Considerações de implantação e perguntas frequentes para o Gerenciamento de Privilégios do Ponto de Extremidade
Observação
Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.
Com Microsoft Intune Endpoint Privilege Management (EPM) os usuários da sua organização podem ser executados como um usuário padrão (sem direitos de administrador) e concluir tarefas que exigem privilégios elevados. As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como Aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinadas diagnóstico do Windows.
O Endpoint Privilege Management dá suporte à jornada de confiança zero, ajudando sua organização a alcançar uma ampla base de usuários em execução com menos privilégios, permitindo que os usuários ainda executem tarefas permitidas pela sua organização para permanecerem produtivas.
As seções a seguir deste artigo discutem considerações de implantação e perguntas frequentes para o EPM.
Aplicável a:
- Windows 10
- Windows 11
Considerações de implantação para o Gerenciamento de Privilégios do Ponto de Extremidade
Windows 10 dispositivos podem não receber imediatamente a confirmação de aprovações de suporte
Estamos trabalhando para resolve alguns cenários que impedem que Windows 10 dispositivos recebam automaticamente a notificação de que uma nova aprovação está pronta para o dispositivo quando você usa elevações aprovadas de suporte. Estamos trabalhando com o proprietário para resolve isso o mais rápido possível.
A organização que desabilita o Controle de Conta de Usuário (UAC) pode ter problemas com o Endpoint Privilege Management
O Gerenciamento de Privilégios do Ponto de Extremidade não dá suporte à desabilitação explícita do UAC. Existem controles de política do Windows para Comportamento de Prompt do UAC para controlar o comportamento dos prompts UAC. Se as organizações tomarem medidas adicionais para desabilitar o UAC fora dos controles de política existentes, como desabilitar os serviços do Windows, elas poderão ter problemas com o Endpoint Privilege Management.
As organizações usam o Controle de Aplicativos para Empresas podem ter problemas na execução do Gerenciamento de Privilégios do Ponto de Extremidade
As políticas de Controle de Aplicativos para Empresas que não são responsáveis pelos componentes do cliente do EPM podem impedir que os componentes do EPM funcionem. Para usar o EPM com o AppControl, verifique se sua política de Controle de Aplicativo inclui regras que permitem que o EPM funcione.
Organizações que restringem usuários que podem fazer logon interativamente podem ver problemas com o Endpoint Privilege Management
O Endpoint Privilege Management usa uma conta isolada para facilitar as elevações. Essa conta requer a capacidade de criar uma sessão de logon interativa. As organizações que limitam a capacidade dos usuários de criar sessões interativas precisarão fazer alterações para que o EPM funcione corretamente.
Os usuários que solicitam aprovação de suporte para elevação devem ser o usuário principal no dispositivo
Atualmente, o Endpoint Privilege Management exige que o usuário que solicita uma elevação seja o usuário principal do dispositivo. Estamos trabalhando para remover essa limitação em uma versão futura.
Criação de arquivos com um nome de arquivo como um dos únicos atributos para identificação
O nome do arquivo é um atributo que pode ser usado para detectar um aplicativo que precisa ser elevado. No entanto, ele não é protegido pela assinatura do arquivo.
Os nomes de arquivo são altamente suscetíveis a alterações, e os arquivos que são assinados por um certificado em que você confia podem ter seu nome alterado para serem detectados e posteriormente elevados , o que pode não ser o comportamento pretendido.
Importante
Certifique-se sempre de que as regras, incluindo um nome de arquivo, incluam outros atributos que fornecem uma forte afirmação à identidade do arquivo. Atributos como hash de arquivo ou propriedades incluídas na assinatura de arquivos são bons indicadores de que o arquivo que você pretende é provavelmente o que está sendo elevado.
As políticas de configurações de elevação podem mostrar conflito se alteradas em sucessão rápida
O Endpoint Privilege Management relata status de configurações individuais aplicadas usando o perfil Configurações de Elevação. Se as configurações neste perfil (comportamento de elevação padrão, por exemplo) forem alteradas várias vezes em sucessão rápida, isso poderá resultar em conflito de relatórios de dispositivos ou voltar ao comportamento padrão de negar a elevação. Esse é um estado transitório e é resolvido sem mais ações (em menos de 60 minutos). Esse problema será corrigido em uma versão futura.
Arquivos bloqueados baixados da Internet não conseguem elevar
O comportamento existe no Windows para definir um atributo em arquivos que são baixados diretamente da Internet e impedi-los de executar até serem validados. O Windows tem funcionalidade para validar a reputação dos arquivos baixados da Internet. Quando uma reputação de arquivos não é validada, ela pode falhar em elevar.
Para corrigir esse comportamento, desbloqueie o arquivo desbloqueando o arquivo do painel de propriedades do arquivo. O desbloqueio de um arquivo só deve ser feito quando você confia no arquivo.
Dispositivos Windows que estão "ingressados no local de trabalho" falham em habilitar o Gerenciamento de Privilégios do Ponto de Extremidade
Não há suporte para dispositivos ingressados no local de trabalho pelo Endpoint Privilege Management. Esses dispositivos não mostrarão êxito ou processarão políticas de EPM (configurações de elevação ou regras de elevação) quando implantados no dispositivo.
As regras de um arquivo de rede podem não elevar
O Endpoint Privilege Management dá suporte à execução de arquivos armazenados localmente em disco. Não há suporte para executar arquivos de um local de rede, como um compartilhamento de rede ou uma unidade mapeada.
O Endpoint Privilege Management não recebe política quando uso uma 'inspeção SSL' na minha infraestrutura de rede
O Endpoint Privilege Management não dá suporte à inspeção SSL, que é conhecida como "quebra e inspeção". Para usar o Endpoint Privilege Management, verifique se as URLs listadas nos pontos de extremidade Intune do Endpoint Privilege Management estão isentas de inspeção.
Perguntas frequentes
Por que meu dispositivo virtual não está integrando ao Endpoint Privilege Management?
Atualmente, o Gerenciamento de Privilégios do Ponto de Extremidade não tem suporte com a Área de Trabalho Virtual do Azure. Esse problema será corrigido na versão futura.
O suporte para Windows 365 (Cloud PCs) foi adicionado em setembro de 2023.
Por que minha política de configurações de elevação mostra erro/não é aplicável?
A política de configurações de elevação controla a habilitação do EPM e a configuração dos componentes do lado do cliente. Quando essa política está em erro ou não é aplicável, ela indica que o dispositivo teve um problema ao habilitar o EPM. Os dois motivos mais comuns estão ausentes das atualizações necessárias do Windows ou falha na comunicação com os pontos de extremidade Intune necessários para o Gerenciamento de Privilégios do Ponto de Extremidade.
O que acontece quando alguém com privilégios administrativos usa um dispositivo habilitado para EPM?
O Endpoint Privilege Management não gerencia solicitações de elevação por usuários que têm permissões administrativas em um dispositivo. Pode haver instâncias em que um administrador inicia um arquivo que tem uma regra de elevação (especificamente uma regra de elevação automática) definida no dispositivo. Esse aplicativo é iniciado como normalmente faz para o administrador e um evento para uma elevação não gerenciada será gerado pelo EPM.
Quais arquivos podem ser elevados ao administrador?
O Endpoint Privilege Management dá suporte a arquivos executáveis. Atualmente, a Microsoft está trabalhando na ampliação do suporte para outros tipos de arquivo (MSI etc.) e fornecendo um método fácil para elevar tarefas comuns do sistema operacional.
Por que "Executar com acesso elevado" não é exibido em itens de menu iniciar?
Determinados itens que residem no menu inicial ou na barra de tarefas têm um menu com o botão direito do mouse e o menu de contexto do EPM com o botão direito do mouse não pode ser adicionado a esses menus. Planejamos corrigir esse problema em uma versão futura.
Posso iniciar vários arquivos como elevados com o menu de contexto "Executar com acesso elevado" com o botão direito do mouse?
Somente um arquivo pode ser elevado por vez. Para iniciar vários arquivos elevados, clique com o botão direito do mouse em cada arquivo individualmente e selecione Executar com acesso elevado.
Próximas etapas
- Saiba mais sobre o Gerenciamento de Privilégios do Ponto de Extremidade
- Diretrizes para criar regras de elevação
- Configurar políticas para o Gerenciamento de Privilégios do Ponto de Extremidade
- Relatórios para Gerenciamento de Privilégios do Ponto de Extremidade
- Coleta de dados e privacidade para Gerenciamento de Privilégios do Ponto de Extremidade
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de