Konfigurowanie zasad zarządzania uprawnieniami punktu końcowego

  • Artykuł

Uwaga

Ta funkcja jest dostępna jako dodatek Intune. Aby uzyskać więcej informacji, zobacz Korzystanie z funkcji dodatku Intune Suite.

Dzięki Microsoft Intune Endpoint Privilege Management (EPM) użytkownicy organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Usługa Endpoint Privilege Management obsługuje twoją podróż bez zaufania, pomagając organizacji osiągnąć szeroką bazę użytkowników z najniższymi uprawnieniami, jednocześnie umożliwiając użytkownikom wykonywanie zadań dozwolonych przez organizację w celu utrzymania produktywności.

Informacje zawarte w tym artykule mogą pomóc w skonfigurowaniu następujących zasad i ustawień wielokrotnego użytku dla programu EPM:

  • Zasady ustawień podniesienia uprawnień systemu Windows.
  • Zasady reguł podniesienia uprawnień systemu Windows.
  • Grupy ustawień wielokrotnego użytku, które są opcjonalnymi konfiguracjami reguł podniesienia uprawnień.

Dotyczy:

  • Windows 10
  • Windows 11

Wprowadzenie do zasad EPM

Usługa Endpoint Privilege Management używa dwóch typów zasad skonfigurowanych do zarządzania sposobem obsługi żądania podniesienia uprawnień pliku. Razem zasady konfigurują zachowanie dla podniesienia uprawnień plików, gdy użytkownicy standardowi żądają uruchomienia z uprawnieniami administracyjnymi.

Przed utworzeniem zasad zarządzania uprawnieniami punktu końcowego musisz licencjonować program EPM w dzierżawie jako dodatek Intune. Aby uzyskać informacje o licencjonowaniu, zobacz Korzystanie z funkcji dodatku Intune Suite.

Informacje o zasadach ustawień podniesienia uprawnień systemu Windows

Użyj zasad ustawień podniesienia uprawnień systemu Windows , gdy chcesz:

  • Włącz usługę Endpoint Privilege Management na urządzeniach. Domyślnie te zasady włączają program EPM. Po pierwszym włączeniu epm urządzenie aprowizuje składniki, które zbierają dane użycia na żądaniach podniesienia uprawnień i wymuszają reguły podniesienia uprawnień.

    Jeśli urządzenie ma wyłączoną funkcję EPM, składniki klienta są natychmiast wyłączone. Przed całkowitym usunięciem składnika EPM występuje opóźnienie o siedem dni. Opóźnienie pomaga skrócić czas potrzebny do przywrócenia programu EPM w przypadku przypadkowego wyłączenia epm lub nieprzypisanych zasad ustawień podniesienia uprawnień.

  • Domyślna odpowiedź dotycząca podniesienia uprawnień — ustaw domyślną odpowiedź dla żądania podniesienia uprawnień dowolnego pliku, który nie jest zarządzany przez zasady reguły podniesienia uprawnień systemu Windows. Aby to ustawienie miało wpływ, dla aplikacji nie może istnieć żadna reguła, a użytkownik końcowy musi jawnie zażądać podniesienia uprawnień za pośrednictwem menu Uruchom z podwyższonym poziomem uprawnień. Domyślnie ta opcja nie jest skonfigurowana. Jeśli żadne ustawienie nie zostanie dostarczone, składniki EPM wrócą do wbudowanej wartości domyślnej, czyli odrzucają wszystkie żądania.

    Dostępne opcje:

    • Odrzuć wszystkie żądania — ta opcja blokuje akcję żądania podniesienia poziomu dla plików, które nie są zdefiniowane w zasadach reguł podniesienia uprawnień systemu Windows.
    • Wymagaj potwierdzenia przez użytkownika — jeśli wymagane jest potwierdzenie użytkownika, możesz wybrać jedną z tych samych opcji weryfikacji, co w przypadku zasad zasad podniesienia uprawnień systemu Windows.
    • Wymagaj zatwierdzenia pomocy technicznej — jeśli wymagane jest zatwierdzenie pomocy technicznej, administrator musi zatwierdzić żądania podniesienia uprawnień bez pasującej reguły przed wymaganiem podniesienia uprawnień.

    Uwaga

    Odpowiedzi domyślne są przetwarzane tylko w przypadku żądań przechodzących przez menu Uruchom z podwyższonym poziomem uprawnień dostępu .

  • Opcje weryfikacji — ustaw opcje weryfikacji, gdy domyślna odpowiedź podniesienia uprawnień jest zdefiniowana jako Wymagaj potwierdzenia przez użytkownika.

    Dostępne opcje:

    • Uzasadnienie biznesowe — ta opcja wymaga od użytkownika końcowego podania uzasadnienia przed ukończeniem podniesienia uprawnień, które jest ułatwione przez domyślną odpowiedź na podniesienie uprawnień.
    • Uwierzytelnianie systemu Windows — ta opcja wymaga, aby użytkownik końcowy uwierzytelnił się przed ukończeniem podniesienia uprawnień, co jest ułatwione przez domyślną odpowiedź dotyczącą podniesienia uprawnień.

    Uwaga

    Aby zaspokoić potrzeby organizacji, można wybrać wiele opcji weryfikacji. Jeśli nie wybrano żadnych opcji, użytkownik jest wymagany tylko do kliknięcia przycisku Kontynuuj , aby ukończyć podniesienie uprawnień.

  • Wysyłanie danych podniesienia uprawnień do raportowania — to ustawienie określa, czy urządzenie udostępnia dane diagnostyczne i dane użycia firmie Microsoft. Po włączeniu udostępniania danych typ danych jest konfigurowany przez ustawienie zakresu Raportowanie .

    Dane diagnostyczne są używane przez firmę Microsoft do mierzenia kondycji składników klienta EPM. Dane użycia służą do pokazywania podniesienia uprawnień, które mają miejsce w dzierżawie. Aby uzyskać więcej informacji na temat typów danych i sposobu ich przechowywania, zobacz Zbieranie danych i prywatność w usłudze Endpoint Privilege Management.

    Dostępne opcje:

    • Tak — ta opcja wysyła dane do firmy Microsoft na podstawie ustawienia Zakres raportowania .
    • Nie — ta opcja nie wysyła danych do firmy Microsoft.

  • Zakres raportowania — to ustawienie kontroluje ilość danych wysyłanych do firmy Microsoft, gdy ustawienie Wyślij dane podniesienia uprawnień do raportowania ma wartość Tak. Domyślnie wybierane są dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych .

    Dostępne opcje:

    • Tylko dane diagnostyczne i zarządzane podniesienie uprawnień — ta opcja wysyła do firmy Microsoft dane diagnostyczne dotyczące kondycji składników klienta ORAZ danych dotyczących podniesienia uprawnień ułatwionego przez usługę Endpoint Privilege Management.
    • Dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych — ta opcja wysyła do firmy Microsoft dane diagnostyczne dotyczące kondycji składników klienta ORAZ danych dotyczących wszystkich podniesienia uprawnień występujących w punkcie końcowym.
    • Tylko dane diagnostyczne — ta opcja wysyła do firmy Microsoft tylko dane diagnostyczne dotyczące kondycji składników klienta.

Informacje o zasadach zasad podniesienia uprawnień systemu Windows

Użyj profilów dla zasad reguł podniesienia uprawnień systemu Windows , aby zarządzać identyfikacją określonych plików i sposobem obsługi żądań podniesienia uprawnień dla tych plików. Każda zasada reguły podniesienia uprawnień systemu Windows zawiera co najmniej jedną regułę podniesienia uprawnień. Reguły podniesienia uprawnień umożliwiają skonfigurowanie szczegółów dotyczących zarządzanego pliku i wymagania dotyczące podniesienia poziomu uprawnień.

Każda reguła podniesienia uprawnień instruuje narzędzie EPM, jak wykonać następujące czynności:

  • Zidentyfikuj plik przy użyciu:

    • Nazwa pliku (w tym rozszerzenie). Reguła obsługuje również opcjonalne warunki, takie jak minimalna wersja kompilacji, nazwa produktu lub nazwa wewnętrzna. Opcjonalne warunki są używane do dalszej weryfikacji pliku podczas próby podniesienia uprawnień.
    • Certyfikat. Certyfikaty można dodawać bezpośrednio do reguły lub przy użyciu grupy ustawień wielokrotnego użytku. Jeśli certyfikat jest używany w regule, musi być również prawidłowy. Zalecamy korzystanie z grup ustawień wielokrotnego użytku, ponieważ mogą one być bardziej wydajne i uprościć przyszłą zmianę certyfikatu. Aby uzyskać więcej informacji, zobacz następną sekcję Grupy ustawień wielokrotnego użytku.

  • Zweryfikuj plik:

    • Skrót pliku. Skrót pliku jest wymagany dla reguł automatycznych. W przypadku reguł potwierdzonych przez użytkownika można użyć certyfikatu lub skrótu pliku, w którym to przypadku skrót pliku stanie się opcjonalny.
    • Certyfikat. Jeśli podano certyfikat interfejsu API systemu Windows są używane do sprawdzania poprawności certyfikatu i stanu odwołania.
    • Dodatkowe właściwości. Wszelkie dodatkowe właściwości określone w regułach muszą być zgodne.

  • Skonfiguruj typ podniesienia uprawnień plików. Typ podniesienia uprawnień określa, co się stanie, gdy zostanie wykonane żądanie podniesienia uprawnień dla pliku. Domyślnie ta opcja jest ustawiona na Wartość potwierdzona przez użytkownika, co jest naszym zaleceniem dla podniesienia uprawnień.

    • Potwierdzone przez użytkownika (zalecane): potwierdzenie podniesienia uprawnień przez użytkownika zawsze wymaga od użytkownika kliknięcia monitu o potwierdzenie w celu uruchomienia pliku. Istnieje więcej potwierdzeń użytkownika, które można dodać. Wymaga się od użytkowników uwierzytelniania przy użyciu poświadczeń organizacji. Inna opcja wymaga, aby użytkownik wprowadził uzasadnienie biznesowe. Podczas gdy tekst wprowadzony w celu uzasadnienia zależy od użytkownika, program EPM może zbierać i zgłaszać go, gdy urządzenie jest skonfigurowane do raportowania danych podniesienia uprawnień w ramach zasad ustawień podniesienia uprawnień systemu Windows.
    • Automatyczne: automatyczne podniesienie uprawnień jest niewidoczne dla użytkownika. Nie ma monitu ani żadnych wskazówek, że plik jest uruchomiony w kontekście z podwyższonym poziomem uprawnień.
    • Zatwierdzono obsługę: administrator musi zatwierdzić wszelkie wymagane przez pomoc techniczną żądanie podniesienia uprawnień , które nie ma pasującej reguły, zanim aplikacja będzie mogła działać z podwyższonym poziomem uprawnień.

  • Zarządzanie zachowaniem procesów podrzędnych. Można ustawić zachowanie podniesienia uprawnień, które ma zastosowanie do wszystkich procesów podrzędnych tworzonych przez proces z podwyższonym poziomem uprawnień.

    • Wymagaj podniesienia poziomu reguły — skonfiguruj procesy podrzędne, aby wymagać własnej reguły, zanim proces podrzędny będzie mógł działać w kontekście z podwyższonym poziomem uprawnień.
    • Odmów wszystkim — wszystkie procesy podrzędne są uruchamiane bez kontekstu z podwyższonym poziomem uprawnień.
    • Zezwalaj na uruchamianie procesów podrzędnych z podwyższonym poziomem uprawnień — skonfiguruj proces podrzędny tak, aby zawsze był uruchamiany z podwyższonym poziomem uprawnień.

Uwaga

Aby uzyskać więcej informacji na temat tworzenia silnych reguł, zapoznaj się z naszymi wskazówkami dotyczącymi tworzenia reguł podniesienia uprawnień za pomocą usługi Endpoint Privilege Management.

Możesz również użyć Get-FileAttributes polecenia cmdlet programu PowerShell z modułu EpmTools programu PowerShell. To polecenie cmdlet może pobierać atrybuty plików dla pliku .exe i wyodrębniać jego certyfikaty wydawcy i urzędu certyfikacji do lokalizacji zestawu, która służy do wypełniania właściwości reguły podniesienia uprawnień dla określonej aplikacji.

Uwaga

Zalecamy, aby automatyczne podniesienie uprawnień było używane oszczędnie i tylko w przypadku zaufanych plików o krytycznym znaczeniu biznesowym. Użytkownicy końcowi automatycznie podwyższą poziom tych aplikacji przy każdym uruchomieniu tej aplikacji.

Grupa ustawień wielokrotnego użytku

Usługa Endpoint Privilege Management obsługuje używanie grup ustawień wielokrotnego użytku do zarządzania certyfikatami zamiast dodawania tego certyfikatu bezpośrednio do reguły podniesienia uprawnień. Podobnie jak wszystkie grupy ustawień wielokrotnego użytku dla Intune, konfiguracje i zmiany wprowadzone w grupie ustawień wielokrotnego użytku są automatycznie przekazywane do zasad, które odwołują się do grupy. Zalecamy użycie grupy ustawień wielokrotnego użytku, gdy planujesz używać tego samego certyfikatu do weryfikowania plików w wielu regułach podniesienia uprawnień. Użycie grup ustawień wielokrotnego użytku jest bardziej wydajne, gdy używasz tego samego certyfikatu w wielu regułach podniesienia uprawnień:

  • Certyfikaty dodawane bezpośrednio do reguły podniesienia uprawnień: każdy certyfikat dodany bezpośrednio do reguły jest przekazywany jako unikatowe wystąpienie przez Intune, a następnie to wystąpienie certyfikatu jest skojarzone z tą regułą. Dodanie tego samego certyfikatu bezpośrednio do dwóch oddzielnych reguł powoduje dwukrotne przekazanie go. Później, jeśli musisz zmienić certyfikat, musisz edytować każdą pojedynczą regułę, która go zawiera. Po każdej zmianie reguły Intune przekazuje zaktualizowany certyfikat pojedynczo dla każdej reguły.
  • Certyfikaty zarządzane za pośrednictwem grupy ustawień wielokrotnego użytku: za każdym razem, gdy certyfikat jest dodawany do grupy ustawień wielokrotnego użytku, Intune przekazuje certyfikat pojedynczo, niezależnie od tego, ile reguł podniesienia uprawnień obejmuje tę grupę. To wystąpienie certyfikatu jest następnie skojarzone z plikiem z każdej reguły, która używa tej grupy. Później każdą zmianę wprowadzonego certyfikatu można wprowadzić pojedynczo w grupie ustawień wielokrotnego użytku. Ta zmiana powoduje, że Intune przekazywania zaktualizowanego pliku pojedynczo, a następnie stosowania tej zmiany do każdej reguły podniesienia uprawnień odwołującej się do grupy.

Zasady ustawień podniesienia uprawnień systemu Windows

Aby skonfigurować następujące opcje na urządzeniach, wdróż zasady ustawień podniesienia uprawnień systemu Windows dla użytkowników lub urządzeń:

  • Włącz usługę Endpoint Privilege Management na urządzeniu.
  • Ustaw reguły domyślne dla żądań podniesienia uprawnień dla dowolnego pliku, który nie jest zarządzany przez regułę podniesienia uprawnień usługi Endpoint Privilege Management na tym urządzeniu.
  • Skonfiguruj informacje raportów EPM z powrotem do Intune.

Urządzenie musi mieć zasady ustawień podniesienia uprawnień, które umożliwiają obsługę epm, zanim urządzenie będzie mogło przetworzyć zasady reguł podniesienia uprawnień lub zarządzać żądaniami podniesienia uprawnień. Po włączeniu C:\Program Files\Microsoft EPM Agent obsługi folder jest dodawany do urządzenia wraz z programem EPM Microsoft Agent, który jest odpowiedzialny za przetwarzanie zasad EPM.

Tworzenie zasad ustawień podniesienia uprawnień systemu Windows

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaru Zarządzanieuprawnieniami> punktu końcowego zabezpieczeń> punktu końcowego, wybierz kartę >Zasady, a następnie wybierz pozycję Utwórz zasady. Ustaw opcję Platforma na Windows 10 i nowsze zasady ustawień podniesienia uprawnieńprofilu do systemu Windows, a następnie wybierz pozycję Utwórz.

  2. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  3. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia, aby zdefiniować domyślne zachowania żądań podniesienia uprawnień na urządzeniu:

    Obraz przedstawiający stronę konfiguracji ustawień oceny.

    • Zarządzanie uprawnieniami punktu końcowego: ustaw wartość Włączone (wartość domyślna). Po włączeniu urządzenie korzysta z usługi Endpoint Privilege Management. Po ustawieniu opcji Wyłączone urządzenie nie korzysta z usługi Endpoint Privilege Management i natychmiast wyłącza program EPM, jeśli był wcześniej włączony. Po siedmiu dniach urządzenie spowoduje anulowanie aprowizacji składników usługi Endpoint Privilege Management.

    • Domyślna odpowiedź dotycząca podniesienia uprawnień: skonfiguruj sposób, w jaki to urządzenie zarządza żądaniami podniesienia uprawnień dla plików, które nie są bezpośrednio zarządzane przez regułę:

      • Nie skonfigurowano: ta opcja działa tak samo jak odmowa wszystkich żądań.
      • Odrzuć wszystkie żądania: program EPM nie ułatwia podniesienia poziomu plików, a użytkownikowi jest wyświetlane okno podręczne z informacjami o odmowie. Ta konfiguracja nie uniemożliwia użytkownikom z uprawnieniami administracyjnymi uruchamiania plików niezarządzanych przy użyciu funkcji Uruchom jako administrator .
      • Wymagaj zatwierdzenia przez pomoc techniczną: to zachowanie nakazuje usłudze EPM monitowanie użytkownika o przesłanie zatwierdzonego wniosku o pomoc techniczną.
      • Wymagaj potwierdzenia przez użytkownika: użytkownik otrzymuje prosty monit w celu potwierdzenia zamiaru uruchomienia pliku. Możesz również wymagać większej liczby monitów dostępnych z listy rozwijanej Weryfikacja :
        • Uzasadnienie biznesowe: Wymagaj od użytkownika wprowadzenia uzasadnienia uruchamiania pliku. Nie ma wymaganego formatu dla tego uzasadnienia. Dane wejściowe użytkownika są zapisywane i można je przeglądać za pomocą dzienników, jeśli zakres Raportowanie obejmuje kolekcję podniesienia poziomu punktów końcowych.
        • Uwierzytelnianie systemu Windows: ta opcja wymaga, aby użytkownik uwierzytelnił się przy użyciu poświadczeń organizacji.

    • Wysyłanie danych podniesienia uprawnień do raportowania: domyślnie to zachowanie jest ustawione na Wartość Tak. Po ustawieniu wartości tak można skonfigurować zakres raportowania. Po ustawieniu wartości Nie urządzenie nie zgłasza danych diagnostycznych ani informacji o podniesieniu uprawnień plików do Intune.

    • Zakres raportowania: wybierz typ informacji zgłaszanych przez urządzenie do Intune:

      • Dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych (ustawienie domyślne ): urządzenie raportuje dane diagnostyczne i szczegóły dotyczące wszystkich podniesienia uprawnień plików, które ułatwia program EPM.

        Ten poziom informacji może pomóc w zidentyfikowaniu innych plików, które nie są jeszcze zarządzane przez regułę podniesienia uprawnień, którą użytkownicy chcą uruchomić w kontekście z podwyższonym poziomem uprawnień.

      • Tylko dane diagnostyczne i zarządzane podniesienia uprawnień: urządzenie raportuje dane diagnostyczne i szczegóły dotyczące podniesienia poziomu plików tylko dla tych plików, które są zarządzane przez zasady reguły podniesienia uprawnień. Żądania plików dla plików niezarządzanych i plików z podwyższonym poziomem uprawnień za pośrednictwem domyślnej akcji systemu Windows Uruchom jako administrator nie są zgłaszane jako zarządzane podniesienie uprawnień.

      • Tylko dane diagnostyczne: zbierane są tylko dane diagnostyczne dla operacji zarządzania uprawnieniami punktu końcowego. Informacje o podniesieniu uprawnień plików nie są zgłaszane do Intune.

    Gdy wszystko będzie gotowe, wybierz pozycję Dalej , aby kontynuować.

  4. Na stronie Tagi zakresu wybierz odpowiednie tagi zakresu do zastosowania, a następnie wybierz pozycję Dalej.

  5. W obszarze Przypisania wybierz grupy, które otrzymują zasady. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

  6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

Zasady reguł podniesienia uprawnień systemu Windows

Wdróż zasady reguł podniesienia uprawnień systemu Windows dla użytkowników lub urządzeń, aby wdrożyć co najmniej jedną regułę dla plików zarządzanych na potrzeby podniesienia uprawnień przez usługę Endpoint Privilege Management. Każda reguła dodana do tych zasad:

  • Identyfikuje plik, dla którego chcesz zarządzać żądaniami podniesienia uprawnień.
  • Może zawierać certyfikat ułatwiający zweryfikowanie integralności tego pliku przed jego uruchomieniem. Można również dodać grupę wielokrotnego użytku zawierającą certyfikat, którego następnie używasz z co najmniej jedną regułą lub zasadami.
  • Określa, czy typ podniesienia uprawnień pliku jest automatyczny (dyskretnie) lub wymaga potwierdzenia przez użytkownika. Po potwierdzeniu użytkownika można dodać dodatkowe akcje użytkownika, które muszą zostać ukończone przed uruchomieniem pliku. Oprócz tych zasad urządzenie musi również mieć przypisane zasady ustawień podniesienia uprawnień systemu Windows, które umożliwiają zarządzanie uprawnieniami punktu końcowego.

Tworzenie zasad reguł podniesienia uprawnień systemu Windows

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaru Zarządzanieuprawnieniami> punktu końcowego zabezpieczeń> punktu końcowego, wybierz kartę >Zasady, a następnie wybierz pozycję Utwórz zasady. Ustaw opcję Platforma na Windows 10 i nowsze zasady reguł podniesienia uprawnieńprofilu do systemu Windows, a następnie wybierz pozycję Utwórz.

  2. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  3. W obszarze Ustawienia konfiguracji dodaj regułę dla każdego pliku zarządzanego przez te zasady. Podczas tworzenia nowych zasad zasady są uruchamiane, w tym pustą regułę z typem podniesienia uprawnień Potwierdzony użytkownik i bez nazwy reguły. Zacznij od skonfigurowania tej reguły, a później możesz wybrać pozycję Dodaj , aby dodać więcej reguł do tych zasad. Każda dodana nowa reguła ma potwierdzony typ podniesienia uprawnień Użytkownika, który można zmienić podczas konfigurowania reguły.

    Obraz z interfejsu użytkownika centrum administracyjnego nowych zasad reguł podniesienia uprawnień.

    Aby skonfigurować regułę, wybierz pozycję Edytuj wystąpienie , aby otworzyć stronę właściwości reguły, a następnie skonfiguruj następujące elementy:

    Obraz właściwości reguł podniesienia uprawnień.

    • Nazwa reguły: określ opisową nazwę reguły. Nadaj regułom nazwę, aby można było je łatwo zidentyfikować później.
    • Opis (opcjonalnie): wprowadź opis profilu.

    Warunki podniesienia uprawnień to warunki definiujące sposób uruchamiania pliku oraz weryfikacje użytkowników, które muszą zostać spełnione przed uruchomieniem pliku, do który ma zastosowanie ta reguła.

    • Typ podniesienia uprawnień: domyślnie ta opcja jest ustawiona na Wartość potwierdzona przez użytkownika, co jest typem podniesienia uprawnień zalecamy dla większości plików.

      • Użytkownik potwierdzony: Zalecamy tę opcję dla większości reguł. Po uruchomieniu pliku użytkownik otrzymuje prosty monit o potwierdzenie zamiaru uruchomienia pliku. Reguła może również zawierać inne monity dostępne z listy rozwijanej Weryfikacja :

        • Uzasadnienie biznesowe: Wymagaj od użytkownika wprowadzenia uzasadnienia uruchamiania pliku. Nie ma wymaganego formatu dla wpisu. Dane wejściowe użytkownika są zapisywane i można je przeglądać za pośrednictwem dzienników, jeśli zakres Raportowanie obejmuje kolekcję podniesienia poziomu punktów końcowych.
        • Uwierzytelnianie systemu Windows: ta opcja wymaga, aby użytkownik uwierzytelnił się przy użyciu poświadczeń organizacji.

      • Automatyczne: ten typ podniesienia uprawnień automatycznie uruchamia dany plik z podwyższonym poziomem uprawnień. Automatyczne podniesienie uprawnień jest niewidoczne dla użytkownika bez monitowania o potwierdzenie lub wymagającego uzasadnienia lub uwierzytelniania przez użytkownika.

        Uwaga

        Używaj automatycznego podniesienia uprawnień tylko dla zaufanych plików. Te pliki zostaną automatycznie podwyższone bez interakcji z użytkownikiem. Reguły, które nie są dobrze zdefiniowane, mogą zezwalać niezatwierdzonym aplikacjom na podniesienie poziomu. Aby uzyskać więcej informacji na temat tworzenia silnych reguł, zobacz wskazówki dotyczące tworzenia reguł.

      • Zatwierdzono obsługę: Ten typ podniesienia uprawnień wymaga od administratora zatwierdzenia żądania przed zezwoleniem na ukończenie podniesienia uprawnień. Aby uzyskać więcej informacji, zobacz Obsługa zatwierdzonych żądań podniesienia uprawnień.

        Ważna

        Użycie uprawnień zatwierdzonych przez obsługę plików wymaga, aby administratorzy z dodatkowymi uprawnieniami przejrzeli i zatwierdzili każde żądanie podniesienia uprawnień pliku przed tym plikiem na urządzeniu z uprawnieniami administratora. Aby uzyskać informacje na temat korzystania z zatwierdzonego typu podniesienia uprawnień pomocy technicznej, zobacz Obsługa zatwierdzonych podniesienia uprawnień plików dla usługi Endpoint Privilege Management.

    • Zachowanie procesu podrzędnego: domyślnie ta opcja jest ustawiona na wymaganie podniesienia poziomu reguły, co wymaga, aby proces podrzędny był zgodny z tą samą regułą co proces, który ją tworzy. Inne opcje obejmują:

      • Zezwalaj na uruchamianie wszystkich procesów podrzędnych z podwyższonym poziomem uprawnień: ta opcja powinna być używana z ostrożnością, ponieważ umożliwia aplikacjom bezwarunkowe tworzenie procesów podrzędnych.
      • Odmów wszystkim: ta konfiguracja uniemożliwia utworzenie dowolnego procesu podrzędnego.

    Informacje o pliku to miejsce, w którym można określić szczegóły identyfikujące plik, którego dotyczy ta reguła.

    • Nazwa pliku: określ nazwę pliku i jego rozszerzenie. Przykład: myapplication.exe

    • Ścieżka pliku (opcjonalnie): określ lokalizację pliku. Jeśli plik można uruchomić z dowolnej lokalizacji lub jest nieznany, możesz pozostawić ten pusty plik. Możesz również użyć zmiennej.

    • Źródło podpisu: wybierz jedną z następujących opcji:

      • Użyj pliku certyfikatu w ustawieniach wielokrotnego użytku (ustawienie domyślne): ta opcja używa pliku certyfikatu, który został dodany do grupy ustawień wielokrotnego użytku dla usługi Endpoint Privilege Management. Przed użyciem tej opcji należy utworzyć grupę ustawień wielokrotnego użytku .

        Aby zidentyfikować certyfikat, wybierz pozycję Dodaj lub usuń certyfikat, a następnie wybierz grupę wielokrotnego użytku zawierającą prawidłowy certyfikat. Następnie określ typ certyfikatuurzędu wydawcy lub certyfikatu.

      • Przekaż plik certyfikatu: dodaj plik certyfikatu bezpośrednio do reguły podniesienia uprawnień. W polu Przekazywanie pliku określ plik .cer , który może zweryfikować integralność pliku, do których ma zastosowanie ta reguła. Następnie określ typ certyfikatuurzędu wydawcy lub certyfikatu.

      • Nieskonfigurowane: użyj tej opcji, jeśli nie chcesz używać certyfikatu do weryfikowania integralności pliku. Jeśli certyfikat nie jest używany, należy podać skrót pliku.

    • Skrót pliku: skrót pliku jest wymagany, gdy źródło podpisu ma wartość Nieskonfigurowane i opcjonalnie, gdy jest ustawione na użycie certyfikatu.

    • Minimalna wersja: (opcjonalnie) Użyj formatu x.x.x.x , aby określić minimalną wersję pliku obsługiwaną przez tę regułę.

    • Opis pliku: (Opcjonalnie) Podaj opis pliku.

    • Nazwa produktu: (opcjonalnie) Określ nazwę produktu, z którego pochodzi plik.

    • Nazwa wewnętrzna: (opcjonalnie) Określ wewnętrzną nazwę pliku.

    Wybierz pozycję Zapisz , aby zapisać konfigurację reguły. Następnie możesz dodać więcej reguł. Po dodaniu wszystkich reguł wymaganych przez te zasady wybierz pozycję Dalej , aby kontynuować.

  4. Na stronie Tagi zakresu wybierz odpowiednie tagi zakresu do zastosowania, a następnie wybierz pozycję Dalej.

  5. W obszarze Przypisania wybierz grupy, które otrzymują zasady. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

  6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

Grupy ustawień wielokrotnego użytku

Usługa Endpoint Privilege Management używa grup ustawień wielokrotnego użytku do zarządzania certyfikatami, które weryfikują pliki zarządzane przy użyciu reguł podniesienia uprawnień usługi Endpoint Privilege Management. Podobnie jak wszystkie grupy ustawień wielokrotnego użytku dla Intune, zmiany w grupie wielokrotnego użytku są automatycznie przekazywane do zasad, które odwołują się do grupy. Jeśli musisz zaktualizować certyfikat używany do weryfikacji pliku, wystarczy zaktualizować go tylko raz w grupie ustawień wielokrotnego użytku. Intune stosuje zaktualizowany certyfikat do wszystkich reguł podniesienia uprawnień, które używają tej grupy.

Aby utworzyć grupę ustawień wielokrotnego użytku dla usługi Endpoint Privilege Management:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaru Zarządzanieuprawnieniami> punktu końcowego zabezpieczeń> punktu końcowego, wybierz kartę >Ustawienia wielokrotnego użytku (wersja zapoznawcza), a następnie wybierz pozycję Dodaj.

    Przechwytywanie ekranu interfejsu użytkownika w celu dodania grupy ustawień wielokrotnego użytku.

  2. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę grupy wielokrotnego użytku. Nazwy grup, dzięki czemu można łatwo zidentyfikować każdy później.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  3. W obszarze Ustawienia konfiguracji wybierz ikonę folderu dla pliku certyfikatu i przejdź do obszaru . Plik CER , aby dodać go do tej grupy wielokrotnego użytku. Pole wartości Base 64 jest wypełniane na podstawie wybranego certyfikatu.

    Przechwytywanie ekranu interfejsu użytkownika na potrzeby przechodzenia do certyfikatu.

  4. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Dodaj. Po wybraniu pozycji Dodaj konfiguracja zostanie zapisana, a grupa zostanie wyświetlona na liście grup ustawień wielokrotnego użytku dla usługi Endpoint Privilege Management.

Obsługa konfliktów zasad w usłudze Endpoint Privilege Management

Z wyjątkiem poniższej sytuacji zasady powodujące konflikty dla programu EPM są obsługiwane jak każdy inny konflikt zasad.

Zasady ustawień podniesienia uprawnień systemu Windows:

Gdy urządzenie otrzymuje dwie oddzielne zasady ustawień podniesienia uprawnień z wartościami powodującymi konflikt, klient EPM powraca do domyślnego zachowania klienta, dopóki konflikt nie zostanie rozwiązany.

Uwaga

Jeśli opcja Włącz zarządzanie uprawnieniami punktu końcowego jest w konflikcie, domyślnym zachowaniem klienta jest włączenie programu EPM. Oznacza to, że składniki klienta będą nadal działać do momentu dostarczenia jawnej wartości do urządzenia.

Zasady reguł podniesienia uprawnień systemu Windows:

Jeśli urządzenie otrzyma dwie reguły przeznaczone dla tej samej aplikacji, obie reguły są używane na urządzeniu. Gdy program EPM będzie rozpoznawać reguły mające zastosowanie do podniesienia uprawnień, użyje następującej logiki:

  • Reguły wdrożone dla użytkownika mają pierwszeństwo przed regułami wdrożonych na urządzeniu.
  • Reguły ze zdefiniowanym skrótem są zawsze uznawane za najbardziej specyficzną regułę.
  • Jeśli ma zastosowanie więcej niż jedna reguła (bez zdefiniowanego skrótu), reguła z najbardziej zdefiniowanymi atrybutami wygrywa (najbardziej konkretna).
  • Jeśli zastosowanie powyższej logiki powoduje wystąpienie więcej niż jednej reguły, następująca kolejność określa zachowanie podniesienia uprawnień: Potwierdzone przez użytkownika, Zatwierdzone przez pomoc techniczną (raz dostępne), a następnie Automatyczne.

Uwaga

Jeśli reguła nie istnieje dla podniesienia uprawnień, a podniesienie uprawnień zostało zażądane za pośrednictwem menu kontekstowego Uruchom z podwyższonym poziomem uprawnień , zostanie użyte domyślne zachowanie podniesienia uprawnień .

Następne kroki