Udostępnij za pośrednictwem


Korzystanie z usługi Endpoint Privilege Management w usłudze Microsoft Intune

Uwaga

Ta funkcja jest dostępna jako dodatek usługi Intune. Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).

Dzięki usłudze Microsoft Intune Endpoint Privilege Management (EPM) użytkownicy twojej organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Usługa Endpoint Privilege Management obsługuje twoją podróż bez zaufania , pomagając organizacji osiągnąć szeroką bazę użytkowników działającą z najniższymi uprawnieniami, jednocześnie umożliwiając użytkownikom uruchamianie zadań dozwolonych przez organizację w celu utrzymania produktywności. Aby uzyskać więcej informacji, zobacz Zero Trust with Microsoft Intune (Zerowe zaufanie w usłudze Microsoft Intune).

W poniższych sekcjach tego artykułu omówiono wymagania dotyczące korzystania z programu EPM, przedstawiono funkcjonalne omówienie działania tej funkcji i wprowadzono ważne pojęcia dotyczące epm.

Dotyczy:

  • Windows 10
  • Windows 11

Wymagania wstępne

Licencjonowanie

Usługa Endpoint Privilege Management wymaga dodatkowej licencji poza licencją planu 1 usługi Microsoft Intune . Możesz wybrać między autonomiczną licencją, która dodaje tylko program EPM, lub licencją EPM w ramach pakietu Microsoft Intune Suite. Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).

Wymagania

Usługa Endpoint Privilege Management ma następujące wymagania:

  • Przyłączone do usługi Microsoft Entra lub przyłączone hybrydowo do usługi Microsoft Entra
  • Rejestracja w usłudze Microsoft Intune lubwspółzarządzane urządzenia programu Microsoft Configuration Manager (bez wymagań dotyczących obciążenia)
  • Obsługiwany system operacyjny
  • Wyczyść linię wzroku (bez kontroli protokołu SSL) do wymaganych punktów końcowych

Uwaga

  • System Windows 365 (CloudPC) jest obsługiwany przy użyciu obsługiwanej wersji systemu operacyjnego
  • Urządzenia dołączane do miejsca pracy nie są obsługiwane przez usługę Endpoint Privilege Management
  • Usługa Azure Virtual Desktop nie jest obsługiwana przez usługę Endpoint Privilege Management

Usługa Endpoint Privilege Management obsługuje następujące systemy operacyjne:

  • Windows 11 w wersji 23H2 (22631.2506 lub nowszej) z KB5031455
  • Windows 11 w wersji 22H2 (22621.2215 lub nowszej) z KB5029351
  • Windows 11 w wersji 21H2 (22000.2713 lub nowszej) z KB5034121
  • Windows 10 w wersji 22H2 (19045.3393 lub nowszej) z KB5030211
  • Windows 10 w wersji 21H2 (19044.3393 lub nowszej) z KB5030211

Ważna

Pomoc techniczna dla instytucji rządowych w chmurze

Zarządzanie uprawnieniami punktu końcowego jest obsługiwane w następujących suwerennych środowiskach chmury:

  • Us Government Community Cloud (GCC) High
  • Departament Obrony USA (DoD)

Aby uzyskać więcej informacji, zobacz Opis usługi Microsoft Intune for US Government GCC.

Wprowadzenie do usługi Endpoint Privilege Management

Usługa Endpoint Privilege Management (EPM) jest wbudowana w usługę Microsoft Intune, co oznacza, że cała konfiguracja została ukończona w Centrum administracyjnym usługi Microsoft Intune. Gdy organizacje rozpoczną pracę z programem EPM, korzystają z następującego procesu wysokiego poziomu:

  • Zarządzanie uprawnieniami punktu końcowego licencji — przed użyciem zasad zarządzania uprawnieniami punktu końcowego musisz licencjonować program EPM w dzierżawie jako dodatek usługi Intune. Aby uzyskać informacje o licencjonowaniu, zobacz Korzystanie z funkcji dodatku pakietu Intune Suite.

  • Wdrażanie zasad ustawień podniesienia uprawnień — zasady ustawień podniesienia uprawnień aktywują moduł EPM na urządzeniu klienckim. Te zasady umożliwiają również konfigurowanie ustawień specyficznych dla klienta, ale niekoniecznie związanych z podniesieniem uprawnień poszczególnych aplikacji lub zadań.

  • Wdrażanie zasad reguł podniesienia uprawnień — zasady reguły podniesienia uprawnień łączą aplikację lub zadanie z akcją podniesienia uprawnień. Te zasady umożliwiają skonfigurowanie zachowania podniesienia uprawnień dla aplikacji, które organizacja zezwala na uruchamianie aplikacji na urządzeniu.

Ważne pojęcia dotyczące zarządzania uprawnieniami punktu końcowego

Podczas konfigurowania ustawień podniesienia uprawnień i zasad podniesienia uprawnień , które zostały wymienione wcześniej, istnieje kilka ważnych pojęć, które pozwalają zrozumieć, czy skonfigurowano program EPM zgodnie z potrzebami organizacji. Przed szeroko wdrożonym programem EPM należy dobrze zrozumieć następujące koncepcje, a także ich wpływ na środowisko:

  • Uruchom polecenie z podwyższonym poziomem uprawnień dostępu — opcja menu kontekstowego kliknij prawym przyciskiem myszy, która jest wyświetlana po aktywowaniu programu EPM na urządzeniu. Gdy ta opcja jest używana, zasady reguł podniesienia uprawnień urządzeń są sprawdzane pod kątem dopasowania w celu określenia, czy i w jaki sposób ten plik może zostać podniesiony do uruchomienia w kontekście administracyjnym. Jeśli nie ma odpowiedniej reguły podniesienia uprawnień, urządzenie używa domyślnych konfiguracji podniesienia uprawnień zdefiniowanych przez zasady ustawień podniesienia uprawnień.

  • Typy podniesienia uprawnień i podniesienia uprawnień plików — program EPM umożliwia użytkownikom bez uprawnień administracyjnych uruchamianie procesów w kontekście administracyjnym. Podczas tworzenia reguły podniesienia uprawnień ta reguła zezwala programowi EPM na serwer proxy obiektu docelowego tej reguły na uruchamianie z uprawnieniami administratora na urządzeniu. W rezultacie aplikacja ma pełną możliwość administracyjną na urządzeniu.

    W przypadku korzystania z usługi Endpoint Privilege Management istnieje kilka opcji zachowania podniesienia uprawnień:

    • W przypadku reguł automatycznego podniesienia uprawnień program EPM automatycznie podnosi poziom tych aplikacji bez danych wejściowych od użytkownika. Szerokie reguły w tej kategorii mogą mieć powszechny wpływ na stan bezpieczeństwa organizacji.
    • W przypadku reguł potwierdzonych przez użytkownika użytkownicy końcowi używają nowego menu kontekstowego kliknij prawym przyciskiem myszy Uruchom z podwyższonym poziomem uprawnień dostępu. Reguły potwierdzone przez użytkownika wymagają od użytkownika końcowego spełnienia dodatkowych wymagań, zanim aplikacja będzie mogła podnieść poziom uprawnień. Te wymagania zapewniają dodatkową warstwę ochrony, dzięki czemu użytkownik potwierdza, że aplikacja będzie działać w kontekście z podwyższonym poziomem uprawnień, zanim nastąpi podniesienie uprawnień.
    • Aby zapewnić obsługę zatwierdzonych reguł, użytkownicy końcowi muszą przesłać żądanie zatwierdzenia aplikacji. Po przesłaniu żądania administrator może zatwierdzić żądanie. Po zatwierdzeniu żądania użytkownik końcowy jest powiadamiany, że może ukończyć podniesienie uprawnień na urządzeniu. Aby uzyskać więcej informacji na temat korzystania z tego typu reguły, zobacz Obsługa zatwierdzonych żądań podniesienia uprawnień

    Uwaga

    Każda reguła podniesienia uprawnień może również ustawić zachowanie podniesienia uprawnień dla procesów podrzędnych tworzonych przez proces z podwyższonym poziomem uprawnień.

  • Podrzędne kontrolki procesów — gdy procesy są podwyższone przez program EPM, możesz kontrolować sposób, w jaki tworzenie procesów podrzędnych jest zarządzane przez program EPM, co umożliwia szczegółową kontrolę nad dowolnymi podprocesami, które mogą być tworzone przez aplikację z podwyższonym poziomem poziomu.

  • Składniki po stronie klienta — aby korzystać z usługi Endpoint Privilege Management, usługa Intune aprowizuje niewielki zestaw składników na urządzeniu, które odbierają zasady podniesienia uprawnień i wymuszają je. Usługa Intune aprowizuje składniki tylko wtedy, gdy otrzymane są zasady ustawień podniesienia uprawnień, a zasady wyrażają zamiar włączenia zarządzania uprawnieniami punktu końcowego.

  • Wyłączanie i cofanie aprowizacji — jako składnik instalowany na urządzeniu można wyłączyć usługę Endpoint Privilege Management z poziomu zasad ustawień podniesienia uprawnień. Aby usunąć usługę Endpoint Privilege Management z urządzenia , należy użyć zasad ustawień podniesienia uprawnień.

    Gdy urządzenie ma zasady ustawień podniesienia uprawnień, które wymagają wyłączenia programu EPM, usługa Intune natychmiast wyłącza składniki po stronie klienta. Program EPM usunie składnik EPM po upływie siedmiu dni. Opóźnienie polega na zapewnieniu, że tymczasowe lub przypadkowe zmiany zasad lub przypisań nie spowodują masowego anulowania aprowizacji/zdarzeń ponownej aprowizacji , które mogą mieć znaczący wpływ na operacje biznesowe.

  • Zarządzane podniesienie uprawnień a niezarządzane podniesienie uprawnień — te terminy mogą być używane w naszych danych raportowania i użycia. Terminy te odnoszą się do następujących opisów:

    • Podniesienie uprawnień zarządzanych: wszystkie podniesienie uprawnień, które ułatwia zarządzanie uprawnieniami punktu końcowego. Zarządzane podniesienia obejmują wszystkie podniesienia uprawnień, które epm kończy się ułatwienie dla użytkownika standardowego. Te zarządzane podniesienia mogą obejmować podniesienie uprawnień, które występują w wyniku reguły podniesienia uprawnień lub w ramach domyślnej akcji podniesienia uprawnień.
    • Podniesienie uprawnień niezarządzanych: wszystkie podniesienia uprawnień plików, które występują bez użycia usługi Endpoint Privilege Management. Te podniesienie uprawnień może wystąpić, gdy użytkownik z uprawnieniami administracyjnymi używa domyślnej akcji systemu Windows Uruchom jako administrator.

Kontrola dostępu oparta na rolach dla usługi Endpoint Privilege Management

Aby zarządzać usługą Endpoint Privilege Management, twoje konto musi mieć przypisaną rolę kontroli dostępu opartej na rolach (RBAC) usługi Intune, która obejmuje następujące uprawnienia z uprawnieniami wystarczającymi do wykonania żądanego zadania:

  • Tworzenie zasad zarządzania uprawnieniami punktu końcowego — to uprawnienie jest wymagane do pracy z zasadami lub danymi i raportami dla usługi Endpoint Privilege Management i obsługuje następujące prawa:

    • Wyświetlanie raportów
    • Odczyt
    • Tworzenie
    • Aktualizacja
    • Usuń
    • Przypisz
  • Żądania podniesienia uprawnień usługi Endpoint Privilege Management — to uprawnienie jest wymagane do pracy z żądaniami podniesienia uprawnień przesłanymi przez użytkowników do zatwierdzenia i obsługuje następujące prawa:

    • Wyświetlanie żądań podniesienia uprawnień
    • Modyfikowanie żądań podniesienia uprawnień

Możesz dodać to uprawnienie z co najmniej jednym uprawnieniem do własnych niestandardowych ról RBAC lub użyć wbudowanej roli RBAC dedykowanej do zarządzania usługą Endpoint Privilege Management:

  • Endpoint Privilege Manager — ta wbudowana rola jest przeznaczona do zarządzania zarządzaniem uprawnieniami punktu końcowego w konsoli usługi Intune. Ta rola obejmuje wszystkie prawa do tworzenia zasad zarządzania uprawnieniami punktu końcowego i żądań podniesienia uprawnień zarządzania uprawnieniami punktu końcowego.

  • Czytelnik uprawnień punktu końcowego — ta wbudowana rola służy do wyświetlania zasad zarządzania uprawnieniami punktu końcowego w konsoli usługi Intune, w tym raportów. Ta rola obejmuje następujące prawa:

    • Wyświetlanie raportów
    • Odczyt
    • Wyświetlanie żądań podniesienia uprawnień

Oprócz ról dedykowanych następujące wbudowane role usługi Intune obejmują również prawa do tworzenia zasad zarządzania uprawnieniami punktu końcowego:

  • Endpoint Security Manager — ta rola obejmuje wszystkie prawa do tworzenia zasad zarządzania uprawnieniami punktu końcowego i żądań podniesienia uprawnień zarządzania uprawnieniami punktu końcowego.

  • Operator tylko do odczytu — ta rola obejmuje następujące prawa:

    • Wyświetlanie raportów
    • Odczyt
    • Wyświetlanie żądań podniesienia uprawnień

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach dla usługi Microsoft Intune.

Moduł EpmTools programu PowerShell

Każde urządzenie, które odbiera zasady zarządzania uprawnieniami punktu końcowego, instaluje program EPM Microsoft Agent w celu zarządzania tymi zasadami. Agent zawiera moduł EpmTools programu PowerShell, zestaw poleceń cmdlet, które można zaimportować do urządzenia. Poleceń cmdlet można użyć z narzędzia EpmTools do:

  • Diagnozowanie i rozwiązywanie problemów z usługą Endpoint Privilege Management.
  • Pobierz atrybuty pliku bezpośrednio z pliku lub aplikacji, dla których chcesz utworzyć regułę wykrywania.

Instalowanie modułu EpmTools programu PowerShell

Moduł Programu PowerShell narzędzi EPM Tools jest dostępny na dowolnym urządzeniu, które otrzymało zasady EPM. Aby zaimportować moduł EpmTools programu PowerShell:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Poniżej przedstawiono dostępne polecenia cmdlet:

  • Get-Policies: pobiera listę wszystkich zasad odebranych przez agenta Epm dla danego typu zasad (ElevationRules, ClientSettings).
  • Get-DeclaredConfiguration: pobiera listę dokumentów WinDC identyfikujących zasady przeznaczone dla urządzenia.
  • Get-DeclaredConfigurationAnalysis: pobiera listę dokumentów WinDC typu MSFTPolicies i sprawdza, czy zasady są już obecne w programie Epm Agent (kolumna Przetworzone).
  • Get-ElevationRules: wykonaj zapytanie dotyczące funkcji wyszukiwania EpmAgent i pobiera reguły podane w wyszukiwaniu i docelowym. Wyszukiwanie jest obsługiwane w przypadku plików FileName i CertificatePayload.
  • Get-ClientSettings: Przetwórz wszystkie istniejące zasady ustawień klienta, aby wyświetlić obowiązujące ustawienia klienta używane przez agenta EPM.
  • Get-FileAttributes: pobiera atrybuty pliku dla pliku .exe i wyodrębnia jego certyfikaty wydawcy i urzędu certyfikacji do lokalizacji zestawu, który może służyć do wypełniania właściwości reguły podniesienia uprawnień dla określonej aplikacji.

Aby uzyskać więcej informacji o każdym poleceniu cmdlet, przejrzyj plik readme.txt z folderu EpmTools na urządzeniu.

Następne kroki