Delen via


Beleidsregels configureren voor Endpoint Privilege Management

Opmerking

Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.

Endpoint Privilege Management ondersteunt uw zero-trust journey door uw organisatie te helpen een brede gebruikersbasis te bereiken met minimale bevoegdheden, terwijl gebruikers nog steeds taken kunnen uitvoeren die door uw organisatie zijn toegestaan om productief te blijven.

De informatie in dit artikel kan u helpen bij het configureren van de volgende beleidsregels en herbruikbare instellingen voor EPM:

  • Beleid voor windows-uitbreidingsinstellingen.
  • Beleid voor windows-uitbreidingsregels.
  • Herbruikbare instellingengroepen, dit zijn optionele configuraties voor uw regels voor uitbreiding.

Van toepassing op:

  • Windows 10
  • Windows 11

Aan de slag met EPM-beleid

Endpoint Privilege Management maakt gebruik van twee beleidstypen die u configureert om te beheren hoe een aanvraag voor bestandstoestemming wordt verwerkt. Samen configureren de beleidsregels het gedrag voor uitbreiding van bestanden wanneer standaardgebruikers vragen om uit te voeren met beheerdersbevoegdheden.

Voordat u Endpoint Privilege Management-beleid kunt maken, moet u een licentie verlenen voor EPM in uw tenant als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor licentie-informatie.

Over het beleid voor windows-uitbreidingsinstellingen

Gebruik het windows-beleid voor uitbreidingsinstellingen als u het volgende wilt doen:

  • Schakel Endpoint Privilege Management in op apparaten. Met dit beleid wordt EPM standaard ingeschakeld. Wanneer EPM voor het eerst is ingeschakeld, richt een apparaat de onderdelen in die gebruiksgegevens verzamelen voor aanvragen voor verhoging van bevoegdheden en die regels voor verhoging van bevoegdheden afdwingen.

    Als EPM op een apparaat is uitgeschakeld, worden de clientonderdelen onmiddellijk uitgeschakeld. Er is een vertraging van zeven dagen voordat het EPM-onderdeel volledig wordt verwijderd. De vertraging helpt de tijd te verkorten die nodig is om EPM te herstellen als epm per ongeluk is uitgeschakeld op een apparaat of als het beleid voor uitbreidingsinstellingen niet is toegewezen.

  • Standaardantwoord voor verhoging van bevoegdheden : stel een standaardantwoord in voor een verzoek om uitbreiding van een bestand dat niet wordt beheerd door een Windows-uitbreidingsregelbeleid. Deze instelling heeft alleen effect als er geen regel voor de toepassing bestaat EN moet een eindgebruiker expliciet om uitbreiding vragen via het snelmenu Uitvoeren met verhoogde toegang . Deze optie is standaard niet geconfigureerd. Als er geen instelling wordt geleverd, vallen de EPM-onderdelen terug op de ingebouwde standaardinstelling, namelijk alle aanvragen weigeren.

    Opties zijn onder andere:

    • Alle aanvragen weigeren : met deze optie blokkeert u de actie Aanvraag verhogen voor bestanden die niet zijn gedefinieerd in een Windows-beleid voor uitbreidingsregels.
    • Bevestiging van de gebruiker vereisen : wanneer bevestiging van de gebruiker is vereist, kunt u kiezen uit dezelfde validatieopties als voor beleid voor Windows-uitbreidingsregels.
    • Goedkeuring van ondersteuning vereisen : wanneer ondersteuningsgoedkeuring is vereist, moet een beheerder aanvragen voor uitbreidingsverhoging goedkeuren zonder een overeenkomende regel voordat de uitbreiding is vereist.

    Opmerking

    Standaardantwoorden worden alleen verwerkt voor aanvragen die binnenkomen via het snelmenu Uitvoeren met verhoogde toegang .

  • Validatieopties : stel validatieopties in wanneer het standaardantwoord voor verhoging van bevoegdheden is gedefinieerd als Bevestiging van gebruiker vereisen.

    Opties zijn onder andere:

    • Zakelijke reden : voor deze optie moet de eindgebruiker een reden opgeven voordat een verhoging wordt voltooid die wordt gefaciliteerd door het standaardantwoord voor verhoging van bevoegdheden.
    • Windows-verificatie : voor deze optie moet de eindgebruiker zich verifiëren voordat een verhoging wordt voltooid die wordt gefaciliteerd door het standaardantwoord voor verhoging van bevoegdheden.

    Opmerking

    Er kunnen meerdere validatieopties worden geselecteerd om te voldoen aan de behoeften van de organisatie. Als er geen opties zijn geselecteerd, hoeft de gebruiker alleen op Doorgaan te klikken om de uitbreiding te voltooien.

  • Gegevens over bevoegdheden verzenden voor rapportage : met deze instelling bepaalt u of uw apparaat diagnostische en gebruiksgegevens deelt met Microsoft. Wanneer het delen van gegevens is ingeschakeld, wordt het type gegevens geconfigureerd door de instelling Rapportagebereik .

    Diagnostische gegevens worden door Microsoft gebruikt om de status van de EPM-clientonderdelen te meten. Gebruiksgegevens worden gebruikt om verhogingen in uw tenant weer te geven. Zie Gegevensverzameling en privacy voor Endpoint Privilege Management voor meer informatie over de typen gegevens en hoe deze worden opgeslagen.

    Opties zijn onder andere:

    • Ja : met deze optie worden gegevens naar Microsoft verzonden op basis van de instelling Rapportagebereik .
    • Nee : met deze optie worden geen gegevens naar Microsoft verzonden.
  • Rapportagebereik : met deze instelling bepaalt u de hoeveelheid gegevens die naar Microsoft worden verzonden wanneer Verhogingsgegevens verzenden voor rapportage is ingesteld op Ja. Diagnostische gegevens en alle eindpuntverhogingen zijn standaard geselecteerd.

    Opties zijn onder andere:

    • Alleen diagnostische gegevens en beheerde uitbreidingen : met deze optie worden diagnostische gegevens naar Microsoft verzonden over de status van de clientonderdelen EN gegevens over uitbreidingen die worden gefaciliteerd door Endpoint Privilege Management.
    • Diagnostische gegevens en alle eindpuntverhogingen : met deze optie worden diagnostische gegevens naar Microsoft verzonden over de status van de clientonderdelen EN gegevens over alle uitbreidingen op het eindpunt.
    • Alleen diagnostische gegevens : met deze optie worden alleen de diagnostische gegevens over de status van de clientonderdelen naar Microsoft verzonden.

Over beleid voor Windows-uitbreidingsregels

Gebruik profielen voor het beleid voor windows-uitbreidingsregels om de identificatie van specifieke bestanden te beheren en hoe aanvragen voor uitbreiding van die bestanden worden verwerkt. Elk beleid voor windows-uitbreidingsregel bevat een of meer regels voor uitbreiding van bevoegdheden. Met regels voor verhoging van bevoegdheden configureert u details over het bestand dat wordt beheerd en de vereisten voor het verhogen ervan.

De volgende typen bestanden worden ondersteund:

  • Uitvoerbare bestanden met de .exe extensie of .msi .
  • PowerShell-scripts met de .ps1 extensie.

Elke verhogingsregel geeft EPM instructies voor het volgende:

  • Identificeer het bestand met behulp van:

    • Bestandsnaam (inclusief extensie). De regel ondersteunt ook optionele voorwaarden, zoals een minimale buildversie, productnaam of interne naam. Optionele voorwaarden worden gebruikt om het bestand verder te valideren wanneer wordt geprobeerd om uitbreiding uit te voeren.
    • Certificaat. Certificaten kunnen rechtstreeks worden toegevoegd aan een regel of met behulp van een herbruikbare instellingengroep. Wanneer een certificaat wordt gebruikt in een regel, moet het ook geldig zijn. We raden u aan herbruikbare instellingengroepen te gebruiken, omdat deze efficiënter kunnen zijn en een toekomstige wijziging van het certificaat kunnen vereenvoudigen. Zie de volgende sectie Herbruikbare instellingengroepen voor meer informatie.
  • Valideer het bestand:

    • Bestands-hash. Een bestands-hash is vereist voor automatische regels. Voor door de gebruiker bevestigde regels kunt u ervoor kiezen om een certificaat of een bestands-hash te gebruiken, in welk geval de bestands-hash optioneel wordt.
    • Certificaat. Als er een certificaat is opgegeven, worden Windows-API's gebruikt om het certificaat en de intrekkingsstatus te valideren.
    • Aanvullende eigenschappen. Alle aanvullende eigenschappen die in de regels zijn opgegeven, moeten overeenkomen.
  • Configureer het type uitbreiding van bestanden. Type uitbreiding geeft aan wat er gebeurt wanneer er een aanvraag voor uitbreiding van het bestand wordt gedaan. Deze optie is standaard ingesteld op Gebruiker bevestigd. Dit is onze aanbeveling voor verhogingen.

    • Gebruiker bevestigd (aanbevolen): een door de gebruiker bevestigde uitbreiding vereist altijd dat de gebruiker op een bevestigingsprompt klikt om het bestand uit te voeren. Er zijn meer gebruikersbevestigingen die u kunt toevoegen. Eén vereist dat gebruikers zich verifiëren met behulp van hun organisatiereferenties. Voor een andere optie moet de gebruiker een zakelijke reden invoeren. Hoewel de ingevoerde tekst voor een reden aan de gebruiker is, kan EPM deze verzamelen en rapporteren wanneer het apparaat is geconfigureerd om gegevens over bevoegdheden te rapporteren als onderdeel van het windows-instellingenbeleid voor uitbreidingsinstellingen.
    • Automatisch: een automatische verhoging vindt onzichtbaar plaats voor de gebruiker. Er is geen prompt en geen indicatie dat het bestand wordt uitgevoerd in een verhoogde context.
    • Ondersteuning goedgekeurd: een beheerder moet een aanvraag voor vereiste uitbreiding van de ondersteuning goedkeuren die geen overeenkomende regel heeft, voordat de toepassing kan worden uitgevoerd met verhoogde bevoegdheden.
  • Het gedrag van onderliggende processen beheren. U kunt het verhogingsgedrag instellen dat van toepassing is op alle onderliggende processen die door het verhoogde proces worden gemaakt.

    • Regel vereisen om te verhogen: configureer een onderliggende processen om een eigen regel te vereisen voordat dat onderliggende proces kan worden uitgevoerd in een verhoogde context.
    • Alles weigeren : alle onderliggende processen worden gestart zonder verhoogde context.
    • Toestaan dat onderliggende processen met verhoogde bevoegdheid worden uitgevoerd : configureer een onderliggend proces om altijd met verhoogde bevoegdheid uit te voeren.

Opmerking

Zie onze richtlijnen voor het maken van uitbreidingsregels met Endpoint Privilege Management voor meer informatie over het maken van sterke regels.

U kunt ook de Get-FileAttributes PowerShell-cmdlet van de EpmTools PowerShell-module gebruiken. Met deze cmdlet kunnen bestandskenmerken voor een .exe-bestand worden opgehaald en de publisher- en CA-certificaten worden geëxtraheerd op een ingestelde locatie die u kunt gebruiken om eigenschappen van uitbreidingsregel voor een bepaalde toepassing in te vullen.

Voorzichtigheid

We raden u aan om automatische uitbreiding spaarzaam te gebruiken en alleen voor vertrouwde bestanden die bedrijfskritiek zijn. Eindgebruikers verhogen deze toepassingen automatisch bij elke start van die toepassing.

Groep Herbruikbare instellingen

Endpoint Privilege Management ondersteunt het gebruik van herbruikbare instellingengroepen om de certificaten te beheren in plaats van dat certificaat rechtstreeks toe te voegen aan een regel voor verhoging van bevoegdheden. Net als alle herbruikbare instellingengroepen voor Intune, worden configuraties en wijzigingen in een herbruikbare instellingengroep automatisch doorgegeven aan het beleid dat naar de groep verwijst. U wordt aangeraden een herbruikbare instellingengroep te gebruiken wanneer u hetzelfde certificaat wilt gebruiken om bestanden in meerdere regels voor uitbreiding te valideren. Het gebruik van herbruikbare instellingengroepen is efficiënter wanneer u hetzelfde certificaat in meerdere regels voor uitbreidingsverhoging gebruikt:

  • Certificaten die u rechtstreeks aan een regel voor uitbreidingsverhoging toevoegt: elk certificaat dat rechtstreeks aan een regel wordt toegevoegd, wordt door Intune geüpload als een uniek exemplaar en dat certificaatexemplaar wordt vervolgens aan die regel gekoppeld. Als u hetzelfde certificaat rechtstreeks aan twee afzonderlijke regels toevoegt, wordt het twee keer geüpload. Als u het certificaat later moet wijzigen, moet u elke afzonderlijke regel met het certificaat bewerken. Bij elke regelwijziging uploadt Intune het bijgewerkte certificaat één keer voor elke regel.
  • Certificaten die u beheert via een herbruikbare instellingengroep: telkens wanneer een certificaat wordt toegevoegd aan een herbruikbare instellingengroep, uploadt Intune het certificaat één keer, ongeacht hoeveel regels voor verhoging van bevoegdheden die groep bevatten. Dat exemplaar van het certificaat wordt vervolgens gekoppeld aan het bestand van elke regel die gebruikmaakt van die groep. Later kan elke wijziging in het certificaat dat u aanbrengt, één keer worden aangebracht in de groep herbruikbare instellingen. Deze wijziging heeft tot gevolg dat Intune het bijgewerkte bestand één keer uploadt en deze wijziging vervolgens toepast op elke regel voor verhogingen die naar de groep verwijst.

Beleid voor windows-uitbreidingsinstellingen

Als u de volgende opties op apparaten wilt configureren, implementeert u het beleid voor windows-uitbreidingsinstellingen voor gebruikers of apparaten:

  • Schakel Endpoint Privilege Management in op een apparaat.
  • Stel standaardregels in voor aanvragen voor uitbreiding van bevoegdheden voor elk bestand dat niet wordt beheerd door een regel voor uitbreiding van Endpoint Privilege Management op dat apparaat.
  • Configureer welke informatie EPM aan Intune rapporteert.

Een apparaat moet een beleid voor uitbreidingsinstellingen hebben dat ondersteuning voor EPM mogelijk maakt voordat het apparaat een beleid voor uitbreidingsregels kan verwerken of aanvragen voor uitbreidingsverhoging kan beheren. Wanneer ondersteuning is ingeschakeld, wordt de C:\Program Files\Microsoft EPM Agent map toegevoegd aan het apparaat samen met de EPM Microsoft Agent, die verantwoordelijk is voor het verwerken van het EPM-beleid.

Een windows-beleid voor uitbreidingsinstellingen maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>Endpoint Privilege Management> selecteer het tabblad >Beleid en selecteer vervolgens Beleid maken. Stel het beleid Platform in op Windows, Profiel op Windows-uitbreidingsinstellingen en selecteer vervolgens Maken.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  3. Configureer in Configuratie-instellingen het volgende om standaardgedrag voor uitbreidingsaanvragen op een apparaat te definiëren:

    Afbeelding van de configuratiepagina voor evaluatie-instellingen.

    • Endpoint Privilege Management: stel in op Ingeschakeld (standaard). Als deze optie is ingeschakeld, maakt een apparaat gebruik van Endpoint Privilege Management. Wanneer deze optie is ingesteld op Uitgeschakeld, maakt het apparaat geen gebruik van Endpoint Privilege Management en wordt EPM onmiddellijk uitgeschakeld als dit eerder is ingeschakeld. Na zeven dagen wordt de inrichting van de onderdelen voor Endpoint Privilege Management ongedaan gemaakt.

    • Standaardantwoord op verhoging van bevoegdheden: configureer hoe dit apparaat aanvragen voor uitbreidingsverhoging beheert voor bestanden die niet rechtstreeks worden beheerd door een regel:

      • Niet geconfigureerd: deze optie werkt op dezelfde manier als Alle aanvragen weigeren.
      • Alle aanvragen weigeren: EPM vergemakkelijkt de uitbreiding van bestanden niet en de gebruiker krijgt een pop-upvenster te zien met informatie over de weigering. Deze configuratie voorkomt niet dat gebruikers met beheerdersmachtigingen Uitvoeren als administrator gebruiken om onbeheerde bestanden uit te voeren.
      • Goedkeuring van ondersteuning vereisen: dit gedrag geeft EPM de opdracht om de gebruiker te vragen een goedgekeurde ondersteuningsaanvraag in te dienen.
      • Bevestiging van de gebruiker vereisen: de gebruiker ontvangt een eenvoudige prompt om te bevestigen dat hij of zij het bestand wil uitvoeren. U kunt ook meer prompts vereisen die beschikbaar zijn in de vervolgkeuzelijst Validatie :
        • Zakelijke reden: de gebruiker moet een reden invoeren voor het uitvoeren van het bestand. Er is geen vereiste indeling voor deze reden. Gebruikersinvoer wordt opgeslagen en kan worden gecontroleerd via logboeken als het rapportagebereik een verzameling eindpuntverhogingen bevat.
        • Windows-verificatie: voor deze optie moet de gebruiker zich verifiëren met behulp van de referenties van de organisatie.
    • Hoogtegegevens verzenden voor rapportage: dit gedrag is standaard ingesteld op Ja. Wanneer deze optie is ingesteld op Ja, kunt u vervolgens een rapportagebereik configureren. Wanneer deze optie is ingesteld op Nee, rapporteert een apparaat geen diagnostische gegevens of informatie over bestandsverhogingen aan Intune.

    • Rapportagebereik: kies welk type informatie een apparaat aan Intune rapporteert:

      • Diagnostische gegevens en alle eindpuntverhogingen (standaard): het apparaat rapporteert diagnostische gegevens en details over alle bestandsverhogingen die EPM mogelijk maakt.

        Dit informatieniveau kan u helpen bij het identificeren van andere bestanden die nog niet worden beheerd door een regel voor verhoging van bevoegdheden die gebruikers proberen uit te voeren in een verhoogde context.

      • Alleen diagnostische gegevens en beheerde uitbreidingen: het apparaat rapporteert diagnostische gegevens en details over bestandsverhogingen voor alleen bestanden die worden beheerd door een beleid voor uitbreidingsverhoging. Bestandsaanvragen voor niet-beheerde bestanden en bestanden die zijn verhoogd via de standaardactie van Windows van Uitvoeren als beheerder, worden niet gerapporteerd als beheerde uitbreidingen.

      • Alleen diagnostische gegevens: alleen diagnostische gegevens voor de werking van Endpoint Privilege Management worden verzameld. Informatie over uitbreidingen van bestanden wordt niet gerapporteerd aan Intune.

    Wanneer u klaar bent, selecteert u Volgende om door te gaan.

  4. Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.

  5. Selecteer bij Toewijzingen de groepen die het beleid ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

  6. Controleer uw instellingen voor Beoordelen en maken en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.

Beleid voor windows-uitbreidingsregels

Implementeer een beleid voor Windows-uitbreidingsregels voor gebruikers of apparaten om een of meer regels te implementeren voor bestanden die worden beheerd voor uitbreiding van bevoegdheden door Endpoint Privilege Management. Elke regel die u aan dit beleid toevoegt:

  • Identificeert een bestand waarvoor u uitbreidingsaanvragen wilt beheren.
  • Kan een certificaat bevatten om de integriteit van dat bestand te valideren voordat het wordt uitgevoerd. U kunt ook een herbruikbare groep toevoegen die een certificaat bevat dat u vervolgens gebruikt met een of meer regels of beleidsregels.
  • Hiermee geeft u op of het uitbreidingstype van het bestand automatisch (op de achtergrond) of bevestiging van de gebruiker vereist. Met bevestiging van de gebruiker kunt u extra gebruikersacties toevoegen die moeten worden voltooid voordat het bestand wordt uitgevoerd. Naast dit beleid moet aan een apparaat ook een windows-beleid voor uitbreidingsinstellingen worden toegewezen waarmee Endpoint Privilege Management wordt ingeschakeld.

Gebruik een van de volgende methoden om nieuwe regels voor uitbreidingsverhoging te maken, die worden toegevoegd aan het beleid voor uitbreidingsregels:

  • Regels voor verhoging automatisch configureren : gebruik deze methode om tijd te besparen bij het maken van een uitbreidingsregel door de gegevens voor bestandsdetectie die intune al heeft verzameld, automatisch in te vullen. De bestandsgegevens worden door Intune geïdentificeerd in het rapport Uitbreiding of uit een record met goedgekeurde uitbreidingsaanvragen.

    Met deze methode kunt u het volgende doen:

    • Selecteer het bestand waarvoor u een uitbreidingsregel wilt maken in het rapport Verhoging of ondersteuning voor goedgekeurde uitbreidingsaanvraag.
    • Kies ervoor om de nieuwe regel voor uitbreiding toe te voegen aan een bestaand beleid voor uitbreidingsregels of een nieuw beleid voor uitbreidingsregels te maken dat de nieuwe regel bevat.
      • Wanneer de nieuwe regel wordt toegevoegd aan een bestaand beleid, is deze onmiddellijk beschikbaar voor de groepen die aan het beleid zijn toegewezen.
      • Wanneer een nieuw beleid wordt gemaakt, moet u dat beleid bewerken om groepen toe te wijzen voordat het beschikbaar wordt voor gebruik.
  • Handmatig regels configureren: voor deze methode moet u de bestandsdetails hebben geïdentificeerd die u wilt gebruiken voor detectie en deze handmatig invoeren als onderdeel van de werkstroom voor het maken van regels. Zie Regels definiëren voor gebruik met Endpoint Privilege Management voor informatie over detectiecriteria.

    Met deze methode kunt u het volgende doen:

    • Bepaal handmatig de bestandsdetails die u wilt gebruiken en voeg deze vervolgens toe aan de regel voor uitbreiding voor bestandsidentificatie.
    • Configureer alle aspecten van het beleid tijdens het maken van het beleid, inclusief het toewijzen van het beleid aan groepen voor gebruik.

Automatisch uitbreidingsregels configureren voor beleid voor Windows-uitbreidingsregels

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Endpoint Security>Endpoint Privilege Management. Als u een bestand wilt selecteren dat u wilt gebruiken voor een regel voor verhoging van bevoegdheden, kiest u een van de volgende beginpaden:

    Beginnen met een rapport:

    1. Selecteer het tabblad Rapporten en vervolgens de tegel Uitbreidingsrapport . Zoek het bestand waarvoor u een regel wilt maken in de kolom Bestand .
    2. Selecteer de gekoppelde naam van het bestand om het detailvenster Voor de uitbreiding van het bestand te openen.

    Beginnen met een door ondersteuning goedgekeurde uitbreidingsaanvraag:

    1. Selecteer het tabblad Uitbreidingsaanvraag .

    2. Selecteer in de kolom Bestand het bestand dat u wilt gebruiken voor de regel voor verhoging van bevoegdheden. Hiermee opent u het detailvenster Uitbreiding van het bestand.

      De status van de uitbreidingsaanvraag doet er niet toe. U kunt een aanvraag in behandeling gebruiken of een aanvraag die eerder is goedgekeurd of geweigerd.

  2. Controleer in het deelvenster Hoogtedetails de bestandsdetails. Deze informatie wordt door de regel voor verhogingen gebruikt om het juiste bestand te identificeren. Wanneer u klaar bent, selecteert u Een regel maken met deze bestandsdetails.

    Afbeelding van de gebruikersinterface van het beheercentrum van een bestand dat is geselecteerd in het rapport Uitbreiding.

  3. Selecteer een beleidsoptie voor de nieuwe regel voor verhoging van bevoegdheden die u maakt:

    Een nieuw beleid maken:
    Met deze optie maakt u een nieuw beleid dat een regel voor uitbreiding van bevoegdheden bevat voor het bestand dat u hebt geselecteerd.

    1. Configureer voor de regel het gedrag van het type en onderliggende proces en selecteer vervolgens OK om het beleid te maken.
    2. Wanneer u hierom wordt gevraagd, geeft u een beleidsnaam op voor het nieuwe beleid en bevestigt u het maken van een nieuw en niet-toegewezen beleid voor uitbreidingsregels.
    3. Nadat het beleid is gemaakt, kunt u het beleid bewerken om het toe te wijzen en zo nodig aanvullende configuraties toevoegen.

    Toevoegen aan een bestaand beleid:
    Met deze optie gebruikt u de vervolgkeuzelijst en selecteert u een bestaand uitbreidingsbeleid waaraan de nieuwe uitbreidingsregel wordt toegevoegd.

    1. Configureer voor de regel het type uitbreidingstype en het gedrag van het onderliggende proces en selecteer vervolgens OK. Het beleid wordt bijgewerkt met de nieuwe regel.
    2. Nadat de regel is toegevoegd aan het beleid, kunt u het beleid bewerken om toegang te krijgen tot de regel en deze vervolgens wijzigen om zo nodig aanvullende configuraties te maken.

    Afbeelding uit de gebruikersinterface van het beheercentrum van het deelvenster Een regel maken.

Regels voor uitbreidingsverhoging handmatig configureren voor beleid voor Windows-uitbreidingsregels

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>Endpoint Privilege Management> selecteer het tabblad >Beleid en selecteer vervolgens Beleid maken. Stel het beleid Platform in op Windows, Profiel op Windows-uitbreidingsregels en selecteer vervolgens Maken.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  3. Voeg in Configuratie-instellingen een regel toe voor elk bestand dat door dit beleid wordt beheerd. Wanneer u een nieuw beleid maakt, bevat het beleid een lege regel met een uitbreidingstype Gebruiker bevestigd en geen regelnaam. Begin met het configureren van deze regel en later kunt u Toevoegen selecteren om meer regels aan dit beleid toe te voegen. Elke nieuwe regel die u toevoegt, heeft een uitbreidingstype Gebruiker bevestigd, dat kan worden gewijzigd wanneer u de regel configureert.

    Afbeelding van de gebruikersinterface van het beheercentrum van een nieuw beleid voor uitbreidingsregels.

    Als u een regel wilt configureren, selecteert u Exemplaar bewerken om de pagina Regeleigenschappen te openen en configureert u vervolgens het volgende:

    Afbeelding van de eigenschappen van de uitbreidingsregels.

    • Regelnaam: geef een beschrijvende naam op voor de regel. Geef uw regels een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving (optioneel): voer een beschrijving in voor het profiel.

    Uitbreidingsvoorwaarden zijn voorwaarden die bepalen hoe een bestand wordt uitgevoerd en gebruikersvalidaties waaraan moet worden voldaan voordat het bestand waarop deze regel van toepassing is, kan worden uitgevoerd.

    • Uitbreidingstype: deze optie is standaard ingesteld op Gebruiker bevestigd. Dit is het type uitbreiding dat voor de meeste bestanden wordt aanbevolen.

      • Gebruiker bevestigd: deze optie wordt aanbevolen voor de meeste regels. Wanneer een bestand wordt uitgevoerd, ontvangt de gebruiker een eenvoudige prompt om te bevestigen dat hij of zij het bestand wil uitvoeren. De regel kan ook andere prompts bevatten die beschikbaar zijn in de vervolgkeuzelijst Validatie :

        • Zakelijke reden: de gebruiker moet een reden invoeren voor het uitvoeren van het bestand. Er is geen vereiste indeling voor de vermelding. De gebruikersinvoer wordt opgeslagen en kan worden gecontroleerd via logboeken als het rapportagebereik een verzameling eindpuntverhogingen bevat.
        • Windows-verificatie: voor deze optie moet de gebruiker zich verifiëren met behulp van de referenties van de organisatie.
      • Automatisch: met dit type uitbreiding wordt het betreffende bestand automatisch uitgevoerd met verhoogde machtigingen. Automatische uitbreiding is transparant voor de gebruiker, zonder om bevestiging te vragen of een reden of verificatie door de gebruiker te vereisen.

        Voorzichtigheid

        Gebruik alleen automatische uitbreiding voor bestanden die u vertrouwt. Deze bestanden worden automatisch verheft zonder tussenkomst van de gebruiker. Regels die niet goed zijn gedefinieerd, kunnen niet-goedgekeurde toepassingen verhogen. Zie de richtlijnen voor het maken van regels voor meer informatie over het maken van sterke regels.

      • Ondersteuning goedgekeurd: voor dit type uitbreiding moet een beheerder een aanvraag goedkeuren voordat de uitbreiding kan worden voltooid. Zie Goedgekeurde uitbreidingsaanvragen ondersteunen voor meer informatie.

        Belangrijk

        Voor het gebruik van ondersteuning voor goedgekeurde uitbreiding van bestanden moeten beheerders met aanvullende machtigingen elke aanvraag voor bestandstoestemming controleren en goedkeuren vóór dat bestand op het apparaat met beheerdersmachtigingen. Zie Ondersteuning voor goedgekeurde bestandsverhogingen voor Endpoint Privilege Management voor meer informatie over het gebruik van het goedgekeurde uitbreidingstype voor ondersteuning.

    • Gedrag van onderliggend proces: deze optie is standaard ingesteld op Regel vereisen om te verhogen. Hiervoor moet het onderliggende proces overeenkomen met dezelfde regel als het proces waarmee het proces wordt gemaakt. Andere opties zijn:

      • Toestaan dat alle onderliggende processen met verhoogde bevoegdheid worden uitgevoerd: deze optie moet voorzichtig worden gebruikt, omdat toepassingen onvoorwaardelijk onderliggende processen kunnen maken.
      • Alles weigeren: deze configuratie voorkomt dat een onderliggend proces wordt gemaakt.

    In bestandsinformatie geeft u de details op waarmee een bestand wordt geïdentificeerd waarop deze regel van toepassing is.

    • Bestandsnaam: geef de bestandsnaam en de extensie op. Bijvoorbeeld:myapplication.exe

    • Bestandspad (optioneel): geef de locatie van het bestand op. Als het bestand vanaf een willekeurige locatie kan worden uitgevoerd of onbekend is, kunt u dit leeg laten. U kunt ook een variabele gebruiken.

    • Handtekeningbron: kies een van de volgende opties:

      • Een certificaatbestand gebruiken in herbruikbare instellingen (standaard): met deze optie wordt een certificaatbestand gebruikt dat is toegevoegd aan een herbruikbare instellingengroep voor Endpoint Privilege Management. U moet een herbruikbare instellingengroep maken voordat u deze optie kunt gebruiken.

        Als u het certificaat wilt identificeren, selecteert u Een certificaat toevoegen of verwijderen en selecteert u vervolgens de herbruikbare groep die het juiste certificaat bevat. Geef vervolgens het certificaattypepublisher of certificeringsinstantie op.

      • Een certificaatbestand uploaden: voeg een certificaatbestand rechtstreeks toe aan de regel voor verhoging van bevoegdheden. Geef bij Bestand uploaden een .cer bestand op waarmee de integriteit kan worden gevalideerd van het bestand waarop deze regel van toepassing is. Geef vervolgens het certificaattypepublisher of certificeringsinstantie op.

      • Niet geconfigureerd: gebruik deze optie als u geen certificaat wilt gebruiken om de integriteit van het bestand te valideren. Wanneer er geen certificaat wordt gebruikt, moet u een bestands-hash opgeven.

    • Bestands-hash: de bestands-hash is vereist wanneer handtekeningbron is ingesteld op Niet geconfigureerd en optioneel wanneer deze is ingesteld op het gebruik van een certificaat.

    • Minimale versie: (optioneel) Gebruik de x.x.x.x-indeling om een minimale versie van het bestand op te geven die wordt ondersteund door deze regel.

    • Bestandsbeschrijving: (optioneel) Geef een beschrijving van het bestand op.

    • Productnaam: (optioneel) Geef de naam op van het product waarvan het bestand afkomstig is.

    • Interne naam: (optioneel) Geef de interne naam van het bestand op.

    Selecteer Opslaan om de regelconfiguratie op te slaan. Vervolgens kunt u meer regels toevoegen . Nadat u alle regels voor dit beleid hebt toegevoegd, selecteert u Volgende om door te gaan.

  4. Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.

  5. Selecteer bij Toewijzingen de groepen die het beleid ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

  6. Controleer in Beoordelen en maken uw instellingen en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.

Herbruikbare instellingengroepen

Endpoint Privilege Management maakt gebruik van herbruikbare instellingengroepen om de certificaten te beheren waarmee de bestanden die u beheert worden gevalideerd met regels voor uitbreiding van Endpoint Privilege Management. Net als alle herbruikbare instellingengroepen voor Intune, worden wijzigingen in een herbruikbare groep automatisch doorgegeven aan het beleid dat naar de groep verwijst. Als u het certificaat dat u gebruikt voor bestandsvalidatie moet bijwerken, hoeft u het slechts één keer bij te werken in de groep herbruikbare instellingen. Intune past het bijgewerkte certificaat toe op al uw regels voor uitbreidingsverhoging die gebruikmaken van die groep.

De groep herbruikbare instellingen voor Endpoint Privilege Management maken:

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Endpoint security>Endpoint Privilege Management> en selecteer het tabblad >Herbruikbare instellingen (preview) en selecteer vervolgens Toevoegen.

    Schermopname van de gebruikersinterface om een groep herbruikbare instellingen toe te voegen.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor de herbruikbare groep. Naamgroepen zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  3. Selecteer in Configuratie-instellingen het mappictogram voor certificaatbestand en blader naar een . CER-bestand om het toe te voegen aan deze herbruikbare groep. Het veld Basis 64-waarde wordt ingevuld op basis van het geselecteerde certificaat.

    Schermopname van de gebruikersinterface om naar een certificaat te bladeren.

  4. Controleer uw instellingen in Beoordelen en maken en selecteer vervolgens Toevoegen. Wanneer u Toevoegen selecteert, wordt uw configuratie opgeslagen en wordt de groep weergegeven in de lijst met herbruikbare instellingen voor Endpoint Privilege Management.

Afhandeling van beleidsconflicten voor Endpoint Privilege Management

Met uitzondering van de volgende situatie worden conflicterende beleidsregels voor EPM verwerkt als elk ander beleidsconflict.

Beleid voor windows-uitbreidingsinstellingen:

Wanneer een apparaat twee afzonderlijke beleidsregels voor verhogingsinstellingen met conflicterende waarden ontvangt, wordt de EPM-client teruggezet naar het standaardclientgedrag totdat het conflict is opgelost.

Opmerking

Als Endpoint Privilege Management inschakelen conflicteert, is het standaardgedrag van de client EPM inschakelen . Dit betekent dat de clientonderdelen blijven functioneren totdat er een expliciete waarde aan het apparaat wordt geleverd.

Beleid voor windows-uitbreidingsregels:

Als een apparaat twee regels ontvangt die gericht zijn op dezelfde toepassing, worden beide regels op het apparaat gebruikt. Wanneer EPM regels gaat oplossen die van toepassing zijn op een verhoging, wordt de volgende logica gebruikt:

  • Regels die voor een gebruiker zijn geïmplementeerd, hebben voorrang op regels die op een apparaat zijn geïmplementeerd.
  • Regels waarvoor een hash is gedefinieerd, worden altijd beschouwd als de meest specifieke regel.
  • Als meer dan één regel van toepassing is (zonder hash gedefinieerd), wint de regel met de meest gedefinieerde kenmerken (meest specifiek).
  • Als het toepassen van de doorgangslogica resulteert in meer dan één regel, bepaalt de volgende volgorde het gedrag van verhogingen: Gebruiker bevestigd, Ondersteuning goedgekeurd en vervolgens Automatisch.

Opmerking

Als er geen regel bestaat voor een verhoging en die uitbreiding is aangevraagd via het snelmenu Uitvoeren met verhoogde toegang met de rechtermuisknop, wordt het standaardgedrag voor verhogingen gebruikt.

Volgende stappen