Implementatieoverwegingen en veelgestelde vragen voor Endpoint Privilege Management
Opmerking
Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.
Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.
Endpoint Privilege Management ondersteunt uw zero-trust journey door uw organisatie te helpen een brede gebruikersbasis te bereiken met minimale bevoegdheden, terwijl gebruikers nog steeds taken kunnen uitvoeren die door uw organisatie zijn toegestaan om productief te blijven.
In de volgende secties van dit artikel worden overwegingen voor implementaties en veelgestelde vragen voor EPM besproken.
Van toepassing op:
- Windows 10
- Windows 11
Implementatieoverwegingen voor Endpoint Privilege Management
Windows 10-apparaten ontvangen mogelijk niet onmiddellijk een bevestiging van ondersteuningsgoedkeuringen
Er wordt gewerkt aan een oplossing voor een aantal scenario's die voorkomen dat Windows 10-apparaten automatisch de melding ontvangen dat er een nieuwe goedkeuring voor het apparaat gereed is wanneer u ondersteuning voor goedgekeurde verhogingen gebruikt. We werken samen met de eigenaar om dit zo snel mogelijk op te lossen.
Organisatie die gebruikersaccountbeheer (UAC) uitschakelt, kan problemen ondervinden met Endpoint Privilege Management
Endpoint Privilege Management biedt geen ondersteuning voor het expliciet uitschakelen van UAC. Windows-beleidsbesturingselementen voor UAC-promptgedrag bestaan om het gedrag van UAC te beheren. Als organisaties extra stappen uitvoeren om UAC buiten de bestaande beleidsbesturingselementen uit te schakelen, zoals het uitschakelen van Windows-services, kunnen ze problemen ondervinden met Endpoint Privilege Management.
Organisaties die Application Control for Business gebruiken, kunnen problemen ondervinden met het uitvoeren van Endpoint Privilege Management
Beleidsregels voor toepassingsbeheer voor bedrijven die geen rekening houden met de EPM-clientonderdelen, kunnen verhinderen dat de EPM-onderdelen werken. Als u EPM met AppControl wilt gebruiken, moet u ervoor zorgen dat uw beleid voor toepassingsbeheer regels bevat waarmee EPM kan functioneren. Zie WDAC-foutopsporing en probleemoplossing voor meer informatie over het oplossen van problemen met toepassingsbeheer.
Opmerking
EPM is niet opgenomen in standaardbeleidsregels voor toepassingsbeheer en vereist mogelijk het maken van aangepast beleid.
Organisaties die gebruikers beperken die zich interactief kunnen aanmelden, kunnen problemen ondervinden met Endpoint Privilege Management
Endpoint Privilege Management maakt gebruik van een geïsoleerd account om verhogingen te vergemakkelijken. Dit account vereist de mogelijkheid om een interactieve aanmeldingssessie te maken. Organisaties die de mogelijkheid voor gebruikers om interactieve sessies te maken beperken, moeten wijzigingen aanbrengen om EPM goed te laten functioneren.
Gebruikers die ondersteuningsgoedkeuring voor uitbreiding aanvragen, moeten de primaire gebruiker op het apparaat zijn
Endpoint Privilege Management vereist momenteel dat de gebruiker die een verhoging aanvraagt, de primaire gebruiker van het apparaat is. We werken eraan om deze beperking in een toekomstige release op te heffen.
Bestanden ontwerpen met een bestandsnaam als een van de enige kenmerken voor identificatie
Bestandsnaam is een kenmerk dat kan worden gebruikt om een toepassing te detecteren die moet worden verhoogd. Het wordt echter niet beveiligd door de handtekening van het bestand.
Bestandsnamen zijn zeer gevoelig voor wijzigingen en bestanden die zijn ondertekend met een certificaat dat u vertrouwt, kunnen hun naam wijzigen om te worden gedetecteerd en vervolgens verhoogd , wat mogelijk niet het beoogde gedrag is.
Belangrijk
Zorg er altijd voor dat regels met inbegrip van een bestandsnaam andere kenmerken bevatten die een sterke assertie voor de identiteit van het bestand bieden. Kenmerken zoals bestands-hash of eigenschappen die zijn opgenomen in de bestandshandtekening, zijn goede indicatoren dat het bestand dat u van plan bent, waarschijnlijk het bestand is dat wordt verhoogd.
Beleid voor verhogingsinstellingen kan een conflict weergeven als deze snel achter elkaar wordt gewijzigd
Endpoint Privilege Management rapporteert de status van afzonderlijke instellingen die zijn toegepast met behulp van het profiel Instellingen voor bevoegdheden . Als instellingen in dit profiel (bijvoorbeeld standaardgedrag voor uitbreiding) meerdere keren snel achter elkaar worden gewijzigd, kan dit leiden tot het melden van een conflict of terugvallen op het standaardgedrag van Het weigeren van de uitbreiding. Dit is een tijdelijke status en wordt opgelost zonder verdere actie (in minder dan 60 minuten). Dit probleem wordt opgelost in een toekomstige release.
Geblokkeerde bestanden die zijn gedownload van internet, kunnen niet worden verheft
Er bestaat gedrag in Windows om een kenmerk in te stellen op bestanden die rechtstreeks van internet worden gedownload en te voorkomen dat ze worden uitgevoerd totdat ze zijn gevalideerd. Windows heeft functionaliteit voor het valideren van de reputatie van bestanden die zijn gedownload van internet. Wanneer een bestandsreputatie niet is gevalideerd, kan deze mogelijk niet worden verheft.
Als u dit gedrag wilt corrigeren, deblokkeert u het bestand door de blokkering van het bestand op te heffen in het deelvenster met bestandseigenschappen. De blokkering van een bestand moet alleen worden uitgevoerd wanneer u het bestand vertrouwt.
Windows-apparaten die lid zijn van de werkplek, kunnen Endpoint Privilege Management niet inschakelen
Apparaten die lid zijn van de werkplek, worden niet ondersteund door Endpoint Privilege Management. Deze apparaten geven geen geslaagde epm-beleidsregels (uitbreidingsinstellingen of uitbreidingsregels) weer wanneer ze op het apparaat worden geïmplementeerd.
Regels voor een netwerkbestand kunnen mogelijk niet worden verheft
Endpoint Privilege Management ondersteunt het uitvoeren van bestanden die lokaal zijn opgeslagen op schijf. Het uitvoeren van bestanden vanaf een netwerklocatie, zoals een netwerkshare of toegewezen station, wordt niet ondersteund.
Endpoint Privilege Management ontvangt geen beleid wanneer ik een SSL-inspectie in mijn netwerkinfrastructuur gebruik
Endpoint Privilege Management biedt geen ondersteuning voor SSL-inspectie. Dit wordt 'break and inspect' genoemd. Als u Endpoint Privilege Management wilt gebruiken, moet u ervoor zorgen dat de URL's die worden vermeld in de Intune-eindpunten voor Endpoint Privilege Management , zijn vrijgesteld van inspectie.
Veelgestelde vragen
Waarom wordt mijn virtuele apparaat niet onboarding uitgevoerd naar Endpoint Privilege Management?
Momenteel wordt Endpoint Privilege Management niet ondersteund met Azure Virtual Desktop. Dit probleem wordt opgelost in de toekomstige release.
Ondersteuning voor Windows 365 (cloud-pc's) is toegevoegd in september 2023.
Waarom wordt in mijn beleid voor uitbreidingsinstellingen een fout weergegeven/niet van toepassing?
Het beleid voor uitbreidingsinstellingen bepaalt de inschakeling van EPM en de configuratie van de onderdelen aan de clientzijde. Wanneer dit beleid een fout heeft of niet van toepassing is, geeft dit aan dat het apparaat een probleem had met het inschakelen van EPM. De twee meest voorkomende redenen zijn het ontbreken van de vereiste Windows-updates of het niet communiceren met vereiste Intune-eindpunten voor Endpoint Privilege Management.
Wat gebeurt er wanneer iemand met beheerdersbevoegdheden een apparaat gebruikt dat is ingeschakeld voor EPM?
Endpoint Privilege Management beheert geen uitbreidingsaanvragen van gebruikers met beheerdersmachtigingen op een apparaat. Er kunnen gevallen zijn waarin een beheerder een bestand start met een regel voor verhoging van bevoegdheden (met name een regel voor automatische uitbreiding) die op het apparaat is gedefinieerd. Deze toepassing wordt gestart zoals normaal voor de beheerder en een gebeurtenis voor een onbeheerde uitbreiding wordt gegenereerd door EPM.
Welke bestanden kunnen worden verhoogd naar beheerder?
Endpoint Privilege Management ondersteunt uitvoerbare bestanden, waaronder bestanden met de .msi
extensie en .ps1
PowerShell-scripts.
Waarom wordt 'Uitvoeren met verhoogde toegang' niet weergegeven in de menu-items van het startmenu?
Bepaalde items die zich in het startmenu of de taakbalk bevinden, hebben een gecureerd snelmenu en het snelmenu met de rechtermuisknop van EPM kan niet worden toegevoegd aan deze menu's. We zijn van plan dit probleem in een toekomstige release op te lossen.
Kan ik meerdere bestanden met verhoogde bevoegdheid starten met het snelmenu Uitvoeren met verhoogde toegang?
Er kan slechts één bestand tegelijk worden verhoogd. Als u meerdere bestanden met verhoogde bevoegdheid wilt starten, klikt u met de rechtermuisknop op elk bestand afzonderlijk en selecteert u Uitvoeren met verhoogde toegang.