De implementatie van Endpoint Privilege Management plannen en voorbereiden

Opmerking

Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Zie EPM-overzicht voor meer informatie.

Van toepassing op:

• Windows

Dit artikel bevat informatie die nodig is om de implementatie van Endpoint Privilege Management (EPM) te plannen, waaronder vereisten, belangrijke concepten, beveiligingsaanbeveling en op rollen gebaseerd toegangsbeheer.

Controlelijst voor planning

• Bekijk de technische en licentievereisten in uw tenant.
• Definieer de persona's van uw doelgebruikers, zodat u regels met logische groepering voor deze persona's kunt maken.
• Zorg ervoor dat u een goed begrip hebt van uitbreidingsinstellingen en beleidsregels voor uitbreidingsregels, waaronder:
  • Standaardinstellingen voor uitbreiding en het verzamelen van diagnostische gegevens.
  • Het definiëren van uitbreidingsbestanden met behulp van bestands-hash, metagegevens of certificaten.
  • Hoe certificaatregels kunnen toestaan dat elke app die door dat certificaat is ondertekend, wordt verheft. Wees voorzichtig met leveranciers die al hun apps mogelijk met hetzelfde certificaat ondertekenen.
  • Ondersteuning van het argument regels en opties voor onderliggend procesgedrag.
  • Uitbreidingstypen.
  • Hoe regelconflicten worden verwerkt wanneer u overlappende regeltoewijzingen hebt.
• Zoek de juiste balans tussen beveiliging en flexibiliteit voor uw organisatie en persona's van gebruikers.
• Zorg ervoor dat u een robuuste implementatiestrategie hebt. Dit omvat belanghebbendenbeheer, communicatie- en trainingsplannen voor eindgebruikers en bewaking.

Vereisten

✅ Ontdek wat u nodig hebt voor EPM

Licenties

Endpoint Privilege Management vereist een invoegtoepassingslicentie buiten de Microsoft Intune Plan 1 licentie. U kunt kiezen tussen een zelfstandige licentie die alleen EPM toevoegt of licentie-EPM als onderdeel van de Microsoft Intune Suite. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

Vereisten

Endpoint Privilege Management heeft de volgende vereisten:

• Microsoft Entra toegevoegd aan of Microsoft Entra hybride gekoppeld
• Microsoft Intune-inschrijving of Microsoft Configuration Manager co-beheerde apparaten (geen workloadvereisten)
• Ondersteund besturingssysteem
• Duidelijke zichtlijn (zonder SSL-inspectie) naar de vereiste eindpunten

Opmerking

• Windows 365 wordt ondersteund met een ondersteunde versie van het besturingssysteem
• EPM biedt geen ondersteuning voor apparaten die lid zijn van de werkplek en Azure Virtual Desktop

Endpoint Privilege Management ondersteunt de volgende besturingssystemen:

• Windows 11, versie 24H2
• Windows 11 versie 23H2 (22631.2506 of hoger) met KB5031455
• Windows 11 versie 22H2 (22621.2215 of hoger) met KB5029351
• Windows 11 versie 21H2 (22000.2713 of hoger) met KB5034121
• Windows 10 versie 22H2 (19045.3393 of hoger) met KB5030211
• Windows 10 versie 21H2 (19044.3393 of hoger) met KB5030211

Belangrijk

Op 14 oktober 2025 is Windows 10 het einde van de ondersteuning bereikt en ontvangt geen kwaliteits- en functie-updates. Windows 10 is een toegestane versie in Intune. Apparaten met deze versie kunnen nog steeds worden ingeschreven bij Intune en in aanmerking komende functies gebruiken, maar de functionaliteit wordt niet gegarandeerd en kan variëren.

Belangrijk

• Beleidsregels voor verhogingsinstellingen rapporteren als 'niet van toepassing' voor apparaten waarop geen ondersteunde versie van het besturingssysteem wordt uitgevoerd.
• Endpoint Privilege Management is alleen compatibel met 64-bits besturingssysteemarchitecturen, waaronder Arm64.

Cloudondersteuning voor de overheid

Endpoint Privilege Management wordt ondersteund met de volgende onafhankelijke cloudomgevingen:

• U.S. Government Community Cloud (GCC) High
• U.S. Department of Defense (DoD)

Zie De beschrijving van de GCC-service van Microsoft Intune voor de Amerikaanse overheid voor meer informatie.

Belangrijke concepten voor Endpoint Privilege Management

Wanneer u de eerder genoemde uitbreidingsinstellingen en beleidsregels voor uitbreidingsregels configureert, zijn er enkele belangrijke concepten die u moet begrijpen om ervoor te zorgen dat u EPM configureert om te voldoen aan de behoeften van uw organisatie. Voordat u EPM op grote schaal implementeert, moeten de volgende concepten goed worden begrepen, evenals het effect ervan op uw omgeving:

• Uitvoeren met verhoogde toegang : een snelmenuoptie die wordt weergegeven wanneer EPM op een apparaat wordt geactiveerd. Wanneer deze optie wordt gebruikt, wordt het beleid voor uitbreidingsregels voor apparaten gecontroleerd op een overeenkomst om te bepalen of en hoe dat bestand kan worden verhoogd om te worden uitgevoerd in een beheercontext. Als er geen toepasselijke regel voor uitbreidingstoevoeging is, gebruikt het apparaat de standaardconfiguraties voor uitbreidingstoevoeging, zoals gedefinieerd door het beleid voor uitbreidingsinstellingen.

• Uitbreidings- en uitbreidingstypen voor bestanden: MET EPM kunnen gebruikers zonder beheerdersbevoegdheden processen uitvoeren in de beheercontext. Wanneer u een regel voor uitbreidingstoestemming maakt, kan EPM het doel van die regel proxyn voor uitvoering met beheerdersbevoegdheden op het apparaat. Het resultaat is dat de toepassing volledige beheermogelijkheden heeft op het apparaat.

Met uitzondering van Elevate als huidige gebruiker gebruikt EPM een virtueel account om processen te verhogen. Dit isoleert verhoogde acties van het gebruikersprofiel, waardoor de blootstelling aan gebruikersspecifieke gegevens wordt verminderd en het risico op escalatie van bevoegdheden wordt verminderd.

Wanneer u Endpoint Privilege Management gebruikt, zijn er een aantal opties voor het gedrag van verhogingen:

• Automatisch: Voor regels voor automatische uitbreiding verhoogt EPM deze toepassingen automatisch zonder invoer van de gebruiker. Brede regels in deze categorie kunnen een wijdverbreide invloed hebben op de beveiligingspostuur van de organisatie.

• Gebruiker bevestigd: met door de gebruiker bevestigde regels gebruiken eindgebruikers een nieuw snelmenu Uitvoeren met verhoogde toegang. Door de gebruiker bevestigde regels kunnen ook validatie met verificatie of zakelijke reden vereisen. Validatie vereisen biedt een extra beveiligingslaag door de gebruiker de uitbreiding te laten bevestigen.

• Verhogen als huidige gebruiker: met dit type uitbreiding wordt het proces met verhoogde bevoegdheden uitgevoerd onder het eigen account van de aangemelde gebruiker, waarbij de compatibiliteit met hulpprogramma's en installatieprogramma's die afhankelijk zijn van het actieve gebruikersprofiel, behouden blijft. Hiervoor moet de gebruiker zijn referenties voor Windows-verificatie invoeren. Hierdoor blijven de profielpaden, omgevingsvariabelen en persoonlijke instellingen van de gebruiker behouden. Omdat het verhoogde proces dezelfde gebruikersidentiteit behoudt voor en na uitbreiding, blijven audittrails consistent en nauwkeurig.

  Omdat het verhoogde proces echter de volledige context van de gebruiker overneemt, introduceert deze modus een bredere kwetsbaarheid voor aanvallen en vermindert de isolatie van gebruikersgegevens.

  Belangrijke overwegingen:

  • Compatibiliteitsbehoefte: gebruik deze modus alleen wanneer uitbreiding van het virtuele account toepassingsfouten veroorzaakt.
  • Bereik strikt: beperk regels voor uitbreiding tot vertrouwde binaire bestanden en paden om risico's te verminderen.
  • Afweging tussen beveiliging: begrijp dat deze modus de blootstelling aan gebruikersspecifieke gegevens verhoogt.

  Tip

  Wanneer compatibiliteit geen probleem is, geeft u de voorkeur aan een methode die gebruikmaakt van de uitbreiding van het virtuele account voor een betere beveiliging.

• Weigeren: met een regel voor weigeren wordt een bestand geïdentificeerd dat door EPM niet kan worden uitgevoerd in een verhoogde context. Regels voor weigeren kunnen ervoor zorgen dat bekende bestanden of mogelijk schadelijke software niet kunnen worden uitgevoerd in een verhoogde context.

• Ondersteuning goedgekeurd: voor goedgekeurde regels voor ondersteuning moeten eindgebruikers een aanvraag indienen om een toepassing met verhoogde machtigingen uit te voeren. Zodra de aanvraag is ingediend, kan een beheerder de aanvraag goedkeuren. Zodra de aanvraag is goedgekeurd, krijgt de eindgebruiker een melding dat ze de uitbreiding op het apparaat opnieuw kunnen proberen. Zie Ondersteuning voor goedgekeurde uitbreidingsaanvragen voor meer informatie over het gebruik van dit regeltype

Opmerking

Elke verhogingsregel kan ook het gedrag van verhogingen instellen voor onderliggende processen die door het verhoogde proces worden gemaakt.

• Besturingselementen voor onderliggende processen : wanneer processen worden verhoogd door EPM, kunt u bepalen hoe het maken van onderliggende processen wordt beheerd door EPM, zodat u gedetailleerde controle hebt over subprocessen die mogelijk worden gemaakt door uw verhoogde toepassing.

• Onderdelen aan de clientzijde: als u Endpoint Privilege Management wilt gebruiken, richt Intune een kleine set onderdelen op het apparaat in die beleidsregels voor verhoging van bevoegdheden ontvangen en afdwingen. Intune richt de onderdelen alleen in wanneer een beleid voor uitbreidingsinstellingen wordt ontvangen en het beleid de intentie uitdrukt om Beheer van eindpuntbevoegdheden in te schakelen .

• Beheerde verhogingen versus niet-beheerde verhogingen : deze termen kunnen worden gebruikt in onze rapportage- en gebruiksgegevens. Deze termen verwijzen naar de volgende beschrijvingen:

  • Beheerde uitbreiding: elke verhoging die Endpoint Privilege Management mogelijk maakt. Beheerde verhogingen omvatten alle verhogingen die EPM uiteindelijk mogelijk maakt voor de standaardgebruiker. Deze beheerde uitbreidingen kunnen verhogingen bevatten die optreden als gevolg van een regel voor verhoging van bevoegdheden of als onderdeel van de standaardactie voor verhoging van bevoegdheden.

  • Niet-beheerde uitbreiding: alle bestandsverhogingen die optreden zonder gebruik van Endpoint Privilege Management. Deze uitbreidingen kunnen optreden wanneer een gebruiker met beheerdersrechten de standaardactie van Windows als beheerder uitvoeren gebruikt.

EPM-beleid

✅ Inzicht in EPM-beleidstypen

Endpoint Privilege Management gebruikt twee beleidstypen die u configureert om te beheren hoe een aanvraag voor bestandsverhoging wordt verwerkt. Samen configureren de beleidsregels het gedrag voor uitbreiding van bestanden wanneer standaardgebruikers vragen om uit te voeren met beheerdersbevoegdheden.

Deze beleidsregels zijn:

• Beleid voor uitbreidingsinstellingen
• Beleid voor regels voor uitbreiding van bevoegdheden

EPM ondersteunt ook een herbruikbare instellingengroep voor het opslaan van uitgeverscertificaten waarnaar kan worden verwezen in meerdere regels of regels.

Beleidsconflictafhandeling voor Endpoint Privilege Management

✅ Meer informatie over beleidsconflicten

Met uitzondering van de volgende situaties worden conflicterende beleidsregels voor EPM verwerkt als elk ander beleidsconflict.

Beleid voor windows-uitbreidingsinstellingen:

Wanneer een apparaat twee afzonderlijke beleidsregels voor verhogingsinstellingen met conflicterende waarden ontvangt, wordt de EPM-client teruggezet naar het standaardclientgedrag totdat het conflict is opgelost.

Opmerking

Als Endpoint Privilege Management inschakelen conflicteert, is het standaardgedrag van de client EPM inschakelen.

Beleid voor windows-uitbreidingsregels:

Als een apparaat twee regels ontvangt die gericht zijn op dezelfde toepassing, worden beide regels op het apparaat gebruikt. Wanneer EPM regels gaat oplossen die van toepassing zijn op een verhoging, wordt de volgende logica gebruikt:

• Regels met een uitbreidingstypeWeigeren hebben altijd voorrang en de uitbreiding van het bestand wordt geweigerd.
• Regels die voor een gebruiker zijn geïmplementeerd, hebben voorrang op regels die op een apparaat zijn geïmplementeerd.
• Regels waarvoor een hash is gedefinieerd, worden altijd beschouwd als de meest specifieke regel.
• Als meer dan één regel van toepassing is (zonder hash gedefinieerd), wint de regel met de meest gedefinieerde kenmerken (meest specifiek).
• Als het toepassen van de doorgangslogica resulteert in meer dan één regel, bepaalt de volgende volgorde het gedrag van verhogingen: Gebruiker bevestigd, Verhogen als huidige gebruiker, Ondersteuning goedgekeurd en vervolgens Automatisch.

Opmerking

Als er geen regel bestaat voor een verhoging en die uitbreiding is aangevraagd via het snelmenu Uitvoeren met verhoogde toegang met de rechtermuisknop, wordt het standaardgedrag voor verhoging gebruikt.

Endpoint Privilege Management en gebruikersaccountbeheer

✅ Interactie tussen EPM en Gebruikersaccountbeheer begrijpen

Endpoint Privilege Management en windows ingebouwde gebruikersaccountbeheer (UAC) zijn afzonderlijke functies met verschillende functionaliteit.

Wanneer u gebruikers verplaatst om uit te voeren als standaardgebruikers en Endpoint Privilege Management gebruikt, kunt u ervoor kiezen om het standaard UAC-gedrag voor standaardgebruikers te wijzigen. Deze wijziging kan verwarring verminderen wanneer een toepassing uitbreiding vereist en een betere eindgebruikerservaring creëren. Bekijk het gedrag van de prompt voor verhoging van bevoegdheden voor standaardgebruikers voor meer informatie.

Opmerking

Endpoint Privilege Management geen invloed heeft op acties voor gebruikersaccountbeheer (of UAC) die worden uitgevoerd door een beheerder op het apparaat.

Beveiligingsaanbeveling

✅ Inzicht in de veiligste manier om EPM te gebruiken

Houd rekening met deze aanbevelingen bij het configureren van gedrag en regels voor uitbreidingsverhoging om een veilige implementatie van Endpoint Privilege Management te garanderen.

Een beveiligd standaardantwoord voor verhoging van bevoegdheden instellen

Stel het standaardantwoord voor verhoging in op Ondersteuningsgoedkeuring vereisen of Weigeren in plaats van Gebruikersbevestiging vereisen. Deze opties zorgen ervoor dat uitbreiding wordt beheerd met vooraf gedefinieerde regels voor bekende binaire bestanden, waardoor het risico wordt verkleind dat gebruikers willekeurige of mogelijk schadelijke uitvoerbare bestanden verhogen.

Bestandspadbeperkingen vereisen in alle regeltypen

Geef bij het configureren van een uitbreidingsregel een vereist bestandspad op. Hoewel het bestandspad optioneel is, kan dit een belangrijke beveiligingscontrole zijn voor regels die gebruikmaken van automatische uitbreiding of op jokertekens gebaseerde kenmerken wanneer het pad verwijst naar een locatie die standaardgebruikers niet kunnen wijzigen, zoals een beveiligde systeemmap. Het gebruik van een beveiligde bestandslocatie helpt voorkomen dat uitvoerbare bestanden of hun afhankelijke binaire bestanden worden gemanipuleerd met of worden vervangen vóór uitbreiding.

Deze aanbeveling is van toepassing op regels die automatisch worden gemaakt op basis van details van het uitbreidingsrapport of de goedgekeurde ondersteuningsaanvraag , en op regels voor verhoging van bevoegdheden die u handmatig maakt.

Belangrijk

Bestanden op netwerkshares worden niet ondersteund en mogen niet worden gebruikt in regeldefinities.

Onderscheid maken tussen installatie- en runtime-uitbreiding

Wees bewust met betrekking tot uitbreiding van installatiebestanden ten opzichte van toepassingsruntime. Uitbreiding van installatieprogramma's moet strikt worden gecontroleerd om niet-geautoriseerde software-installaties te voorkomen. Runtime-uitbreiding moet worden geminimaliseerd om het totale kwetsbaarheidsoppervlak voor aanvallen te verminderen.

Strengere regels toepassen op toepassingen met een hoog risico

Gebruik meer beperkende regels voor uitbreiding van bevoegdheden voor toepassingen met bredere toegang of scriptmogelijkheden, zoals webbrowsers en PowerShell. Overweeg voor PowerShell scriptspecifieke regels te gebruiken om ervoor te zorgen dat alleen vertrouwde scripts met verhoogde bevoegdheden mogen worden uitgevoerd.

Nieuw beginnen, zelfs wanneer u migreert vanuit een product van derden

EPM werkt anders dan producten van derden en daarom raden we aan om te beginnen met een controlebeleid. Vervolgens kunt u nieuwe regels maken op basis van rapporten en profiteren van de ondersteuning voor goedgekeurde uitbreiding wanneer een bestand geen regel heeft, maar een gebruiker dat bestand moet verhogen om zijn werk te doen.

Op rollen gebaseerde toegangsbeheer voor Endpoint Privilege Management

✅ Meer informatie over het delegeren van toegang tot EPM

Als u Endpoint Privilege Management wilt beheren, moet aan uw account een RBAC-rol (op rollen gebaseerd toegangsbeheer) van Intune worden toegewezen die de volgende machtiging bevat en voldoende rechten heeft om de gewenste taak te voltooien:

• Endpoint Privilege Management Beleidscreatie: deze machtiging is vereist om te werken met beleid of gegevens en rapporten voor Endpoint Privilege Management en ondersteunt de volgende rechten:

  • Rapporten weergeven
  • Lezen
  • Maken
  • Update
  • Verwijderen
  •               Toewijzen                            

• Endpoint Privilege Management uitbreidingsaanvragen: deze machtiging is vereist om te kunnen werken met goedgekeurde uitbreidingsaanvragen die door gebruikers ter goedkeuring worden ingediend en ondersteunt de volgende rechten:

  • Aanvragen voor verhoging van bevoegdheden weergeven
  • Uitbreidingsaanvragen wijzigen

U kunt deze machtiging met een of meer rechten toevoegen aan uw eigen aangepaste RBAC-rollen of een ingebouwde RBAC-rol gebruiken die is toegewezen aan het beheren van Endpoint Privilege Management:

• Endpoint Privilege Manager: deze ingebouwde rol is bedoeld voor het beheren van Endpoint Privilege Management in de Intune-console. Deze rol bevat alle rechten voor Endpoint Privilege Management beleidscreatie en Endpoint Privilege Management aanvragen voor uitbreiding van bevoegdheden.

• Lezer voor eindpuntbevoegdheden: gebruik deze ingebouwde rol om Endpoint Privilege Management-beleid weer te geven in de Intune-console, inclusief rapporten. Deze rol bevat de volgende rechten:

  • Rapporten weergeven
  • Lezen
  • Aanvragen voor verhoging van bevoegdheden weergeven

Naast de toegewezen rollen bevatten de volgende ingebouwde rollen voor Intune ook rechten voor Endpoint Privilege Management beleidscreatie:

• Endpoint Security Manager: deze rol bevat alle rechten voor Endpoint Privilege Management beleidscreatie en Endpoint Privilege Management aanvragen voor uitbreiding van bevoegdheden.

• Alleen-lezenoperator : deze rol bevat de volgende rechten:

  • Rapporten weergeven
  • Lezen
  • Aanvragen voor verhoging van bevoegdheden weergeven

Zie Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie.

EpmTools PowerShell-module

✅ Meer informatie over het gebruik van de EPM PowerShell-module

Elk apparaat dat Endpoint Privilege Management-beleid ontvangt, installeert de EPM Microsoft Agent om dit beleid te beheren. De agent bevat de EpmTools PowerShell-module, een set cmdlets die u op een apparaat kunt importeren. U kunt de cmdlets van EpmTools gebruiken om het volgende te doen:

• Problemen met Endpoint Privilege Management vaststellen en oplossen.
• Haal bestandskenmerken rechtstreeks op vanuit een bestand of toepassing waarvoor u een detectieregel wilt maken.

De EpmTools PowerShell-module installeren

De PowerShell-module EPM Tools is beschikbaar vanaf elk apparaat dat EPM-beleid heeft ontvangen. De EpmTools PowerShell-module importeren:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Opmerking

Windows op Arm64 vereist het gebruik van Windows PowerShell x64.

Hier volgen de beschikbare cmdlets:

• Get-Policies: haalt een lijst op van alle beleidsregels die door EPM zijn ontvangen voor een bepaald 'PolicyType' ('ElevationRules' of 'ClientSettings').
• Get-DeclaredConfiguration: haalt een lijst met WinDC-documenten op die het beleid identificeren dat op het apparaat is gericht.
• Get-DeclaredConfigurationAnalysis: haalt een lijst op met WinDC-documenten van het type MSFTPolicies en controleert of het beleid al aanwezig is in epm-agent (kolom Verwerkt).
• Get-ElevationRules: voer een query uit op de zoekfunctionaliteit van EpmAgent en haalt regels op die zijn opgegeven op zoekactie en doel. Zoeken wordt ondersteund voor FileName en CertificatePayload.
• Get-ClientSettings: alle bestaande beleidsregels voor clientinstellingen verwerken om de effectieve clientinstellingen weer te geven die door EPM worden gebruikt.
• Get-FileAttributes: haalt bestandskenmerken op voor een .exe-bestand en extraheert de Publisher- en CA-certificaten naar een ingestelde locatie die kan worden gebruikt om eigenschappen van uitbreidingsregel voor een bepaalde toepassing in te vullen.

Raadpleeg het bestand readme.md in de map EpmTools op het apparaat voor meer informatie over elke cmdlet.

---

Volgende stappen

Volgende: Privacygegevensverzameling controleren >