Поделиться через


Использование управления привилегиями конечных точек с Microsoft Intune

Примечание.

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и выполнение определенных средств диагностики Windows.

Endpoint Privilege Management поддерживает путь "Никому не доверяй" , помогая вашей организации достичь широкой базы пользователей с минимальными привилегиями, позволяя пользователям по-прежнему выполнять задачи, разрешенные вашей организацией, чтобы оставаться продуктивными. Дополнительные сведения см. в статье Никому не доверяй с Помощью Microsoft Intune.

В следующих разделах этой статьи рассматриваются требования к использованию EPM, приводятся общие сведения о том, как работает эта возможность, а также приводятся важные понятия для EPM.

Применимо к:

  • Windows 10
  • Windows 11

Предварительные требования

Лицензирование

Для управления привилегиями конечных точек требуется дополнительная лицензия за пределами лицензии Плана 1 Microsoft Intune . Вы можете выбрать между автономной лицензией, которая добавляет только EPM, или лицензией EPM в составе Microsoft Intune Suite. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

Требования

Управление привилегиями конечных точек имеет следующие требования:

  • Присоединение к Microsoft Entra или гибридное присоединение к Microsoft Entra
  • Регистрация Microsoft Intune илисовместно управляемые устройства Microsoft Configuration Manager (без требований к рабочей нагрузке)
  • Поддерживаемая операционная система
  • Четкое представление (без проверки SSL) к требуемым конечным точкам

Примечание.

  • Windows 365 (CloudPC) поддерживается с использованием поддерживаемой версии операционной системы
  • Управление привилегиями конечных точек не поддерживает устройства с присоединением к рабочему месту
  • Управление привилегиями конечных точек не поддерживает Виртуальный рабочий стол Azure

Endpoint Privilege Management поддерживает следующие операционные системы:

  • Windows 11 версии 23H2 (22631.2506 или более поздней) с KB5031455
  • Windows 11 версии 22H2 (22621.2215 или более поздней) с KB5029351
  • Windows 11 версии 21H2 (22000.2713 или более поздней) с KB5034121
  • Windows 10 версии 22H2 (19045.3393 или более поздней) с KB5030211
  • Windows 10 версии 21H2 (19044.3393 или более поздней) с KB5030211

Важно!

  • Политика параметров повышения прав будет отображаться как неприменимая для устройств, на которые не установлена поддерживаемая версия операционной системы.
  • Управление привилегиями конечных точек имеет некоторые новые требования к сети. См. раздел Сетевые конечные точки для Intune.

Поддержка облака для государственных организаций

Управление привилегиями конечных точек поддерживается в следующих национальных облачных средах:

  • Облако сообщества государственных организаций США (GCC) High
  • Министерство обороны США (DoD)

Дополнительные сведения см. в статье Описание службы GCC microsoft Intune для государственных организаций США.

Начало работы с управлением привилегиями конечных точек

Управление привилегиями конечных точек (EPM) встроено в Microsoft Intune, что означает, что вся конфигурация выполняется в Центре администрирования Microsoft Intune. Когда организации приступить к работе с EPM, они используют следующий высокоуровневый процесс:

  • Управление привилегиями конечных точек лицензий . Прежде чем использовать политики управления привилегиями конечных точек, необходимо лицензировать EPM в клиенте как надстройку Intune. Сведения о лицензировании см. в статье Использование возможностей надстроек Intune Suite.

  • Развертывание политики параметров повышения прав. Политика параметров повышения прав активирует EPM на клиентском устройстве. Эта политика также позволяет настраивать параметры, характерные для клиента, но не обязательно связанные с повышением прав отдельных приложений или задач.

  • Развертывание политик правил повышения прав. Политика правила повышения прав связывает приложение или задачу с действием повышения прав. Используйте эту политику, чтобы настроить поведение повышения прав для приложений, разрешенных вашей организацией при запуске приложений на устройстве.

Важные понятия для управления привилегиями конечных точек

При настройке параметров повышения прав и политик правил повышения прав , упомянутых ранее, необходимо понимать некоторые важные понятия, позволяющие настроить EPM в соответствии с потребностями вашей организации. Прежде чем широко развертывать EPM, должны быть хорошо изучены следующие понятия, а также их влияние на вашу среду:

  • Запуск с повышенным уровнем доступа — контекстное меню, которое появляется при активации EPM на устройстве. Если используется этот параметр, политики правил повышения прав устройств проверяются на соответствие, чтобы определить, можно ли и как этот файл быть повышен для запуска в административном контексте. Если применимое правило повышения прав отсутствует, устройство использует конфигурации повышения прав по умолчанию, определенные политикой параметров повышения прав.

  • Типы повышения прав и прав файлов — EPM позволяет пользователям без прав администратора запускать процессы в контексте администрирования. При создании правила повышения прав это правило позволяет EPM проксировать целевой объект этого правила с правами администратора на устройстве. В результате приложение имеет полные административные возможности на устройстве.

    При использовании Endpoint Privilege Management существует несколько вариантов поведения повышения прав:

    • Для правил автоматического повышения прав EPM автоматически повышает уровень этих приложений без ввода со стороны пользователя. Широкие правила в этой категории могут оказывать широкое влияние на состояние безопасности организации.
    • Для правил, подтвержденных пользователем, пользователи используют новое контекстное меню Запуск с повышенным доступом. Правила, подтвержденные пользователем, требуют, чтобы пользователь выполнил некоторые дополнительные требования, прежде чем приложение сможет повысить уровень. Эти требования обеспечивают дополнительный уровень защиты, заставляя пользователя признать, что приложение будет работать в контексте с повышенными привилегиями, прежде чем произойдет повышение прав.
    • Для поддержки утвержденных правил конечные пользователи должны отправить запрос на утверждение приложения. После отправки запроса администратор может утвердить его. После утверждения запроса пользователь получает уведомление о том, что он может выполнить повышение прав на устройстве. Дополнительные сведения об использовании этого типа правила см. в разделе Поддержка утвержденных запросов на повышение прав.

    Примечание.

    Каждое правило повышения прав также может задать поведение повышения прав для дочерних процессов, создаваемых процессом с повышенными привилегиями.

  • Элементы управления дочерними процессами . Когда EPM повышает уровень процессов, вы можете контролировать, как создание дочерних процессов управляется EPM, что позволяет иметь детальный контроль над любыми подпроцессами, которые могут быть созданы приложением с повышенными привилегиями.

  • Компоненты на стороне клиента . Чтобы использовать Endpoint Privilege Management, Intune подготавливает на устройстве небольшой набор компонентов, которые получают политики повышения прав и применяет их. Intune подготавливает компоненты только при получении политики параметров повышения прав, а политика выражает намерение включить управление привилегиями конечных точек.

  • Отключение и отзыв . Как компонент, устанавливаемый на устройстве, управление привилегиями конечных точек можно отключить в политике параметров повышения прав. Использование политики параметров повышения прав требуется для удаления управления привилегиями конечных точек с устройства.

    После того как на устройстве появится политика параметров повышения прав, требующая отключения EPM, Intune немедленно отключает клиентские компоненты. EPM удалит компонент EPM через семь дней. Задержка заключается в том, чтобы временные или случайные изменения в политике или назначениях не привели к массовым событиям отмены подготовки/повторной подготовки , которые могут оказать существенное влияние на бизнес-операции.

  • Управляемые и неуправляемые повышения прав. Эти термины могут использоваться в наших отчетах и данных об использовании. Эти термины относятся к следующим описаниям:

    • Управляемое повышение прав: любое повышение прав, которое упрощает управление привилегиями конечных точек. Управляемые повышения прав включают все повышения прав, которые EPM в конечном итоге облегчает для обычного пользователя. Эти управляемые повышения прав могут включать повышения прав, которые происходят в результате правила повышения прав или в рамках действия по повышению прав по умолчанию.
    • Неуправляемое повышение прав: все повышения прав файлов, которые происходят без использования управления привилегиями конечных точек. Это может произойти, когда пользователь с правами администратора использует действие Windows по умолчанию запуск от имени администратора.

Управление доступом на основе ролей для управления привилегиями конечных точек

Для управления конечной точкой Privilege Management вашей учетной записи должна быть назначена роль управления доступом на основе ролей Intune (RBAC), которая включает следующее разрешение с достаточными правами для выполнения требуемой задачи:

  • Разработка политики управления привилегиями конечных точек . Это разрешение требуется для работы с политикой или данными и отчетами для управления привилегиями конечных точек и поддерживает следующие права:

    • Просмотр отчетов
    • Чтение
    • Create
    • Обновление
    • Удалить
    • Назначение
  • Запросы на повышение прав конечных точек. Это разрешение требуется для работы с запросами на повышение прав, которые отправляются пользователями на утверждение, и поддерживает следующие права:

    • Просмотр запросов на повышение прав
    • Изменение запросов на повышение прав

Вы можете добавить это разрешение с одним или несколькими правами для собственных пользовательских ролей RBAC или использовать встроенную роль RBAC, предназначенную для управления доступом к конечным точкам:

  • Endpoint Privilege Manager — эта встроенная роль предназначена для управления привилегиями конечных точек в консоли Intune. Эта роль включает все права для разработки политики управления привилегиями конечных точек и запросов на повышение привилегий конечной точки.

  • Читатель привилегий конечной точки . Используйте эту встроенную роль для просмотра политик управления привилегиями конечных точек в консоли Intune, включая отчеты. Эта роль включает следующие права:

    • Просмотр отчетов
    • Чтение
    • Просмотр запросов на повышение прав

Помимо выделенных ролей, следующие встроенные роли для Intune также включают права на создание политики управления привилегиями конечных точек:

  • Endpoint Security Manager . Эта роль включает все права для разработки политики управления привилегиями конечных точек и запросов на повышение прав конечных точек.

  • Оператор только для чтения . Эта роль включает следующие права:

    • Просмотр отчетов
    • Чтение
    • Просмотр запросов на повышение прав

Дополнительные сведения см. в статье Управление доступом на основе ролей для Microsoft Intune.

Модуль PowerShell EpmTools

Каждое устройство, получающее политики управления привилегиями конечных точек, устанавливает агент Microsoft EPM для управления этими политиками. Агент включает модуль EpmTools PowerShell, набор командлетов, которые можно импортировать на устройство. Командлеты из EpmTools можно использовать для:

  • Диагностика и устранение неполадок с управлением привилегиями конечных точек.
  • Получите атрибуты файла непосредственно из файла или приложения, для которых требуется создать правило обнаружения.

Установка модуля PowerShell EpmTools

Модуль PowerShell инструментов EPM доступен с любого устройства, на которое была получена политика EPM. Чтобы импортировать модуль PowerShell EpmTools, выполните следующие действия:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Ниже приведены доступные командлеты.

  • Get-Policies. Извлекает список всех политик, полученных агентом Epm для заданного PolicyType (ElevationRules, ClientSettings).
  • Get-DeclaredConfiguration. Извлекает список документов WinDC, определяющих политики, предназначенные для устройства.
  • Get-DeclaredConfigurationAnalysis: извлекает список документов WinDC типа MSFTPolicies и проверяет, присутствует ли политика в агенте Epm (обработанный столбец).
  • Get-ElevationRules: запрос функции подстановки EpmAgent и извлекает правила, заданные подстановкой и целевым объектом. Подстановка поддерживается для FileName и CertificatePayload.
  • Get-ClientSettings. Обработайте все существующие политики параметров клиента, чтобы отобразить действующие параметры клиента, используемые агентом EPM.
  • Get-FileAttributes. Извлекает атрибуты файла для файла .exe и извлекает его сертификаты издателя и ЦС в заданное расположение, которое можно использовать для заполнения свойств правила повышения прав для конкретного приложения.

Дополнительные сведения о каждом командлете см. в файле readme.txt из папки EpmTools на устройстве.

Дальнейшие действия