare la gestione di Endpoint Privilege.
Disabilitazione e deprovisioning : come componente installato in un dispositivo, Endpoint Privilege Management può essere disabilitato dall'interno di un criterio delle impostazioni di elevazione. L'uso dei criteri delle impostazioni di elevazione dei privilegi è necessario per rimuovere Endpoint Privilege Management da un dispositivo.

Dopo che il dispositivo ha un criterio di impostazioni di elevazione dei privilegi che richiede la disabilitazione di EPM, Intune disabilita immediatamente i componenti lato client. EPM rimuoverà il componente EPM dopo un periodo di sette giorni. Il ritardo consiste nel garantire che le modifiche temporanee o accidentali nei criteri o nelle assegnazioni non comportino il deprovisioningdi massa degli eventi diprovisioning/ che potrebbero avere un impatto significativo sulle operazioni aziendali.
Elevazioni gestite e elevazioni non gestite : questi termini potrebbero essere usati nei dati di report e utilizzo. Questi termini fanno riferimento alle descrizioni seguenti:
- Elevazione gestita: qualsiasi elevazione facilitata da Endpoint Privilege Management. Le elevazioni gestite includono tutte le elevazioni che EPM finisce per facilitare per l'utente standard. Queste elevazioni gestite possono includere elevazioni che si verificano come risultato di una regola di elevazione o come parte dell'azione di elevazione predefinita.
- Elevazione non gestita: tutte le elevazioni di file che si verificano senza l'uso di Endpoint Privilege Management. Queste elevazioni possono verificarsi quando un utente con diritti amministrativi usa l'azione predefinita di Windows Esegui come amministratore.

Controlli di accesso in base al ruolo per Endpoint Privilege Management

Per gestire Endpoint Privilege Management, all'account deve essere assegnato un ruolo Intune controllo degli accessi in base al ruolo che include l'autorizzazione seguente con diritti sufficienti per completare l'attività desiderata:

Creazione di criteri di gestione dei privilegi endpoint : questa autorizzazione è necessaria per usare criteri o dati e report per Endpoint Privilege Management e supporta i diritti seguenti:
- Visualizzare i report
- Lettura
- Creare
- Update
- Elimina
- Assegna
Richieste di elevazione dei privilegi degli endpoint : questa autorizzazione è necessaria per funzionare con le richieste di elevazione dei privilegi inviate dagli utenti per l'approvazione e supporta i diritti seguenti:
- Visualizzare le richieste di elevazione dei privilegi
- Modificare le richieste di elevazione dei privilegi

È possibile aggiungere questa autorizzazione con uno o più diritti ai propri ruoli controllo degli accessi in base al ruolo personalizzati oppure usare un ruolo controllo degli accessi in base al ruolo predefinito dedicato alla gestione di Endpoint Privilege Management:

Endpoint Privilege Manager: questo ruolo predefinito è dedicato alla gestione di Endpoint Privilege Management nella console di Intune. Questo ruolo include tutti i diritti per la creazione di criteri di gestione dei privilegi endpoint e per le richieste di elevazione dei privilegi degli endpoint.
Lettore di privilegi endpoint: usare questo ruolo predefinito per visualizzare i criteri di Endpoint Privilege Management nella console di Intune, inclusi i report. Questo ruolo include i diritti seguenti:
- Visualizzare i report
- Lettura
- Visualizzare le richieste di elevazione dei privilegi

Oltre ai ruoli dedicati, i ruoli predefiniti seguenti per Intune includono anche i diritti per la creazione di criteri di gestione di Endpoint Privilege:

Endpoint Security Manager : questo ruolo include tutti i diritti per la creazione di criteri di gestione dei privilegi endpoint e le richieste di elevazione dei privilegi degli endpoint.
Operatore di sola lettura : questo ruolo include i diritti seguenti:
- Visualizzare i report
- Lettura
- Visualizzare le richieste di elevazione dei privilegi

Per altre informazioni, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.

Modulo PowerShell di EpmTools

Ogni dispositivo che riceve i criteri di Endpoint Privilege Management installa Microsoft Agent EPM per gestire tali criteri. L'agente include il modulo PowerShell EpmTools , un set di cmdlet che è possibile importare in un dispositivo. È possibile usare i cmdlet di EpmTools per:

Diagnosticare e risolvere i problemi relativi a Endpoint Privilege Management.
Ottenere gli attributi file direttamente da un file o da un'applicazione per cui si vuole creare una regola di rilevamento.

Installare il modulo PowerShell di EpmTools

Il modulo PowerShell strumenti EPM è disponibile da qualsiasi dispositivo che ha ricevuto criteri EPM. Per importare il modulo PowerShell di EpmTools:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Di seguito sono riportati i cmdlet disponibili:

Get-Policies: recupera un elenco di tutti i criteri ricevuti dall'agente Epm per un determinato PolicyType (ElevationRules, ClientSettings).
Get-DeclaredConfiguration: recupera un elenco di documenti WinDC che identificano i criteri destinati al dispositivo.
Get-DeclaredConfigurationAnalysis: recupera un elenco di documenti WinDC di tipo MSFTPolicies e controlla se i criteri sono già presenti nell'agente Epm (colonna Elaborata).
Get-ElevationRules: esegue una query sulla funzionalità di ricerca EpmAgent e recupera le regole date dalla ricerca e dalla destinazione. La ricerca è supportata per FileName e CertificatePayload.
Get-ClientSettings: elaborare tutti i criteri delle impostazioni client esistenti per visualizzare le impostazioni client valide usate dall'agente EPM.
Get-FileAttributes: recupera gli attributi del file per un file .exe ed estrae i relativi certificati di server di pubblicazione e ca in un percorso impostato che può essere usato per popolare le proprietà delle regole di elevazione per una particolare applicazione.

Per altre informazioni su ogni cmdlet, esaminare il file readme.txt dalla cartella EpmTools nel dispositivo.