Partilhar via

Considerações de Implementação e perguntas mais frequentes sobre a Gestão de Privilégios de Ponto Final

  • Artigo

Observação

Esta capacidade está disponível como um suplemento do Intune. Para obter mais informações, veja Utilizar as capacidades de suplemento do Intune Suite.

Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnósticos do Windows.

O Endpoint Privilege Management suporta o seu percurso de confiança zero ao ajudar a sua organização a alcançar uma ampla base de utilizadores em execução com menos privilégios, ao mesmo tempo que permite que os utilizadores continuem a executar tarefas permitidas pela sua organização para se manterem produtivos.

As secções seguintes deste artigo abordam as considerações de implementação e as perguntas mais frequentes sobre o EPM.

Aplicável a:

  • Windows 10
  • Windows 11

Considerações de implementação para a Gestão de Privilégios de Ponto Final

Os dispositivos Windows 10 poderão não receber imediatamente a confirmação de aprovações de suporte

Estamos a trabalhar para resolver alguns cenários que impedem que os dispositivos Windows 10 recebam automaticamente a notificação de que uma nova aprovação está pronta para o dispositivo quando utiliza elevações aprovadas de suporte. Estamos a trabalhar com o proprietário para resolver este problema o mais rapidamente possível.

A organização que desativa o Controlo de Conta de Utilizador (UAC) pode ter problemas com a Gestão de Privilégios de Ponto Final

A Gestão de Privilégios de Ponto Final não suporta a desativação explícita do UAC. Existem controlos de política do Windows para o Comportamento da Linha de Comandos do UAC para controlar o comportamento do UAC. Se as organizações tomarem medidas adicionais para desativar o UAC fora dos controlos de política existentes, como desativar os serviços do Windows, poderão ter problemas com o Endpoint Privilege Management.

As organizações que utilizam o Controlo de Aplicações para Empresas podem ter problemas ao executar a Gestão de Privilégios de Ponto Final

As políticas de Controlo de Aplicações para Empresas que não contabilizam os componentes do cliente EPM podem impedir que os componentes EPM funcionem. Para utilizar o EPM com o AppControl, certifique-se de que a política de Controlo de Aplicações inclui regras que permitem que o EPM funcione. Para obter mais informações sobre a resolução de problemas do controlo de aplicações, veja Depuração e resolução de problemas do WDAC.

Observação

O EPM não está incluído nas políticas predefinidas para o Controlo de Aplicações e pode exigir a criação de políticas personalizadas.

As organizações que restringem os utilizadores que podem iniciar sessão interativamente podem ver problemas com a Gestão de Privilégios de Ponto Final

O Endpoint Privilege Management utiliza uma conta isolada para facilitar as elevações. Esta conta requer a capacidade de criar uma sessão de início de sessão interativa. As organizações que limitam a capacidade de os utilizadores criarem sessões interativas têm de fazer alterações para que o EPM funcione corretamente.

Os utilizadores que pedem a aprovação de suporte para elevação têm de ser o utilizador principal no dispositivo

Atualmente, a Gestão de Privilégios de Ponto Final requer que o utilizador que pede uma elevação seja o utilizador principal do dispositivo. Estamos a trabalhar para remover esta limitação numa versão futura.

Criar ficheiros com um nome de ficheiro como um dos únicos atributos para identificação

O nome de ficheiro é um atributo que pode ser utilizado para detetar uma aplicação que precisa de ser elevada. No entanto, não está protegido pela assinatura do ficheiro.

Os nomes de ficheiro são altamente suscetíveis a alterações e os ficheiros assinados com um certificado fidedigno podem ter o nome alterado para serem detetados e posteriormente elevados , o que pode não ser o comportamento pretendido.

Importante

Certifique-se sempre de que as regras, incluindo um nome de ficheiro, incluem outros atributos que fornecem uma forte asserção à identidade do ficheiro. Atributos como o hash de ficheiro ou as propriedades incluídas na assinatura de ficheiros são bons indicadores de que o ficheiro pretendido é provavelmente o que está a ser elevado.

As políticas de definições de elevação podem mostrar conflito se forem alteradas numa sucessão rápida

A Gestão de Privilégios de Ponto Final comunica o estado das definições individuais aplicadas com o perfil Definições de Elevação . Se as definições neste perfil (comportamento de elevação predefinido, por exemplo) forem alteradas várias vezes numa sucessão rápida, poderá resultar num conflito de relatórios de dispositivos ou reverter para o comportamento predefinido de Negar a elevação. Este é um estado transitório e é resolvido sem mais ações (em menos de 60 minutos). Este problema será corrigido numa versão futura.

Falha ao elevar os ficheiros bloqueados transferidos a partir da Internet

Existe um comportamento no Windows para definir um atributo em ficheiros que são transferidos diretamente a partir da Internet e impedi-los de serem executados até serem validados. O Windows tem funcionalidades para validar a reputação dos ficheiros transferidos a partir da Internet. Quando uma reputação de ficheiros não é validada, pode não conseguir elevar.

Para corrigir este comportamento, desbloqueie o ficheiro ao desbloquear o ficheiro no painel de propriedades do ficheiro. Desbloquear um ficheiro só deve ser feito quando confiar no ficheiro.

Os dispositivos Windows que estão "associados à área de trabalho" não permitem ativar a Gestão de Privilégios de Ponto Final

Os dispositivos associados à área de trabalho não são suportados pela Endpoint Privilege Management. Estes dispositivos não mostrarão políticas EPM de êxito ou de processo (definições de elevação ou regras de elevação) quando implementados no dispositivo.

As regras para um ficheiro de rede podem não ser elevadas

O Endpoint Privilege Management suporta a execução de ficheiros armazenados localmente no disco. A execução de ficheiros a partir de uma localização de rede, como uma partilha de rede ou uma unidade mapeada, não é suportada.

A Gestão de Privilégios de Ponto Final não recebe a política quando utilizo uma "inspeção SSL" na minha infraestrutura de rede

A Gestão de Privilégios de Ponto Final não suporta a inspeção SSL, conhecida como "interromper e inspecionar". Para utilizar a Gestão de Privilégios de Ponto Final, certifique-se de que os URLs listados nos Pontos Finais do Intune para a Gestão de Privilégios de Ponto Final estão isentos de inspeção.

Perguntas frequentes

Porque é que o meu dispositivo virtual não está a integrar na Gestão de Privilégios de Ponto Final?

Atualmente, a Gestão de Privilégios de Ponto Final não é suportada com o Azure Virtual Desktop. Este problema será corrigido na versão futura.

O suporte para o Windows 365 (Cloud PCs) foi adicionado em setembro de 2023.

Porque é que a minha política de definições de elevação está a mostrar o erro/não aplicável?

A política de definições de elevação controla a ativação do EPM e a configuração dos componentes do lado do cliente. Quando esta política está em erro ou não é aplicável, indica que o dispositivo tinha um problema ao ativar o EPM. Os dois motivos mais comuns são a falta das atualizações necessárias do Windows ou a falha de comunicação com os Pontos Finais do Intune necessários para a Gestão de Privilégios de Ponto Final.

O que acontece quando alguém com privilégios administrativos utiliza um dispositivo que está ativado para o EPM?

A Gestão de Privilégios de Ponto Final não gere pedidos de elevação por utilizadores com permissões administrativas num dispositivo. Pode haver instâncias em que um administrador inicia um ficheiro que tem uma regra de elevação (especificamente uma regra de elevação automática) definida no dispositivo. Esta aplicação é iniciada como normalmente faz para o administrador e um evento para uma elevação não gerida será gerado pelo EPM.

Que ficheiros podem ser elevados para administrador?

O Endpoint Privilege Management suporta ficheiros executáveis, incluindo os que têm a extensão e .ps1 os .msi scripts do PowerShell.

Por que motivo "Executar com acesso elevado" não é apresentado nos itens do menu Iniciar?

Determinados itens que residem no menu Iniciar ou na barra de tarefas têm um menu de contexto organizado e o menu de contexto do clique com o botão direito do rato do EPM não pode ser adicionado a esses menus. Planeamos corrigir este problema numa versão futura.

Posso iniciar vários ficheiros conforme elevado com o menu de contexto "Executar com acesso elevado"?

Apenas um ficheiro pode ser elevado de cada vez. Para iniciar múltiplos ficheiros elevados, clique com o botão direito do rato em cada ficheiro individualmente e selecione Executar com acesso elevado.

Próximas etapas