Condividi tramite

Usare Gestione privilegi endpoint per eseguire la transizione degli utenti dall'amministratore all'utente standard

Nota

Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

Con Microsoft Intune Gestione privilegi endpoint (EPM) gli utenti dell'organizzazione possono essere eseguiti come utente standard (senza diritti di amministratore) e completare attività che richiedono privilegi elevati. Per altre informazioni, vedere Panoramica di EPM.

Si applica a:

  • Windows

Uno scenario comune per i clienti che vogliono usare Gestione privilegi endpoint consiste nel ridurre il numero di amministratori locali nel proprio ambiente. Questo scenario è conforme al principio Zero Trust dei privilegi minimi. Questo documento illustra i passaggi che un cliente potrebbe seguire per usare EPM per spostare gli utenti dagli amministratori agli utenti standard con interruzioni minime.

Fase 1: Controllo

Indipendentemente dal fatto che si stia eseguendo la migrazione da un altro prodotto di gestione dei privilegi degli endpoint o si stia iniziando da un'altra fase, è consigliabile abilitare il controllo come primo passaggio. L'abilitazione del controllo consente al client EPM e ai dispositivi di inviare dati di diagnostica a Intune, dove possono essere visualizzati in vari report. La raccolta di questi dati di elevazione fornisce informazioni dettagliate sui processi che gli utenti stanno cercando di elevare e consentono di identificare i modelli comuni. Idealmente, questi sono allineati ai tuoi utenti, ad esempio sviluppatori, tecnici di supporto IT e così via. La distribuzione di questo criterio per il controllo è semplice e può essere destinata a un gruppo di utenti o dispositivi di propria scelta, in base a qualsiasi assegnazione regolare dei criteri di Intune.

Nota

Una volta abilitati, i dati di utilizzo possono richiedere 24 ore per essere restituiti e per l'aggiornamento dei report del portale di Intune. A seconda dei modelli di utilizzo, è possibile visualizzare i dati dei report per un periodo di molte settimane per ottenere una migliore comprensione dell'ambiente.

Procedura per creare i criteri:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Endpoint Security>Gestione privilegi endpoint>Policies
  3. Selezionare Crea criteri. Immettere i dettagli seguenti:
    • Piattaforma: Finestre
    • Profilo: Criteri delle impostazioni di elevazione
  4. Selezionare Crea.
  5. Specificare il nome per i criteri, ad esempio: Criteri di impostazioni EPM - Solo controllo
  6. Selezionare Avanti.
  7. Espandere la sezione 'Privilege management elevation client settings' (Impostazioni client di elevazione dei privilegi) e assicurarsi che siano impostati i valori seguenti:
    • Gestione privilegi endpoint: Abilitato
    • Risposta di elevazione predefinita: Non configurato
    • Inviare dati di elevazione per la creazione di report:
    • Ambito di creazione di report: Dati di diagnostica e tutte le elevazioni degli endpoint
  8. Selezionare Avanti.
  9. Lasciare i tag Ambito e selezionare Avanti
  10. Aggiungere un gruppo di dispositivi o utenti a cui si desidera assegnare i criteri
  11. Selezionare Avanti.
  12. Selezionare Crea per creare i criteri

Per verificare che la regola funzioni come previsto:

  • Accedere al dispositivo Windows con le credenziali utente standard.
  • Iniziare>Correre>Services.msc> Ok
  • Verificare che " Servizio agente Microsoft EPM" sia presente, in esecuzione e impostato su Tipo di avvio automatico.
  • Chiudere lo snap-in Servizi.
  • Iniziare>Correre>C:\Program Files\> Ok
  • Verificare che sia presente una cartella denominata Microsoft EPM Agent

Dopo 24 ore o più sono passate:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Endpoint Security>Gestione privilegi endpoint>Reports
  3. Selezionare il report elevazione
  4. Esaminare i dettagli del report di elevazione dei privilegi

Identificare i gruppi di utenti (idealmente allineati con le persone identificate in precedenza) che hanno requisiti di elevazione simili. L'identificazione dei modelli di utilizzo e dei gruppi di utenti consente di eseguire i passaggi successivi.

Consiglio

Questo report include alcuni processi predefiniti di Windows nella colonna File ,ad esempio C:\Windows\System32\Dism\dismhost and c:\Windows\System32\conhost.exe, che possono essere ignorati.

Fase 2: Identificazione persona

L'uso di utenti nella progettazione dei criteri di Gestione privilegi endpoint Microsoft Intune (EPM) è un modo strategico per allineare le impostazioni e le regole di elevazione alle esigenze degli utenti reali.

Che cosa sono gli utenti in EPM?

Gli utenti personali sono rappresentazioni basate sui dati di diversi tipi di utente all'interno dell'organizzazione. Ogni persona riflette un gruppo di utenti con ruoli, responsabilità e esigenze dell'applicazione simili.

Mapping di persona di esempio:

Tipo persona Ruoli di esempio Strategia di elevazione Elevazione predefinita
Utenti di Power Tecnici del supporto IT, utenti esperti IT Elevazione automatica per regole definite Nega tutte le richieste
Sviluppatori Progettazione Elevazione automatica per le app a basso rischio definite; L'utente è giustificato per le app a rischio più elevato Supporto approvato
utenti Standard Finanza, risorse umane Elevazione automatica per regole definite Nega tutte le richieste o il supporto approvato

In che modo le persone aiutano a progettare le impostazioni e le regole di elevazione?

Il mapping delle esigenze dell'utente consente di definire la strategia di elevazione per ogni coorte utente.

Fase 3: Creare regole

Le regole EPM sono costituite da due elementi fondamentali: un rilevamento e un'azione di elevazione.

I rilevamenti sono definiti come set di attributi usati per identificare un'applicazione o un file binario. Questi attributi includono il nome del file, la versione del file e le proprietà della firma. Le azioni di elevazione sono l'elevazione risultante che si verifica dopo il rilevamento di un'applicazione o di un file binario.

Procedure consigliate

  • Usare attributi sicuri o più attributi per aumentare la forza di rilevamento.
  • Un hash del file o un certificato è obbligatorio.

Per altre raccomandazioni sulla sicurezza, vedere Consigli sulla sicurezza.

Passaggi per creare una regola usando i dati del report di elevazione

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
  2. Selezionare Endpoint Security>Gestione privilegi endpoint>Policies
  3. Selezionare il report elevazione
  4. Selezionare un'applicazione o un processo , ad esempio . C:\Program Files\Notepad++\
  5. Selezionare Crea una regola con i dettagli seguenti:
    • Creare un nuovo criterio
    • Digitare: Confermato dall'utente
    • Comportamento del processo figlio: Richiedi regola per l'elevazione
    • Richiedi lo stesso percorso del file di questa elevazione: selezionata
  6. Selezionare OK
  7. Specificare un nome di criterio ( ad esempio EPM rule – Notepad++ User Confirmed)
  8. Selezionare
  9. Passare all'elenco dei criteri EPM e selezionare i criteri
  10. In Assegnazioni selezionare Modifica
  11. Selezionare Aggiungi gruppi
  12. Assegnare a un gruppo (ad esempio, Sviluppatori)
  13. Selezionare, rivedere e salvare

Per altre informazioni sulla creazione di una regola, vedere Creare regole di elevazione.

Verificare che la regola funzioni

  • Accedere al dispositivo Windows con le credenziali utente standard.
  • Fare clic con il pulsante destro del mouse sull'applicazione ( ad esempio Notepad++) e selezionare "Esegui con accesso con privilegi elevati"
  • Nel popup Gestione privilegi endpoint selezionare Continua
  • Verificare che l'applicazione si avvii con autorizzazioni elevate

Fase 4: Rimuovere i diritti di amministratore locale

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Endpoint Security>Account Protection

  3. Selezionare Crea criterio:

    • Piattaforma: Finestre
    • Profilo: Appartenenza a gruppi di utenti locali

  4. Specificare il nome per i criteri , ad esempio Remove local admin rights (developers)

  5. Selezionare Aggiungi:

    • Gruppo locale: Amministratori
    • Azione gruppo e utente: Aggiungi (Sostituisci)
    • Tipo di selezione utente: Manuale

  6. Selezionare utenti

  7. Aggiungere i due IDENTIFICATORI di sicurezza (SID) per:

    • Amministratore globale
    • Microsoft Entra amministratore locale del dispositivo aggiunto

    Usare Lusrmgr.msc in un dispositivo aggiunto a Entra per trovare SID a partire da S-1-12-1-

  8. Assegnare a un gruppo ( ad esempio Developers)

  9. Selezionare Salva

Per altre informazioni sui profili Utenti e gruppi locali, vedere Protezione degli account

Fase 5: Monitoraggio

  • Esaminare regolarmente i report di elevazione
  • Aggiungere elevazioni non gestite alle regole o negarle
  • Monitorare le richieste approvate dal supporto per i ritardi o i modelli
  • Aggiornare le regole quando le versioni dei file o i certificati cambiano
  • Ritirare o inasprire le regole obsolete

Passaggi successivi

Successivo: Supportare le richieste approvate >

  • Last updated on