Przenoszenie użytkowników z administratora do użytkownika standardowego przy użyciu Zarządzanie Uprawnieniami Punktów Końcowych

Uwaga

Ta funkcja jest dostępna jako dodatek Intune. Aby uzyskać więcej informacji, zobacz Korzystanie z funkcji dodatku Intune Suite.

Dzięki Microsoft Intune Zarządzanie Uprawnieniami Punktów Końcowych (EPM) użytkownicy organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Aby uzyskać więcej informacji, zobacz Przegląd EPM.

Dotyczy:

  • System Windows

Typowym scenariuszem dla klientów, którzy chcą korzystać z Zarządzanie Uprawnieniami Punktów Końcowych, jest zmniejszenie liczby administratorów lokalnych w ich środowisku. Ten scenariusz jest zgodny z zasadą Zero Trust najmniejszych uprawnień. Ten dokument zawiera kroki, które klient może wykonać, aby przenieść użytkowników z administratorów do standardowych użytkowników przy minimalnych zakłóceniach przy użyciu programu EPM.

Faza 1. Inspekcja

Niezależnie od tego, czy migrujesz z innego produktu do zarządzania uprawnieniami punktu końcowego, czy zaczynasz od nowa, zalecamy włączenie inspekcji jako pierwszego kroku. Włączenie inspekcji umożliwia klientowi epm i urządzeniom wysyłanie danych diagnostycznych do Intune, gdzie można je wyświetlać w różnych raportach. Zebranie tych danych podniesienia uprawnień zapewnia wgląd w procesy, które użytkownicy chcą podnieść, i pomaga zidentyfikować typowe wzorce. W idealnym przypadku są one dostosowane do twoich osób, takich jak deweloperzy, technicy pomocy technicznej IT itp. Wdrożenie tych zasad na potrzeby inspekcji jest bezproblemowe i może być przeznaczone dla wybranej grupy użytkowników lub urządzeń, zgodnie z każdym regularnym przypisywaniem zasad Intune.

Uwaga

Po włączeniu danych użycia może zostać zwróconych 24 godziny, a aktualizowanie raportów portalu Intune. W zależności od wzorców użycia możesz chcieć wyświetlać dane raportowania w okresie wielu tygodni, aby lepiej zrozumieć środowisko.

Kroki tworzenia zasad:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Zabezpieczenia> punktu końcowego Zarządzanie Uprawnieniami Punktów Końcowych>Zasady
  3. Wybierz pozycję Utwórz zasady. Wprowadź następujące szczegóły:
    • Platformy: Windows
    • Profil: Zasady ustawień podniesienia uprawnień
  4. Wybierz pozycję Utwórz
  5. Podaj nazwę zasad, na przykład: zasady ustawień EPM — tylko inspekcja
  6. Wybierz pozycję Dalej.
  7. Rozwiń sekcję "Ustawienia klienta podniesienia uprawnień zarządzania uprawnieniami" i upewnij się, że ustawiono następujące wartości:
    • Zarządzanie Uprawnieniami Punktów Końcowych: włączone
    • Domyślna odpowiedź na podniesienie uprawnień: Nie skonfigurowano
    • Wysyłanie danych podniesienia uprawnień do raportowania: Tak
    • Zakres raportowania: Dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych
  8. Wybierz pozycję Dalej.
  9. Pozostaw tagi Zakres i wybierz pozycję Dalej
  10. Dodaj grupę urządzeń lub użytkowników, do których chcesz kierować zasady
  11. Wybierz pozycję Dalej.
  12. Wybierz pozycję Utwórz , aby utworzyć zasady

Aby potwierdzić, że reguła działa zgodnie z oczekiwaniami:

  • Zaloguj się do urządzenia z systemem Windows przy użyciu standardowych poświadczeń użytkownika.
  • Uruchomić>Uruchomić>Services.msc> Ok
  • Sprawdź, czy jest dostępna usługa "Microsoft EPM Agent Service" (Uruchomiona) i ustaw wartość Typ automatycznego uruchamiania.
  • Zamknij przystawkę Usługi.
  • Uruchomić>Uruchomić>C:\Program Files\> Ok
  • Sprawdź, czy istnieje folder o nazwie: Microsoft EPM Agent

Po upływie co najmniej 24 godzin:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Zabezpieczenia> punktu końcowego Zarządzanie Uprawnieniami Punktów Końcowych>Raporty
  3. Wybieranie raportu dotyczącego podniesienia uprawnień
  4. Przejrzyj szczegóły raportu dotyczącego podniesienia uprawnień

Zidentyfikuj grupy użytkowników (najlepiej dopasować je do zidentyfikowanych wcześniej osób), którzy mają podobne wymagania dotyczące podniesienia uprawnień. Identyfikowanie wzorców użycia i grup użytkowników pomaga w kolejnych krokach.

Porada

Ten raport zawiera niektóre domyślne procesy systemu Windows w kolumnie Plik (na przykład C:\Windows\System32\Dism\dismhost and c:\Windows\System32\conhost.exe), które można zignorować.

Faza 2. Identyfikacja osoby

Korzystanie z personas użytkownika w projekcie zasad Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune (EPM) jest strategicznym sposobem dostosowania ustawień podniesienia uprawnień i reguł z rzeczywistymi potrzebami użytkowników.

Co to są osoby użytkownika w programie EPM?

Osoby użytkownika to oparte na danych reprezentacje różnych typów użytkowników w organizacji. Każda osoba odzwierciedla grupę użytkowników o podobnych rolach, obowiązkach i potrzebach aplikacji.

Przykładowe mapowanie persona:

Typ persona Przykładowe role Strategia podniesienia uprawnień Domyślne podniesienie uprawnień
Power Users Technicy pomocy technicznej IT, użytkownicy it power Automatyczne podniesienie uprawnień dla zdefiniowanych reguł Odmów wszystkich żądań
Deweloperzy Inżynierii Automatyczne podniesienie uprawnień dla zdefiniowanych aplikacji niskiego ryzyka; Użytkownik uzasadniony aplikacjami o wyższym ryzyku Zatwierdzono pomoc techniczną
Użytkownicy standardowi Finanse, KADR Automatyczne podniesienie uprawnień dla zdefiniowanych reguł Odrzuć wszystkie żądania lub zatwierdzono pomoc techniczną

W jaki sposób osoby mogą pomóc w projektowaniu ustawień i reguł podniesienia uprawnień?

Mapowanie potrzeb użytkownika pozwala zdefiniować strategię podniesienia uprawnień dla każdej kohorty użytkownika.

Faza 3. Tworzenie reguł

Reguły EPM składają się z dwóch podstawowych elementów: wykrywania i akcji podniesienia uprawnień.

Wykrywanie jest definiowane jako zestaw atrybutów używanych do identyfikowania aplikacji lub danych binarnych. Te atrybuty obejmują nazwę pliku, wersję pliku i właściwości podpisu. Akcje podniesienia uprawnień to wynikowe podniesienie uprawnień, które występuje po wykryciu aplikacji lub pliku binarnego.

Najważniejsze wskazówki

  • Użyj silnych atrybutów lub wielu atrybutów, aby zwiększyć siłę wykrywania.
  • Skrót pliku lub certyfikat jest obowiązkowy.

Aby uzyskać więcej zaleceń dotyczących zabezpieczeń, zobacz Zalecenia dotyczące zabezpieczeń.

Kroki tworzenia reguły przy użyciu danych raportu o podniesieniu uprawnień

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Zabezpieczenia> punktu końcowego Zarządzanie Uprawnieniami Punktów Końcowych>Zasady
  3. Wybieranie raportu dotyczącego podniesienia uprawnień
  4. Wybierz aplikację lub proces (na przykład C:\Program Files\Notepad++\).
  5. Wybierz pozycję Utwórz regułę z następującymi szczegółami:
    • Tworzenie nowych zasad
    • Typu: Potwierdzone przez użytkownika
    • Zachowanie procesu podrzędnego: Wymagaj podniesienia poziomu reguły
    • Wymagaj tej samej ścieżki pliku co to podniesienie uprawnień: zaznaczone
  6. Wybierz przycisk OK
  7. Podaj nazwę zasad (na przykład EPM rule – Notepad++ User Confirmed)
  8. Wybierz pozycję Tak
  9. Przejdź do listy zasad EPM i wybierz zasady
  10. W obszarze Przypisania wybierz pozycję Edytuj
  11. Wybierz pozycję Dodaj grupy
  12. Przypisywanie do grupy (na przykład deweloperzy)
  13. Wybieranie, przeglądanie i zapisywanie

Aby uzyskać więcej informacji na temat tworzenia reguły, zobacz Tworzenie reguł podniesienia uprawnień.

Potwierdzanie, że reguła działa

  • Zaloguj się do urządzenia z systemem Windows przy użyciu standardowych poświadczeń użytkownika.
  • Kliknij prawym przyciskiem myszy aplikację (na przykład Notepad++) i wybierz pozycję "Uruchom z podwyższonym poziomem uprawnień dostępu"
  • W oknie podręcznym Zarządzanie Uprawnieniami Punktów Końcowych wybierz pozycję Kontynuuj
  • Weryfikowanie uruchomienia aplikacji z podwyższonym poziomem uprawnień

Faza 4. Usuwanie praw administratora lokalnego

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęOchrona konta zabezpieczeń >punktu końcowego

  3. Wybierz pozycję Utwórz zasady:

    • Platformy: Windows
    • Profil: Członkostwo w lokalnej grupie użytkowników

  4. Podaj nazwę zasad (na przykład Remove local admin rights (developers))

  5. Wybierz pozycję Dodaj:

    • Grupa lokalna: Administratorzy
    • Akcja grupy i użytkownika: Dodawanie (zastępowanie)
    • Typ wyboru użytkownika: Ręcznie

  6. Wybieranie użytkowników

  7. Dodaj dwa identyfikatory zabezpieczeń (SID) dla:

    • Administrator globalny
    • administrator lokalny urządzenia przyłączonych do Microsoft Entra

    Użyj pliku Lusrmgr.msc na urządzeniu przyłączonym do Entra, aby znaleźć identyfikatory SID rozpoczynające się od S-1-12-1-

  8. Przypisywanie do grupy (na przykład Developers)

  9. Wybierz pozycję Zapisz

Aby uzyskać więcej informacji na temat profilów Użytkownicy lokalni i grupy, zobacz Ochrona konta

Faza 5. Monitorowanie

  • Regularne przeglądanie raportów dotyczących podniesienia uprawnień
  • Dodawanie niezarządzanych podniesienia uprawnień do reguł lub odmawianie ich
  • Monitorowanie żądań zatwierdzonych przez obsługę pod kątem opóźnień lub wzorców
  • Aktualizowanie reguł po zmianie wersji lub certyfikatów plików
  • Wycofywanie lub zaostrzanie nieaktualnych reguł

Następne kroki

Dalej: Obsługa zatwierdzonych żądań >

  • Last updated on