Używanie usługi Endpoint Privilege Management z Microsoft Intune

2025-06-01

Uwaga

Ta funkcja jest dostępna jako dodatek Intune. Aby uzyskać więcej informacji, zobacz Korzystanie z funkcji dodatku Intune Suite.

Dzięki Microsoft Intune Endpoint Privilege Management (EPM) użytkownicy organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Usługa Endpoint Privilege Management obsługuje twoją Zero Trust podróż, pomagając organizacji osiągnąć szeroką bazę użytkowników działającą z najniższymi uprawnieniami, jednocześnie umożliwiając użytkownikom wykonywanie zadań dozwolonych przez organizację w celu utrzymania produktywności. Aby uzyskać więcej informacji, zobacz Zero Trust z Microsoft Intune.

W poniższych sekcjach tego artykułu omówiono wymagania dotyczące korzystania z programu EPM, przedstawiono funkcjonalne omówienie działania tej funkcji i wprowadzono ważne pojęcia dotyczące epm.

Dotyczy:

Windows 10
Windows 11

Wymagania wstępne

Licencjonowanie

Usługa Endpoint Privilege Management wymaga dodatkowej licencji poza licencją Microsoft Intune (plan 1). Możesz wybrać między autonomiczną licencją, która dodaje tylko epm, lub licencją EPM w ramach Microsoft Intune Suite. Aby uzyskać więcej informacji, zobacz Korzystanie z funkcji dodatku Intune Suite.

Wymagania

Usługa Endpoint Privilege Management ma następujące wymagania:

przyłączone Microsoft Entra lub przyłączone hybrydowo Microsoft Entra
Microsoft Intune rejestrowanie lub Microsoft Configuration Manager współzarządzanych urządzeń (bez wymagań dotyczących obciążenia)
Obsługiwany system operacyjny
Wyczyść linię wzroku (bez kontroli protokołu SSL) do wymaganych punktów końcowych

Uwaga

Windows 365 (CloudPC) jest obsługiwana przy użyciu obsługiwanej wersji systemu operacyjnego
Urządzenia dołączane do miejsca pracy nie są obsługiwane przez usługę Endpoint Privilege Management
Usługa Azure Virtual Desktop nie jest obsługiwana przez usługę Endpoint Privilege Management

Usługa Endpoint Privilege Management obsługuje następujące systemy operacyjne:

Windows 11, wersja 24H2
Windows 11, wersja 23H2 (22631.2506 lub nowsza) z KB5031455
Windows 11, wersja 22H2 (22621.2215 lub nowsza) z KB5029351
Windows 11, wersja 21H2 (22000.2713 lub nowsza) z KB5034121
Windows 10, wersja 22H2 (19045.3393 lub nowsza) z KB5030211
Windows 10, wersja 21H2 (19044.3393 lub nowsza) z KB5030211

Ważna

Zasady ustawień podniesienia uprawnień będą wyświetlane jako nie dotyczy urządzeń, na których nie jest uruchomiona obsługiwana wersja systemu operacyjnego.
Usługa Endpoint Privilege Management jest zgodna tylko z 64-bitowymi architekturami systemu operacyjnego. Obejmuje to urządzenia z systemem Windows w usłudze Arm64.
Usługa Endpoint Privilege Management ma nowe wymagania dotyczące sieci, zobacz Network Endpoints for Intune (Punkty końcowe sieci dla Intune).

Pomoc techniczna dla instytucji rządowych w chmurze

Zarządzanie uprawnieniami punktu końcowego jest obsługiwane w następujących suwerennych środowiskach chmury:

Us Government Community Cloud (GCC) High
Departament Obrony USA (DoD)

Aby uzyskać więcej informacji, zobacz Microsoft Intune opis usługi GCC dla instytucji rządowych USA.

Kontrola dostępu oparta na rolach dla usługi Endpoint Privilege Management

Aby zarządzać usługą Endpoint Privilege Management, twoje konto musi mieć przypisaną Intune rolę kontroli dostępu opartej na rolach (RBAC), która obejmuje następujące uprawnienie z uprawnieniami wystarczającymi do wykonania żądanego zadania:

Tworzenie zasad zarządzania uprawnieniami punktu końcowego — to uprawnienie jest wymagane do pracy z zasadami lub danymi i raportami dla usługi Endpoint Privilege Management i obsługuje następujące prawa:
- Wyświetlanie raportów
- Odczyt
- Tworzenie
- Aktualizacja
- Usuń
- Przypisz
Żądania podniesienia uprawnień usługi Endpoint Privilege Management — to uprawnienie jest wymagane do pracy z żądaniami podniesienia uprawnień przesłanymi przez użytkowników do zatwierdzenia i obsługuje następujące prawa:
- Wyświetlanie żądań podniesienia uprawnień
- Modyfikowanie żądań podniesienia uprawnień

Możesz dodać to uprawnienie z co najmniej jednym uprawnieniem do własnych niestandardowych ról RBAC lub użyć wbudowanej roli RBAC dedykowanej do zarządzania usługą Endpoint Privilege Management:

Endpoint Privilege Manager — ta wbudowana rola jest przeznaczona do zarządzania zarządzaniem uprawnieniami punktu końcowego w konsoli Intune. Ta rola obejmuje wszystkie prawa do tworzenia zasad zarządzania uprawnieniami punktu końcowego i żądań podniesienia uprawnień zarządzania uprawnieniami punktu końcowego.
Czytelnik uprawnień punktu końcowego — ta wbudowana rola służy do wyświetlania zasad zarządzania uprawnieniami punktu końcowego w konsoli Intune, w tym raportów. Ta rola obejmuje następujące prawa:
- Wyświetlanie raportów
- Odczyt
- Wyświetlanie żądań podniesienia uprawnień

Oprócz ról dedykowanych następujące wbudowane role dla Intune obejmują również prawa do tworzenia zasad zarządzania uprawnieniami punktu końcowego:

Endpoint Security Manager — ta rola obejmuje wszystkie prawa do tworzenia zasad zarządzania uprawnieniami punktu końcowego i żądań podniesienia uprawnień zarządzania uprawnieniami punktu końcowego.
Operator tylko do odczytu — ta rola obejmuje następujące prawa:
- Wyświetlanie raportów
- Odczyt
- Wyświetlanie żądań podniesienia uprawnień

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach dla Microsoft Intune.

Wprowadzenie do usługi Endpoint Privilege Management

Usługa Endpoint Privilege Management (EPM) jest wbudowana w Microsoft Intune, co oznacza, że cała konfiguracja jest ukończona w centrum Microsoft Intune Administracja. Gdy organizacje rozpoczną pracę z programem EPM, korzystają z następującego procesu wysokiego poziomu:

Zarządzanie uprawnieniami punktu końcowego licencji — przed użyciem zasad zarządzania uprawnieniami punktu końcowego musisz licencjonować program EPM w dzierżawie jako dodatek Intune. Aby uzyskać informacje o licencjonowaniu, zobacz Korzystanie z funkcji dodatku Intune Suite.
Wdrażanie zasad ustawień podniesienia uprawnień — zasady ustawień podniesienia uprawnień aktywują moduł EPM na urządzeniu klienckim. Te zasady umożliwiają również konfigurowanie ustawień specyficznych dla klienta, ale niekoniecznie związanych z podniesieniem uprawnień poszczególnych aplikacji lub zadań.
Wdrażanie zasad reguł podniesienia uprawnień — zasady reguły podniesienia uprawnień łączą aplikację lub zadanie z akcją podniesienia uprawnień. Te zasady umożliwiają skonfigurowanie zachowania podniesienia uprawnień dla aplikacji, które organizacja zezwala na uruchamianie aplikacji na urządzeniu.

Ważne pojęcia dotyczące zarządzania uprawnieniami punktu końcowego

Podczas konfigurowania ustawień podniesienia uprawnień i zasad podniesienia uprawnień , które zostały wymienione wcześniej, istnieje kilka ważnych pojęć, które pozwalają zrozumieć, czy skonfigurowano program EPM zgodnie z potrzebami organizacji. Przed szeroko wdrożonym programem EPM należy dobrze zrozumieć następujące koncepcje, a także ich wpływ na środowisko:

Uruchom polecenie z podwyższonym poziomem uprawnień dostępu — opcja menu kontekstowego kliknij prawym przyciskiem myszy, która jest wyświetlana po aktywowaniu programu EPM na urządzeniu. Gdy ta opcja jest używana, zasady reguł podniesienia uprawnień urządzeń są sprawdzane pod kątem dopasowania w celu określenia, czy i w jaki sposób ten plik może zostać podniesiony do uruchomienia w kontekście administracyjnym. Jeśli nie ma odpowiedniej reguły podniesienia uprawnień, urządzenie używa domyślnych konfiguracji podniesienia uprawnień zdefiniowanych przez zasady ustawień podniesienia uprawnień.
Typy podniesienia uprawnień i podniesienia uprawnień plików — program EPM umożliwia użytkownikom bez uprawnień administracyjnych uruchamianie procesów w kontekście administracyjnym. Podczas tworzenia reguły podniesienia uprawnień ta reguła zezwala programowi EPM na serwer proxy obiektu docelowego tej reguły na uruchamianie z uprawnieniami administratora na urządzeniu. W rezultacie aplikacja ma pełną możliwość administracyjną na urządzeniu.

W przypadku korzystania z usługi Endpoint Privilege Management istnieje kilka opcji zachowania podniesienia uprawnień:
- Automatyczne: w przypadku reguł automatycznego podniesienia uprawnień program EPM automatycznie podnosi poziom tych aplikacji bez wprowadzania danych przez użytkownika. Szerokie reguły w tej kategorii mogą mieć powszechny wpływ na stan bezpieczeństwa organizacji.
- Użytkownik potwierdzony: Po potwierdzeniu przez użytkownika reguł użytkownicy końcowi używają nowego menu kontekstowego kliknij prawym przyciskiem myszy Uruchom z podwyższonym poziomem uprawnień dostępu. Reguły potwierdzone przez użytkownika wymagają od użytkownika końcowego spełnienia dodatkowych wymagań, zanim aplikacja będzie mogła podnieść poziom uprawnień. Te wymagania zapewniają dodatkową warstwę ochrony, dzięki czemu użytkownik potwierdza, że aplikacja będzie działać w kontekście z podwyższonym poziomem uprawnień, zanim nastąpi podniesienie uprawnień.
- Odmowa: reguła odmowy identyfikuje plik, który program EPM blokuje uruchamianie w kontekście z podwyższonym poziomem poziomu. Chociaż zalecamy użycie reguł podniesienia uprawnień plików, aby umożliwić użytkownikom podniesienie poziomu określonych plików, reguła odmowy może pomóc w zapewnieniu, że niektóre pliki, takie jak znane i potencjalnie złośliwe oprogramowanie, nie mogą być uruchamiane w kontekście z podwyższonym poziomem uprawnień.
- Zatwierdzona pomoc techniczna: w przypadku reguł zatwierdzonych przez pomoc techniczną użytkownicy końcowi muszą przesłać żądanie zatwierdzenia aplikacji. Po przesłaniu żądania administrator może zatwierdzić żądanie. Po zatwierdzeniu żądania użytkownik końcowy jest powiadamiany, że może ukończyć podniesienie uprawnień na urządzeniu. Aby uzyskać więcej informacji na temat korzystania z tego typu reguły, zobacz Obsługa zatwierdzonych żądań podniesienia uprawnień
Uwaga

Każda reguła podniesienia uprawnień może również ustawić zachowanie podniesienia uprawnień dla procesów podrzędnych tworzonych przez proces z podwyższonym poziomem uprawnień.
Podrzędne kontrolki procesów — gdy procesy są podwyższone przez program EPM, możesz kontrolować sposób, w jaki tworzenie procesów podrzędnych jest zarządzane przez program EPM, co umożliwia szczegółową kontrolę nad dowolnymi podprocesami, które mogą być tworzone przez aplikację z podwyższonym poziomem poziomu.
Składniki po stronie klienta — aby korzystać z usługi Endpoint Privilege Management, Intune aprowizuje niewielki zestaw składników na urządzeniu, które odbierają zasady podniesienia uprawnień i wymuszają je. Intune aprowizuje składniki tylko wtedy, gdy otrzymane są zasady ustawień podniesienia uprawnień, a zasady wyrażają zamiar włączenia zarządzania uprawnieniami punktu końcowego.
Wyłączanie i cofanie aprowizacji — jako składnik instalowany na urządzeniu można wyłączyć usługę Endpoint Privilege Management z poziomu zasad ustawień podniesienia uprawnień. Aby usunąć usługę Endpoint Privilege Management z urządzenia , należy użyć zasad ustawień podniesienia uprawnień.

Gdy urządzenie ma zasady ustawień podniesienia uprawnień, które wymagają wyłączenia programu EPM, Intune natychmiast wyłącza składniki po stronie klienta. Program EPM usunie składnik EPM po upływie siedmiu dni. Opóźnienie polega na zapewnieniu, że tymczasowe lub przypadkowe zmiany zasad lub przypisań nie spowodują masowego anulowania aprowizacji/zdarzeń ponownej aprowizacji , które mogą mieć znaczący wpływ na operacje biznesowe.
Zarządzane podniesienie uprawnień a niezarządzane podniesienie uprawnień — te terminy mogą być używane w naszych danych raportowania i użycia. Terminy te odnoszą się do następujących opisów:
- Podniesienie uprawnień zarządzanych: wszystkie podniesienie uprawnień, które ułatwia zarządzanie uprawnieniami punktu końcowego. Zarządzane podniesienia obejmują wszystkie podniesienia uprawnień, które epm kończy się ułatwienie dla użytkownika standardowego. Te zarządzane podniesienia mogą obejmować podniesienie uprawnień, które występują w wyniku reguły podniesienia uprawnień lub w ramach domyślnej akcji podniesienia uprawnień.
- Podniesienie uprawnień niezarządzanych: wszystkie podniesienia uprawnień plików, które występują bez użycia usługi Endpoint Privilege Management. Te podniesienie uprawnień może wystąpić, gdy użytkownik z uprawnieniami administracyjnymi używa domyślnej akcji systemu Windows Uruchom jako administrator.

Zagadnienia dotyczące zabezpieczeń

Aby zapewnić bezpieczne wdrożenie usługi Endpoint Privilege Management, należy wziąć pod uwagę następujące zalecenia podczas konfigurowania zachowania i reguł podniesienia uprawnień:

Ustawianie bezpiecznej domyślnej odpowiedzi na podniesienie uprawnień

Ustaw domyślną odpowiedź podniesienia uprawnień na wartość Zatwierdzenie lubOdmowa obsługi, a nie Potwierdzono użytkownika. Zapewnia to, że podniesienie uprawnień jest regulowane przez wstępnie zdefiniowane reguły dla znanych plików binarnych, co zmniejsza ryzyko, że użytkownicy będą podnosić poziom dowolnych lub potencjalnie złośliwych plików wykonywalnych.

Wymagaj ograniczeń ścieżki pliku we wszystkich typach reguł

Podczas konfigurowania reguły podniesienia uprawnień określ wymaganą ścieżkę pliku. Chociaż ścieżka pliku jest opcjonalna, może to być ważne sprawdzanie zabezpieczeń dla reguł korzystających z automatycznego podniesienia uprawnień lub atrybutów opartych na symbolach wieloznacznych, gdy ścieżka wskazuje lokalizację, którą użytkownicy standardowi nie mogą modyfikować, na przykład zabezpieczony katalog systemowy. Użycie zabezpieczonej lokalizacji plików pomaga zapobiec naruszeniu lub zastąpieniu plików wykonywalnych lub ich zależnych plików binarnych przed podniesieniem uprawnień.

To zalecenie ma zastosowanie do reguł utworzonych automatycznie na podstawie szczegółów raportu podniesienia uprawnień lub zatwierdzonego żądania pomocy technicznej oraz reguł podniesienia uprawnień utworzonych ręcznie.

Ważna

Pliki znajdujące się w udziałach sieciowych nie są obsługiwane i nie powinny być używane w definicjach reguł.

Rozróżnianie uprawnień instalatora i środowiska uruchomieniowego

Celowe podniesienie uprawnień dla plików instalatora i środowiska uruchomieniowego aplikacji. Podniesienie uprawnień instalatorów powinno być ściśle kontrolowane, aby zapobiec nieautoryzowanym instalacjom oprogramowania. Podniesienie uprawnień środowiska uruchomieniowego powinno zostać zminimalizowane, aby zmniejszyć ogólną powierzchnię ataku.

Stosowanie bardziej rygorystycznych reguł do aplikacji wysokiego ryzyka

Użyj bardziej restrykcyjnych reguł podniesienia uprawnień dla aplikacji z szerszymi możliwościami dostępu lub skryptów, takimi jak przeglądarki internetowe i program PowerShell. W przypadku programu PowerShell rozważ użycie reguł specyficznych dla skryptów, aby upewnić się, że tylko zaufane skrypty mogą być uruchamiane z podwyższonym poziomem uprawnień.

Moduł EpmTools programu PowerShell

Każde urządzenie, które odbiera zasady zarządzania uprawnieniami punktu końcowego, instaluje program EPM Microsoft Agent w celu zarządzania tymi zasadami. Agent zawiera moduł EpmTools programu PowerShell, zestaw poleceń cmdlet, które można zaimportować do urządzenia. Poleceń cmdlet można użyć z narzędzia EpmTools do:

Diagnozowanie i rozwiązywanie problemów z usługą Endpoint Privilege Management.
Pobierz atrybuty pliku bezpośrednio z pliku lub aplikacji, dla których chcesz utworzyć regułę wykrywania.

Instalowanie modułu EpmTools programu PowerShell

Moduł Programu PowerShell narzędzi EPM Tools jest dostępny na dowolnym urządzeniu, które otrzymało zasady EPM. Aby zaimportować moduł EpmTools programu PowerShell:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Poniżej przedstawiono dostępne polecenia cmdlet:

Get-Policies: pobiera listę wszystkich zasad odebranych przez agenta Epm dla danego typu zasad (ElevationRules, ClientSettings).
Get-DeclaredConfiguration: pobiera listę dokumentów WinDC identyfikujących zasady przeznaczone dla urządzenia.
Get-DeclaredConfigurationAnalysis: pobiera listę dokumentów WinDC typu MSFTPolicies i sprawdza, czy zasady są już obecne w programie Epm Agent (kolumna Przetworzone).
Get-ElevationRules: wykonaj zapytanie dotyczące funkcji wyszukiwania EpmAgent i pobiera reguły podane w wyszukiwaniu i docelowym. Wyszukiwanie jest obsługiwane w przypadku plików FileName i CertificatePayload.
Get-ClientSettings: Przetwórz wszystkie istniejące zasady ustawień klienta, aby wyświetlić obowiązujące ustawienia klienta używane przez agenta EPM.
Get-FileAttributes: pobiera atrybuty pliku dla pliku .exe i wyodrębnia jego certyfikaty wydawcy i urzędu certyfikacji do lokalizacji zestawu, który może służyć do wypełniania właściwości reguły podniesienia uprawnień dla określonej aplikacji.

Aby uzyskać więcej informacji o każdym poleceniu cmdlet, przejrzyj plik readme.txt z folderu EpmTools na urządzeniu.