Usar o Gerenciamento de Privilégios de Ponto de Extremidade com Microsoft Intune
Observação
Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.
Com Microsoft Intune Endpoint Privilege Management (EPM) os usuários da sua organização podem ser executados como um usuário padrão (sem direitos de administrador) e concluir tarefas que exigem privilégios elevados. As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como Aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinadas diagnóstico do Windows.
O Endpoint Privilege Management dá suporte à sua jornada Confiança Zero ajudando sua organização a alcançar uma ampla base de usuários em execução com menos privilégios, permitindo que os usuários ainda executem tarefas permitidas pela sua organização para permanecerem produtivas. Para obter mais informações, consulte Confiança Zero com Microsoft Intune.
As seções a seguir deste artigo discutem os requisitos para usar o EPM, fornecem uma visão geral funcional de como essa funcionalidade funciona e introduzem conceitos importantes para o EPM.
Aplicável a:
- Windows 10
- Windows 11
Pré-requisitos
Licenciamento
O Gerenciamento de Privilégios do Ponto de Extremidade requer uma licença adicional além da licença do Plano 1 Microsoft Intune. Você pode escolher entre uma licença autônoma que adiciona apenas o EPM ou o EPM de licença como parte do Microsoft Intune Suite. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.
Requisitos
O Endpoint Privilege Management tem os seguintes requisitos:
- Microsoft Entra unida ou Microsoft Entra ingressada híbrida
- Microsoft Intune Registro ou Microsoft Configuration Manager dispositivos cogerenciados (sem requisitos de carga de trabalho)
- Sistema Operacional com Suporte
- Limpar a linha de visão (sem inspeção de SSL) para os pontos de extremidade necessários
Observação
- Windows 365 (CloudPC) tem suporte usando uma versão do sistema operacional com suporte
- Não há suporte para dispositivos de junção no local de trabalho pelo Endpoint Privilege Management
- Não há suporte para a Área de Trabalho Virtual do Azure pelo Endpoint Privilege Management
O Endpoint Privilege Management dá suporte aos seguintes sistemas operacionais:
- Windows 11, versão 23H2 (22631.2506 ou posterior) com KB5031455
- Windows 11, versão 22H2 (22621.2215 ou posterior) com KB5029351
- Windows 11, versão 21H2 (22000.2713 ou posterior) com KB5034121
- Windows 10, versão 22H2 (19045.3393 ou posterior) com KB5030211
- Windows 10, versão 21H2 (19044.3393 ou posterior) com KB5030211
Importante
- A política de configurações de elevação será exibida como não aplicável para dispositivos que não executam uma versão do sistema operacional com suporte.
- O Gerenciamento de Privilégios do Ponto de Extremidade tem alguns novos requisitos de rede, consulte Pontos de Extremidade de Rede para Intune.
Introdução ao Endpoint Privilege Management
O EPM (Endpoint Privilege Management) é integrado a Microsoft Intune, o que significa que toda a configuração é concluída no Centro de Microsoft Intune Administração. Quando as organizações iniciam o EPM, elas usam o seguinte processo de alto nível:
Gerenciamento de Privilégios de Ponto de Extremidade de Licença – Antes de usar políticas de Gerenciamento de Privilégios do Ponto de Extremidade, você deve licenciar o EPM em seu locatário como um complemento Intune. Para obter informações de licenciamento, consulte Usar recursos de complemento do Intune Suite.
Implantar uma política de configurações de elevação – uma política de configurações de elevação ativa o EPM no dispositivo cliente. Essa política também permite configurar configurações específicas para o cliente, mas que não estão necessariamente relacionadas à elevação de aplicativos ou tarefas individuais.
Implantar políticas de regra de elevação – uma política de regra de elevação vincula um aplicativo ou tarefa a uma ação de elevação. Use essa política para configurar o comportamento de elevação para aplicativos que sua organização permite quando os aplicativos são executados no dispositivo.
Conceitos importantes para o Gerenciamento de Privilégios do Ponto de Extremidade
Quando você configura as configurações de elevação e as políticasde regras de elevação mencionadas anteriormente, há alguns conceitos importantes para entender como configurar o EPM para atender às necessidades da sua organização. Antes de implantar amplamente o EPM, os seguintes conceitos devem ser bem compreendidos, bem como o efeito que eles têm em seu ambiente:
Executar com acesso elevado – uma opção de menu de contexto com o botão direito do mouse que aparece quando o EPM é ativado em um dispositivo. Quando essa opção é usada, as políticas de regras de elevação de dispositivos são verificadas para uma correspondência para determinar se e como esse arquivo pode ser elevado para ser executado em um contexto administrativo. Se não houver nenhuma regra de elevação aplicável, o dispositivo usará as configurações de elevação padrão conforme definido pela política de configurações de elevação.
Tipos de elevação e elevação de arquivo – o EPM permite que usuários sem privilégios administrativos executem processos no contexto administrativo. Quando você cria uma regra de elevação, essa regra permite que o EPM faça proxy do destino dessa regra para ser executado com privilégios de administrador no dispositivo. O resultado é que o aplicativo tem capacidade administrativa completa no dispositivo.
Quando você usa o Endpoint Privilege Management, há algumas opções para o comportamento de elevação:
- Para regras de elevação automática, o EPM eleva automaticamente esses aplicativos sem a entrada do usuário. Regras amplas nessa categoria podem ter um impacto generalizado na postura de segurança da organização.
- Para regras confirmadas pelo usuário, os usuários finais usam um novo menu de contexto com o botão direito do mouse Executar com acesso elevado. As regras confirmadas pelo usuário exigem que o usuário final conclua alguns requisitos adicionais antes que o aplicativo possa ser elevado. Esses requisitos fornecem uma camada extra de proteção, fazendo com que o usuário reconheça que o aplicativo será executado em um contexto elevado, antes que essa elevação ocorra.
- Para regras aprovadas por suporte, os usuários finais devem enviar uma solicitação para aprovar um aplicativo. Depois que a solicitação for enviada, um administrador poderá aprovar a solicitação. Depois que a solicitação é aprovada, o usuário final é notificado de que pode concluir a elevação no dispositivo. Para obter mais informações sobre como usar esse tipo de regra, consulte Suporte a solicitações de elevação aprovadas
Observação
Cada regra de elevação também pode definir o comportamento de elevação para processos filho que o processo elevado cria.
Controles de processo filho – Quando os processos são elevados pelo EPM, você pode controlar como a criação de processos filho é governada pelo EPM, o que permite que você tenha controle granular sobre quaisquer subprocessos que possam ser criados pelo seu aplicativo elevado.
Componentes do lado do cliente – Para usar o Endpoint Privilege Management, Intune provisiona um pequeno conjunto de componentes no dispositivo que recebem políticas de elevação e as impõe. Intune provisiona os componentes somente quando uma política de configurações de elevação é recebida e a política expressa a intenção de habilitar o gerenciamento do Privilégio de Ponto de Extremidade.
Desabilitação e desprovisionamento – Como um componente instalado em um dispositivo, o Endpoint Privilege Management pode ser desabilitado de dentro de uma política de configurações de elevação. O uso da política de configurações de elevação é necessário para remover o Endpoint Privilege Management de um dispositivo.
Depois que o dispositivo tiver uma política de configurações de elevação que exige que o EPM seja desabilitado, Intune desabilita imediatamente os componentes do lado do cliente. O EPM removerá o componente EPM após um período de sete dias. O atraso é garantir que alterações temporárias ou acidentais na política ou nas atribuições não resultem em eventosde re provisionamento/ em massa que possam ter um impacto substancial nas operações comerciais.
Elevações gerenciadas versus elevações não gerenciadas – esses termos podem ser usados em nossos dados de relatório e uso. Estes termos referem-se às seguintes descrições:
- Elevação gerenciada: qualquer elevação que o Endpoint Privilege Management facilita. As elevações gerenciadas incluem todas as elevações que o EPM acaba facilitando para o usuário padrão. Essas elevações gerenciadas podem incluir elevações que acontecem como resultado de uma regra de elevação ou como parte da ação de elevação padrão.
- Elevação não gerenciada: todas as elevações de arquivo que acontecem sem o uso do Endpoint Privilege Management. Essas elevações podem acontecer quando um usuário com direitos administrativos usa a ação padrão do Windows de Executar como administrador.
Controles de acesso baseados em função para o Gerenciamento de Privilégios do Ponto de Extremidade
Para gerenciar o Endpoint Privilege Management, sua conta deve receber uma função RBAC (controle de acesso baseado em função) Intune que inclui a seguinte permissão com direitos suficientes para concluir a tarefa desejada:
Criação de política de gerenciamento de privilégios de ponto de extremidade – essa permissão é necessária para trabalhar com política ou dados e relatórios para o Endpoint Privilege Management e dá suporte aos seguintes direitos:
- Exibir relatórios
- Leitura
- Criar
- Atualizar
- Excluir
- Atribuir
Solicitações de Elevação de Gerenciamento de Privilégios de Ponto de Extremidade – essa permissão é necessária para trabalhar com solicitações de elevação enviadas pelos usuários para aprovação e dá suporte aos seguintes direitos:
- Exibir solicitações de elevação
- Modificar solicitações de elevação
Você pode adicionar essa permissão com um ou mais direitos às suas próprias funções RBAC personalizadas ou usar uma função RBAC interna dedicada ao gerenciamento do Endpoint Privilege Management:
Endpoint Privilege Manager – Essa função interna é dedicada ao gerenciamento do Endpoint Privilege Management no console Intune. Essa função inclui todos os direitos para a Criação de Política de Gerenciamento de Privilégios do Ponto de Extremidade e Solicitações de Elevação de Gerenciamento de Privilégios do Ponto de Extremidade.
Leitor de Privilégios do Ponto de Extremidade – use essa função interna para exibir políticas de Gerenciamento de Privilégios do Ponto de Extremidade no console Intune, incluindo relatórios. Essa função inclui os seguintes direitos:
- Exibir relatórios
- Leitura
- Exibir solicitações de elevação
Além das funções dedicadas, as seguintes funções internas para Intune também incluem direitos para a Criação de Política de Gerenciamento de Privilégios do Ponto de Extremidade:
Endpoint Security Manager – Essa função inclui todos os direitos para a Criação de Política de Gerenciamento de Privilégios do Ponto de Extremidade e Solicitações de Elevação de Gerenciamento de Privilégios do Ponto de Extremidade.
Operador Somente Leitura – Essa função inclui os seguintes direitos:
- Exibir relatórios
- Leitura
- Exibir solicitações de elevação
Para obter mais informações, consulte Controle de acesso baseado em função para Microsoft Intune.
Módulo do PowerShell do EpmTools
Cada dispositivo que recebe políticas de Gerenciamento de Privilégios do Ponto de Extremidade instala o EPM Microsoft Agent para gerenciar essas políticas. O agente inclui o módulo EpmTools PowerShell, um conjunto de cmdlets que você pode importar para um dispositivo. Você pode usar os cmdlets de EpmTools para:
- Diagnosticar e solucionar problemas com o Gerenciamento de Privilégios do Ponto de Extremidade.
- Obtenha atributos de arquivo diretamente de um arquivo ou aplicativo para o qual você deseja criar uma regra de detecção.
Instalar o módulo do PowerShell do EpmTools
O módulo do PowerShell do EPM Tools está disponível em qualquer dispositivo que tenha recebido a política do EPM. Para importar o módulo do PowerShell do EpmTools:
Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
A seguir estão os cmdlets disponíveis:
- Get-Policies: recupera uma lista de todas as políticas recebidas pelo Agente do Epm para um determinado PolicyType (ElevationRules, ClientSettings).
- Get-DeclaredConfiguration: recupera uma lista de documentos WinDC que identificam as políticas direcionadas ao dispositivo.
- Get-DeclaredConfigurationAnalysis: recupera uma lista de documentos WinDC do tipo MSFTPolicies e verifica se a política já está presente no Epm Agent (coluna processada).
- Get-ElevationRules: consulte a funcionalidade de pesquisa do EpmAgent e recupere as regras fornecidas com pesquisa e destino. Há suporte para Pesquisa para FileName e CertificatePayload.
- Get-ClientSettings: processe todas as políticas de configurações de cliente existentes para exibir as configurações efetivas do cliente usadas pelo Agente EPM.
- Get-FileAttributes: recupera atributos de arquivo para um arquivo .exe e extrai seus certificados Publisher e CA para um local definido que pode ser usado para preencher propriedades de regra de elevação para um determinado aplicativo.
Para obter mais informações sobre cada cmdlet, examine o arquivoreadme.txt da pasta EpmTools no dispositivo.
Próximas etapas
- Diretrizes para criar regras de elevação
- Configurar políticas para o Gerenciamento de Privilégios do Ponto de Extremidade
- Aprovando solicitações de elevação
- Relatórios para Gerenciamento de Privilégios do Ponto de Extremidade
- Coleta de dados e privacidade para Gerenciamento de Privilégios do Ponto de Extremidade
- Considerações de implantação e perguntas frequentes
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de