Configurar políticas para o Gerenciamento de Privilégios do Ponto de Extremidade

  • Artigo

Observação

Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.

Com Microsoft Intune Endpoint Privilege Management (EPM) os usuários da sua organização podem ser executados como um usuário padrão (sem direitos de administrador) e concluir tarefas que exigem privilégios elevados. As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como Aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinadas diagnóstico do Windows.

O Endpoint Privilege Management dá suporte à jornada de confiança zero, ajudando sua organização a alcançar uma ampla base de usuários em execução com menos privilégios, permitindo que os usuários ainda executem tarefas permitidas pela sua organização para permanecerem produtivas.

As informações neste artigo podem ajudá-lo a configurar as seguintes políticas e configurações reutilizáveis para o EPM:

  • Política de configurações de elevação do Windows.
  • Política de regras de elevação do Windows.
  • Grupos de configurações reutilizáveis, que são configurações opcionais para suas regras de elevação.

Aplicável a:

  • Windows 10
  • Windows 11

Introdução às políticas do EPM

O Endpoint Privilege Management usa dois tipos de política que você configura para gerenciar como uma solicitação de elevação de arquivo é tratada. Juntas, as políticas configuram o comportamento para elevações de arquivo quando os usuários padrão solicitam a execução com privilégios administrativos.

Antes de criar políticas de Gerenciamento de Privilégios do Ponto de Extremidade, você deve licenciar o EPM em seu locatário como um complemento Intune. Para obter informações de licenciamento, consulte Usar recursos de complemento do Intune Suite.

Sobre a política de configurações de elevação do Windows

Use a política de configurações de elevação do Windows quando quiser:

  • Habilitar o Gerenciamento de Privilégios do Ponto de Extremidade em dispositivos. Por padrão, essa política habilita o EPM. Quando habilitado pela primeira vez para o EPM, um dispositivo provisiona os componentes que coletam dados de uso em solicitações de elevação e que impõem regras de elevação.

    Se um dispositivo tiver o EPM desabilitado, os componentes do cliente serão imediatamente desabilitados. Há um atraso de sete dias antes que o componente EPM seja completamente removido. O atraso ajuda a reduzir o tempo necessário para restaurar o EPM caso um dispositivo tenha o EPM desabilitado acidentalmente ou sua política de configurações de elevação não assinada.

  • Resposta de elevação padrão – Defina uma resposta padrão para uma solicitação de elevação de qualquer arquivo que não seja gerenciado por uma política de regra de elevação do Windows. Para que essa configuração tenha um efeito, nenhuma regra pode existir para o aplicativo E um usuário final deve solicitar explicitamente a elevação por meio do menu Executar com acesso elevado com o botão direito do mouse. Por padrão, essa opção não está configurada. Se nenhuma configuração for entregue, os componentes do EPM voltarão ao padrão interno, que é negar todas as solicitações.

    As opções são:

    • Negar todas as solicitações – essa opção bloqueia a ação de solicitação de elevação para arquivos que não são definidos em uma política de regras de elevação do Windows.
    • Exigir confirmação do usuário – quando a confirmação do usuário for necessária, você pode escolher entre as mesmas opções de validação encontradas para a política de regras de elevação do Windows.
    • Exigir aprovação de suporte – quando a aprovação de suporte é necessária, um administrador deve aprovar solicitações de elevação sem uma regra correspondente antes da elevação ser necessária.

    Observação

    As respostas padrão são processadas apenas para solicitações que vêm por meio do menu Executar com acesso elevado com o botão direito do mouse.

  • Opções de validação – defina opções de validação quando a resposta de elevação padrão for definida como Exigir confirmação do usuário.

    As opções são:

    • Justificativa comercial – Essa opção exige que o usuário final forneça uma justificativa antes de concluir uma elevação facilitada pela resposta de elevação padrão.
    • autenticação do Windows - Essa opção exige que o usuário final se autentique antes de concluir uma elevação facilitada pela resposta de elevação padrão.

    Observação

    Várias opções de validação podem ser selecionadas para atender às necessidades da organização. Se nenhuma opção for selecionada, o usuário só será obrigado a clicar para continuar a concluir a elevação.

  • Enviar dados de elevação para relatórios – essa configuração controla se o dispositivo compartilha dados de diagnóstico e uso com a Microsoft. Quando habilitado para compartilhar dados, o tipo de dados é configurado pela configuração do escopo Reporting .

    Os dados de diagnóstico são usados pela Microsoft para medir a integridade dos componentes do cliente EPM. Os dados de uso são usados para mostrar as elevações que acontecem dentro do locatário. Para obter mais informações sobre os tipos de dados e como eles são armazenados, confira Coleta de dados e privacidade para Gerenciamento de Privilégios do Ponto de Extremidade.

    As opções são:

    • Sim – Essa opção envia dados para a Microsoft com base na configuração do Escopo de Relatórios .
    • Não – Essa opção não envia dados para a Microsoft.

  • Escopo de relatório – Essa configuração controla a quantidade de dados que estão sendo enviados à Microsoft quando Enviar dados de elevação para relatórios é definido como Sim. Por padrão, dados de diagnóstico e todas as elevações de ponto de extremidade são selecionados.

    As opções são:

    • Somente dados de diagnóstico e elevações gerenciadas – essa opção envia dados de diagnóstico à Microsoft sobre a integridade dos componentes do cliente E dados sobre elevações que estão sendo facilitados pelo Endpoint Privilege Management.
    • Dados de diagnóstico e todas as elevações de ponto de extremidade – essa opção envia dados de diagnóstico à Microsoft sobre a integridade dos componentes do cliente E dados sobre todas as elevações que estão acontecendo no ponto de extremidade.
    • Somente dados de diagnóstico – essa opção envia apenas os dados de diagnóstico para a Microsoft sobre a integridade dos componentes do cliente.

Sobre a política de regras de elevação do Windows

Use perfis para a política de regras de elevação do Windows para gerenciar a identificação de arquivos específicos e como as solicitações de elevação para esses arquivos são tratadas. Cada política de regra de elevação do Windows inclui uma ou mais regras de elevação. É com regras de elevação que você configura detalhes sobre o arquivo que está sendo gerenciado e os requisitos para que ele seja elevado.

Cada regra de elevação instrui o EPM sobre como:

  • Identifique o arquivo usando:

    • Nome do arquivo (incluindo extensão). A regra também dá suporte a condições opcionais, como uma versão de build mínima, nome do produto ou nome interno. Condições opcionais são usadas para validar ainda mais o arquivo quando a elevação é tentada.
    • Certificado. Os certificados podem ser adicionados diretamente a uma regra ou usando um grupo de configurações reutilizáveis. Quando um certificado é usado em uma regra, ele também é necessário para ser válido. Recomendamos o uso de grupos de configurações reutilizáveis, pois eles podem ser mais eficientes e simplificar uma alteração futura no certificado. Para obter mais informações, confira a próxima seção Grupos de configurações reutilizáveis.

  • Validar o arquivo:

    • Hash do arquivo. Um hash de arquivo é necessário para regras automáticas. Para regras confirmadas pelo usuário, você pode optar por usar um certificado ou um hash de arquivo, nesse caso, o hash do arquivo se torna opcional.
    • Certificado. Se um certificado for fornecido, as API do Windows serão usadas para validar o certificado e o status de revogação.
    • Propriedades adicionais. Quaisquer propriedades adicionais especificadas nas regras devem corresponder.

  • Configure o tipo de elevação de arquivos. O tipo de elevação identifica o que acontece quando uma solicitação de elevação é feita para o arquivo. Por padrão, essa opção é definida como Usuário confirmado, que é nossa recomendação para elevações.

    • Usuário confirmado (Recomendado): uma elevação confirmada pelo usuário sempre exige que o usuário clique em um prompt de confirmação para executar o arquivo. Há mais confirmações de usuário que você pode adicionar. Um deles exige que os usuários se autentiquem usando suas credenciais de organização. Outra opção exige que o usuário insira uma justificativa comercial. Enquanto o texto inserido para uma justificativa cabe ao usuário, o EPM pode coletar e denunciá-lo quando o dispositivo estiver configurado para relatar dados de elevação como parte de sua política de configurações de elevação do Windows.
    • Automático: uma elevação automática acontece de forma invisivelmente para o usuário. Não há nenhum prompt e nenhuma indicação de que o arquivo está em execução em um contexto elevado.
    • Suporte aprovado: um administrador deve aprovar qualquer solicitação de elevação necessária para suporte que não tenha uma regra correspondente, antes que o aplicativo possa ser executado com privilégios elevados.

  • Gerenciar o comportamento dos processos filho. Você pode definir o comportamento de elevação que se aplica a todos os processos filho que o processo elevado cria.

    • Exigir que a regra se eleve – configure um processo filho para exigir sua própria regra antes que esse processo filho possa ser executado em um contexto elevado.
    • Negar tudo – Todos os processos filho são iniciados sem contexto elevado.
    • Permitir que os processos filho executem elevados – configure um processo filho para sempre executar elevado.

Observação

Para obter mais informações sobre como criar regras fortes, consulte nossas diretrizes para criar regras de elevação com o Endpoint Privilege Management.

Você também pode usar o cmdlet do Get-FileAttributes PowerShell do módulo EpmTools PowerShell. Esse cmdlet pode recuperar atributos de arquivo para um arquivo .exe e extrair seus certificados Publisher e CA para um local definido que você pode usar para preencher propriedades de regra de elevação para um determinado aplicativo.

Cuidado

Recomendamos que a elevação automática seja usada com moderação e somente para arquivos confiáveis que sejam críticos para os negócios. Os usuários finais elevarão automaticamente esses aplicativos a cada lançamento desse aplicativo.

Grupo de configurações reutilizáveis

O Endpoint Privilege Management dá suporte ao uso de grupos de configurações reutilizáveis para gerenciar os certificados em vez de adicionar esse certificado diretamente a uma regra de elevação. Como todos os grupos de configurações reutilizáveis para Intune, configurações e alterações feitas em um grupo de configurações reutilizáveis são automaticamente passadas para as políticas que fazem referência ao grupo. Recomendamos usar um grupo de configurações reutilizáveis quando você planeja usar o mesmo certificado para validar arquivos em várias regras de elevação. O uso de grupos de configurações reutilizáveis é mais eficiente quando você usa o mesmo certificado em várias regras de elevação:

  • Certificados que você adiciona diretamente a uma regra de elevação: cada certificado adicionado diretamente a uma regra é carregado como uma instância exclusiva por Intune e essa instância de certificado é então associada a essa regra. Adicionar o mesmo certificado diretamente a duas regras separadas resulta no carregamento duas vezes. Posteriormente, se você precisar alterar o certificado, deverá editar cada regra individual que o contenha. Com cada alteração de regra, Intune carrega o certificado atualizado uma única vez para cada regra.
  • Certificados que você gerencia por meio de um grupo de configurações reutilizáveis: sempre que um certificado é adicionado a um grupo de configurações reutilizáveis, Intune carrega o certificado uma única vez, não importa quantas regras de elevação incluam esse grupo. Essa instância do certificado é então associada ao arquivo de cada regra que usa esse grupo. Posteriormente, qualquer alteração no certificado que você fizer pode ser feita uma única vez no grupo de configurações reutilizáveis. Essa alteração resulta em Intune carregar o arquivo atualizado uma única vez e, em seguida, aplicar essa alteração a cada regra de elevação que referencia o grupo.

Política de configurações de elevação do Windows

Para configurar as seguintes opções em dispositivos, implante a política de configurações de elevação do Windows para usuários ou dispositivos:

  • Habilitar o Gerenciamento de Privilégios do Ponto de Extremidade em um dispositivo.
  • Defina regras padrão para solicitações de elevação para qualquer arquivo que não seja gerenciado por uma regra de elevação do Endpoint Privilege Management nesse dispositivo.
  • Configure quais informações o EPM relata de volta para Intune.

Um dispositivo deve ter uma política de configurações de elevação que habilite o suporte ao EPM antes que o dispositivo possa processar uma política de regras de elevação ou gerenciar solicitações de elevação. Quando o suporte está habilitado, a C:\Program Files\Microsoft EPM Agent pasta é adicionada ao dispositivo junto com o EPM Microsoft Agent, que é responsável pelo processamento das políticas do EPM.

Criar uma política de configurações de elevação do Windows

  1. Entre no centro de administração Microsoft Intune e acesse Endpoint security>Endpoint Privilege Management> selecione a guia >Políticas e selecione Criar Política. Defina a plataforma como Windows 10 e posterior, Perfil para política de configurações de elevação do Windows e selecione Criar.

  2. No Básico, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Perfis de nome para que você possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  3. Nas configurações, configure o seguinte para definir comportamentos padrão para solicitações de elevação em um dispositivo:

    Imagem da página de configuração de configurações de avaliação.

    • Gerenciamento de privilégios do ponto de extremidade: definido como Habilitado (padrão). Quando habilitado, um dispositivo usa o Endpoint Privilege Management. Quando definido como Desabilitado, o dispositivo não usa o Endpoint Privilege Management e desabilita imediatamente o EPM se ele estiver habilitado anteriormente. Após sete dias, o dispositivo desprovisionará os componentes do Endpoint Privilege Management.

    • Resposta de elevação padrão: configure como esse dispositivo gerencia solicitações de elevação para arquivos que não são gerenciados diretamente por uma regra:

      • Não configurado: essa opção funciona da mesma forma que Negar todas as solicitações.
      • Negar todas as solicitações: o EPM não facilita a elevação de arquivos e o usuário é mostrado uma janela pop-up com informações sobre a negação. Essa configuração não impede que usuários com permissões administrativas usem Executar como administrador para executar arquivos não gerenciados.
      • Exigir aprovação de suporte: esse comportamento instrui o EPM a solicitar que o usuário envie uma solicitação aprovada pelo suporte.
      • Exigir confirmação do usuário: o usuário recebe um prompt simples para confirmar sua intenção de executar o arquivo. Você também pode exigir mais prompts disponíveis na lista suspensa Validação :
        • Justificativa comercial: exija que o usuário insira uma justificativa para executar o arquivo. Não há formato necessário para essa justificativa. A entrada do usuário é salva e pode ser revisada por meio de logs se o escopo Reporting incluir a coleção de elevações de ponto de extremidade.
        • autenticação do Windows: essa opção exige que o usuário se autentique usando suas credenciais de organização.

    • Enviar dados de elevação para relatórios: por padrão, esse comportamento é definido como Sim. Quando definido como sim, você pode configurar um escopo Reporting. Quando definido como Não, um dispositivo não relata dados de diagnóstico ou informações sobre elevações de arquivo para Intune.

    • Escopo de relatório: escolha qual tipo de informação um dispositivo relata para Intune:

      • Dados de diagnóstico e todas as elevações de ponto de extremidade (Padrão): o dispositivo relata dados de diagnóstico e detalhes sobre todas as elevações de arquivo que o EPM facilita.

        Esse nível de informação pode ajudá-lo a identificar outros arquivos que ainda não são gerenciados por uma regra de elevação que os usuários buscam executar em um contexto elevado.

      • Somente dados de diagnóstico e elevações gerenciadas: o dispositivo relata dados de diagnóstico e detalhes sobre elevações de arquivo apenas para os arquivos gerenciados por uma política de regra de elevação. Solicitações de arquivo para arquivos não gerenciados e arquivos que são elevados por meio da ação padrão do Windows de Executar como administrador, não são relatadas como elevações gerenciadas.

      • Somente dados de diagnóstico: somente dados de diagnóstico para a operação do Endpoint Privilege Management são coletados. Informações sobre elevações de arquivo não são relatadas a Intune.

    Quando estiver pronto, selecione Avançar para continuar.

  4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

  5. Para Atribuições, selecione os grupos que recebem a política. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  6. Para Revisar + criar, examine suas configurações e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de políticas.

Política de regras de elevação do Windows

Implante uma política de regras de elevação do Windows para usuários ou dispositivos para implantar uma ou mais regras para arquivos gerenciados para elevação pelo Endpoint Privilege Management. Cada regra que você adiciona a esta política:

  • Identifica um arquivo para o qual você deseja gerenciar solicitações de elevação.
  • Pode incluir um certificado para ajudar a validar a integridade desse arquivo antes de ser executado. Você também pode adicionar um grupo reutilizável que contém um certificado que você usa com uma ou mais regras ou políticas.
  • Especifica se o tipo de elevação do arquivo é automático (silenciosamente) ou exige confirmação do usuário. Com a confirmação do usuário, você pode adicionar ações adicionais de usuário que devem ser concluídas antes que o arquivo seja executado. Além dessa política, um dispositivo também deve receber uma política de configurações de elevação do Windows que habilita o Endpoint Privilege Management.

Criar uma política de regras de elevação do Windows

  1. Entre no centro de administração Microsoft Intune e acesse Endpoint security>Endpoint Privilege Management> selecione a guia >Políticas e selecione Criar Política. Defina a Plataforma como Windows 10 e posterior, Perfil para política de regras de elevação do Windows e selecione Criar.

  2. No Básico, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Perfis de nome para que você possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  3. Nas configurações, adicione uma regra para cada arquivo que essa política gerencia. Quando você cria uma nova política, a política começa inclui uma regra em branco com um tipo de elevação de Usuário confirmado e nenhum nome de regra. Comece configurando essa regra e, posteriormente, você pode selecionar Adicionar para adicionar mais regras a essa política. Cada nova regra que você adiciona tem um tipo de elevação confirmado pelo usuário, que pode ser alterado quando você configurar a regra.

    Imagem da interface do usuário do centro de administração de uma nova política de regras de elevação.

    Para configurar uma regra, selecione Editar instância para abrir sua página Propriedades de regra e configure o seguinte:

    Imagem das propriedades de regras de elevação.

    • Nome da regra: especifique um nome descritivo para a regra. Nomeie suas regras para que você possa identificá-las mais tarde.
    • Descrição (opcional): insira uma descrição para o perfil.

    As condições de elevação são condições que definem como um arquivo é executado e as validações de usuário que devem ser atendidas antes que o arquivo ao qual essa regra se aplique possa ser executada.

    • Tipo de elevação: por padrão, essa opção é definida como Confirmada pelo usuário, que é o tipo de elevação que recomendamos para a maioria dos arquivos.

      • Usuário confirmado: recomendamos essa opção para a maioria das regras. Quando um arquivo é executado, o usuário recebe um prompt simples para confirmar sua intenção de executar o arquivo. A regra também pode incluir outros prompts que estão disponíveis na lista suspensa Validação :

        • Justificativa comercial: exija que o usuário insira uma justificativa para executar o arquivo. Não há formato necessário para a entrada. A entrada do usuário é salva e pode ser revisada por meio de logs se o escopo Reporting incluir a coleção de elevações de ponto de extremidade.
        • autenticação do Windows: essa opção exige que o usuário se autentique usando suas credenciais de organização.

      • Automático: esse tipo de elevação executa automaticamente o arquivo em questão com permissões elevadas. A elevação automática é transparente para o usuário, sem solicitar confirmação ou exigir justificativa ou autenticação pelo usuário.

        Cuidado

        Use apenas a elevação automática para arquivos em que você confia. Esses arquivos serão automaticamente elevados sem interação do usuário. Regras que não são bem definidas podem permitir que aplicativos não aprovados se elevem. Para obter mais informações sobre como criar regras fortes, consulte as diretrizes para criar regras.

      • Suporte aprovado: esse tipo de elevação requer que um administrador aprove uma solicitação antes que a elevação seja autorizada a ser concluída. Para obter mais informações, consulte Suporte a solicitações de elevação aprovadas.

        Importante

        O uso da elevação aprovada por suporte para arquivos requer que os administradores com permissões adicionais examinem e aprovem cada solicitação de elevação de arquivo antes desse arquivo no dispositivo com permissões de administrador. Para obter informações sobre como usar o tipo de elevação aprovado pelo suporte, consulte Suporte a elevações de arquivo aprovadas para o Endpoint Privilege Management.

    • Comportamento do processo filho: por padrão, essa opção é definida como Exigir que a regra seja elevada, o que exige que o processo filho corresponda à mesma regra que o processo que a cria. Outras opções incluem:

      • Permitir que todos os processos filho sejam executados com elevação: essa opção deve ser usada com cuidado, pois permite que os aplicativos criem processos filho incondicionalmente.
      • Negar tudo: essa configuração impede que qualquer processo filho seja criado.

    As informações do arquivo são onde você especifica os detalhes que identificam um arquivo ao qual essa regra se aplica.

    • Nome do arquivo: especifique o nome do arquivo e sua extensão. Por exemplo: myapplication.exe

    • Caminho do arquivo (opcional): especifique o local do arquivo. Se o arquivo puder ser executado de qualquer local ou for desconhecido, você poderá deixar isso em branco. Você também pode usar uma variável.

    • Fonte de assinatura: escolha uma das seguintes opções:

      • Use um arquivo de certificado em configurações reutilizáveis (Padrão): essa opção usa um arquivo de certificado que foi adicionado a um grupo de configurações reutilizáveis para o Endpoint Privilege Management. Você deve criar um grupo de configurações reutilizáveis antes de poder usar essa opção.

        Para identificar o Certificado, selecione Adicionar ou remover um certificado e selecione o grupo reutilizável que contém o certificado correto. Em seguida, especifique o tipo de certificado de Autoridade de Editor ou Certificado.

      • Carregar um arquivo de certificado: adicione um arquivo de certificado diretamente à regra de elevação. Para carregamento de arquivo, especifique um arquivo .cer que possa validar a integridade do arquivo ao qual essa regra se aplica. Em seguida, especifique o tipo de certificado de Autoridade de Editor ou Certificado.

      • Não configurado: use essa opção quando não quiser usar um certificado para validar a integridade do arquivo. Quando nenhum certificado é usado, você deve fornecer um hash de arquivo.

    • Hash do arquivo: o hash do arquivo é necessário quando a origem da assinatura é definida como Não configurada e opcional quando definido como usando um certificado.

    • Versão mínima: (Opcional) Use o formato x.x.x.x para especificar uma versão mínima do arquivo compatível com essa regra.

    • Descrição do arquivo: (Opcional) Forneça uma descrição do arquivo.

    • Nome do produto: (Opcional) Especifique o nome do produto do qual o arquivo é.

    • Nome interno: (Opcional) Especifique o nome interno do arquivo.

    Selecione Salvar para salvar a configuração da regra. Em seguida, você pode adicionar mais regras. Depois de adicionar todas as regras necessárias, selecione Avançar para continuar.

  4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

  5. Para Atribuições, selecione os grupos que recebem a política. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo. Selecione Avançar.

  6. Em Examinar + criar, examine suas configurações e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de políticas.

Grupos de configurações reutilizáveis

O Endpoint Privilege Management usa grupos de configurações reutilizáveis para gerenciar os certificados que validam os arquivos que você gerencia com regras de elevação do Endpoint Privilege Management. Como todos os grupos de configurações reutilizáveis para Intune, as alterações em um grupo reutilizável são automaticamente passadas para as políticas que fazem referência ao grupo. Se você precisar atualizar o certificado usado para validação de arquivo, só precisará atualizá-lo no grupo de configurações reutilizáveis uma única vez. Intune aplica o certificado atualizado a todas as regras de elevação que usam esse grupo.

Para criar o grupo de configurações reutilizáveis para o Endpoint Privilege Management:

  1. Entre no centro de administração Microsoft Intune e vá para o Endpoint Security>Endpoint Privilege Management> selecione a guia >Configurações reutilizáveis (versão prévia) e selecione Adicionar.

    Captura de tela da interface do usuário para adicionar um grupo de configurações reutilizáveis.

  2. No Básico, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o grupo reutilizável. Grupos de nomes para que você possa identificar facilmente cada um mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  3. Nas configurações, selecione o ícone de pasta para arquivo certificado e navegue até um . Arquivo CER para adicioná-lo a esse grupo reutilizável. O campo de valor Base 64 é preenchido com base no certificado selecionado.

    Captura de tela da interface do usuário para navegar até um certificado.

  4. Em Examinar + criar, examine suas configurações e selecione Adicionar. Quando você seleciona Adicionar, sua configuração é salva e o grupo é mostrado na lista de grupos de configurações reutilizáveis para o Endpoint Privilege Management.

Tratamento de conflitos de política para Gerenciamento de Privilégios do Ponto de Extremidade

Exceto pela situação a seguir, as políticas conflitantes para o EPM são tratadas como qualquer outro conflito de política.

Política de configurações de elevação do Windows:

Quando um dispositivo recebe duas políticas de configurações de elevação separadas com valores conflitantes, o cliente EPM reverte para o comportamento padrão do cliente até que o conflito seja resolvido.

Observação

Se Habilitar o Gerenciamento de Privilégios do Ponto de Extremidade estiver em conflito, o comportamento padrão do cliente será habilitar o EPM. Isso significa que os componentes do cliente continuarão funcionando até que um valor explícito seja entregue ao dispositivo.

Política de regras de elevação do Windows:

Se um dispositivo receber duas regras direcionadas ao mesmo aplicativo, ambas as regras serão consumidas no dispositivo. Quando o EPM vai para resolve regras que se aplicam a uma elevação, ele usa a seguinte lógica:

  • As regras implantadas em um usuário têm precedência sobre as regras implantadas em um dispositivo.
  • Regras com um hash definido sempre são consideradas a regra mais específica .
  • Se mais de uma regra se aplicar (sem hash definido), a regra com os atributos mais definidos ganhará (mais específica).
  • Se a aplicação da lógica acima resultar em mais de uma regra, a ordem a seguir determinará o comportamento de elevação: Confirmado pelo usuário, Aprovado por Suporte (uma vez disponível) e, em seguida, Automático.

Observação

Se uma regra não existir para uma elevação e essa elevação tiver sido solicitada por meio do menu Executar com acesso elevado com o botão direito do mouse, o Comportamento de Elevação Padrão será usado.

Próximas etapas