Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Примечание.
Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.
С помощью Microsoft Intune Управление привилегиями на конечных точках (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Дополнительные сведения см. в разделе Обзор EPM.
Применимо к:
- Windows
Чтобы развернуть Управление привилегиями на конечных точках (EPM), начните с включения отчетов, а затем используйте отчеты для создания правил повышения прав. В этой статье описаны некоторые распространенные сценарии развертывания и приведены рекомендуемые этапы развертывания для вашей организации.
- Политика параметров повышения прав Windows.
- Политика правил повышения прав Windows.
- Группы повторно используемых параметров, которые являются необязательными конфигурациями для правил повышения прав.
Обзор развертывания
EPM может помочь контролировать повышение прав приложений в Intune, а локальные пользователи и группы можно использовать для управления группой локальных администраторов и перехода пользователей от администраторов к стандартным пользователям.
Распространенные этапы развертывания:
- Этап 1. Аудит . Включение клиента EPM и включение сбора отчетов с помощью политики параметров повышения прав.
- Этап 2. Идентификация пользователей — группы удостоверений пользователей с общими требованиями.
- Этап 3. Создание правил . Использование отчетов EPM для создания правил повышения прав для разных пользователей.
- Этап 4. Мониторинг . Итерации и уточнения правил, выявления новых сценариев.
- Этап 5. Проверка привилегий пользователей . Определите и при необходимости переместите пользователей от администратора к стандартному пользователю с помощью локальных пользователей и групп. Рассмотрите возможность включения утвержденного повышения прав поддержки, чтобы пользователи могли запрашивать повышение прав для приложений, которые не охватываются правилами.
Повторяйте этапы 2–5 непрерывно, чтобы обеспечить пользователям минимальные привилегии в соответствии с принципами "Никому не доверяй".
Распространенные сценарии развертывания для EPM:
| Сценарий | Локальный пользователь (до) | Локальный пользователь (после) | Пример роли | Вариант использования |
|---|---|---|---|---|
| 1 | Администратор | Администратор | Специалисты по ИТ-поддержке | Определенное подмножество пользователей требует постоянного локального администратора, но вы хотите улучшить безопасность с помощью EPM. |
| 2 | Admin | пользователь Standard | Информационные работники | Вы хотите переместить пользователей с правами локального администратора на стандартных пользователей с минимальными нарушениями. Вы хотите разрешить им иногда запрашивать приложение для запуска от имени администратора.
Пошаговые инструкции по реализации этого сценария с помощью EPM см. в статье Использование EPM для перехода пользователей от администратора к стандартным пользователям. |
| 2 | пользователь Standard | пользователь Standard | Разработчики | Вы хотите разрешить определенным пользователям "повысить уровень" без предоставления прав локального администратора или использования LAPS. |