Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Microsoft Intune Hantering av slutpunktsprivilegier (EPM) kan organisationens användare köras som en standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Mer information finns i Översikt över EPM.
Gäller för:
- Windows
Om du vill konfigurera Hantering av slutpunktsprivilegier (EPM) på enheter distribuerar du princip för Inställningar för Windows-utökade privilegier till användare eller enheter:
- Aktivera eller inaktivera EPM på en enhet.
- Ange standardregler för begäranden om utökade privilegier för filer som inte matchar en regel för utökade privilegier.
- Konfigurera vilken information EPM rapporterar tillbaka till Intune.
När EPM är aktiverat C:\Program Files\Microsoft EPM Agent skapas mappen tillsammans med tjänsten Microsoft EPM Agent Service, som ansvarar för att bearbeta EPM-principerna.
Om princip för inställningar för Windows-utökade privilegier
Använd princip för inställningar för Windows-utökade privilegier när du vill:
Aktivera eller inaktivera Hantering av slutpunktsprivilegier på enheter. När EPM-komponenterna först aktiveras för EPM installeras de.
Om en enhet har EPM inaktiverats inaktiveras klientkomponenterna vid nästa principsynkronisering. Det är en fördröjning på sju dagar innan EPM-komponenterna tas bort. Fördröjningen bidrar till att minska den tid det tar att återställa EPM om en enhet av misstag har inaktiverat EPM eller om dess princip för utökade inställningar inte har tilldelats.
Ange ett standardsvar för utökade privilegier – Ange ett standardsvar för en begäran om utökade privilegier för alla filer som inte hanteras av en princip för utökade Windows-utökade privilegier. För att den här inställningen ska ha en effekt kan det inte finnas någon regel för programmet och en slutanvändare måste uttryckligen begära utökade privilegier via högerklicksmenyn Kör med förhöjd åtkomst . Som standard är det här alternativet inställt på Inte konfigurerat. Om ingen inställning har konfigurerats återgår EPM-komponenterna till den inbyggda standardinställningen, vilket är att neka alla begäranden.
Tips
Vi rekommenderar att du använder Kräv supportgodkännande eller Neka alla begäranden som standardhöjningssvar.
Alternativen är:
Neka alla begäranden (rekommenderas) – Det här alternativet blockerar åtgärden för att höja begäran för filer som inte har definierats i en princip för utökade Windows-behörighetsregler.
Kräv supportgodkännande (rekommenderas) – När supportgodkännande krävs måste en administratör granska begäranden om utökade privilegier innan höjningen tillåts.
Kräv användarbekräftelse – När användarbekräftelse krävs kan du välja mellan samma valideringsalternativ som finns för principen för Utökade Windows-regler.
Valideringsalternativ – Ange valideringsalternativ när standardhöjningssvaret definieras som Kräv användarbekräftelse. Alternativen är:
- Affärsmotivering – Det här alternativet kräver att slutanvändaren anger en motivering innan den slutför en höjning som underlättas av standardhöjningssvaret.
- Windows-autentisering – Det här alternativet kräver att slutanvändaren autentiserar innan de slutför en höjning som underlättas av standardhöjningssvaret.
Obs!
Flera valideringsalternativ kan väljas för att uppfylla organisationens behov. Om inga alternativ har valts måste användaren bara välja fortsätt för att slutföra höjningen.
Försiktighet
Standardhöjningssvaret gäller för alla filer som inte matchar en utökade privilegieringsregel, vilket innebär att inställningen Kräv användarbekräftelse tillåter att alla filer höjs som standard. Om du inte söker affärsmotiveringar eller uppmaningar om utökade autentiseringsuppgifter rekommenderar vi att du använder Neka alla begäranden eller Kräv supportgodkännande.
Skicka utökade data för rapportering – den här inställningen styr om enheten delar diagnostik- och användningsdata med Microsoft. Använd inställningen Rapporteringsomfång för att styra de data som samlas in.
Diagnostikdata används av Microsoft för att mäta hälsotillståndet för EPM-klientkomponenterna. Användningsdata används för att visa de utökade privilegier som sker i din klientorganisation. Mer information om datatyper och hur de lagras finns i Datainsamling och sekretess för Hantering av slutpunktsprivilegier.
Alternativen är:
- Ja – Det här alternativet skickar data till Microsoft baserat på inställningen Rapporteringsomfång .
- Nej – Det här alternativet skickar inte data till Microsoft.
Rapporteringsomfång – Den här inställningen styr mängden data som skickas till Microsoft när Skicka utökade data för rapportering har angetts till Ja. Som standard väljs *Diagnostikdata och alla slutpunktshöjningar.
Alternativen är:
- Endast diagnostikdata och hanterade utökade privilegier – Det här alternativet skickar diagnostikdata till Microsoft om hälsotillståndet för klientkomponenterna OCH data om utökade privilegier som underlättas av Hantering av slutpunktsprivilegier.
- Diagnostikdata och alla slutpunktshöjningar – Det här alternativet skickar diagnostikdata till Microsoft om hälsotillståndet för klientkomponenterna OCH data om alla utökade privilegier som sker på slutpunkten.
- Endast diagnostikdata – Det här alternativet skickar endast diagnostikdata till Microsoft om klientkomponenternas hälsa.
Skapa en princip för inställningar för Windows-utökade privilegier
Logga in på Microsoft Intune administrationscenter och gå till Slutpunktssäkerhet>Hantering av slutpunktsprivilegier> välj fliken >Principer och välj sedan Skapa princip. Ange principen Plattform till Windows, Profil till Inställningar för Windows-utökade privilegier och välj sedan Skapa.
I Grundläggande anger du följande egenskaper:
- Namn: Ange ett beskrivande namn på profilen. Namnge profiler så att du enkelt kan identifiera dem senare.
- Beskrivning: Ange en beskrivning för profilen. Den här inställningen är valfri men rekommenderas.
I Konfigurationsinställningar konfigurerar du följande för att definiera standardbeteenden för begäranden om utökade privilegier på en enhet:
Hantering av slutpunktsprivilegier: Ange till Aktiverad (standard). När aktiverad använder en enhet Hantering av slutpunktsprivilegier. När inställningen är Inaktiverad använder enheten inte Hantering av slutpunktsprivilegier och inaktiverar omedelbart EPM om den tidigare var aktiverad. Efter sju dagar avetableras komponenterna för Hantering av slutpunktsprivilegier.
Standardsvar för utökade privilegier: Konfigurera hur den här enheten hanterar begäranden om utökade privilegier för filer som inte matchar en regel:
Inte konfigurerad: Det här alternativet fungerar på samma sätt som Neka alla begäranden.
Neka alla begäranden: EPM underlättar inte höjningen av filer och användaren visas ett popup-fönster med information om nekandet. Den här konfigurationen förhindrar inte att användare med administratörsbehörighet använder Kör som administratör för att köra ohanterade filer.
Kräv supportgodkännande: Det här beteendet instruerar EPM att uppmana användaren att skicka en supportgodkänd begäran.
Kräv användarbekräftelse: Användaren får en enkel uppmaning om att bekräfta sin avsikt att köra filen. Du kan också kräva fler frågor som är tillgängliga i listrutan Validering :
- Affärsmotivering: Kräv att användaren anger en motivering för att köra filen. Det finns inget format som krävs för den här motiveringen. Användarindata sparas och kan granskas via loggar om rapportomfånget innehåller en samling slutpunktshöjningar.
- Windows-autentisering: Det här alternativet kräver att användaren autentiserar med sina organisationsautentiseringsuppgifter.
Försiktighet
Standardhöjningssvaret gäller för alla filer som inte matchar en utökade privilegieringsregel, vilket innebär att inställningen Kräv användarbekräftelse tillåter att alla filer höjs som standard. Om du inte söker ytterligare gransknings- eller autentiseringsuppgifter rekommenderar vi att du använder Neka alla begäranden eller Kräv supportgodkännande.
Skicka utökade data för rapportering: Som standard är det här beteendet inställt på Ja. När värdet är ja kan du sedan konfigurera ett rapporteringsomfång. När värdet är Nej rapporterar inte en enhet diagnostikdata eller information om filökningar till Intune.
Rapporteringsomfång: Välj vilken typ av information en enhet ska Intune:
Diagnostikdata och alla slutpunktshöjningar (standard): Enheten rapporterar diagnostikdata och information om alla filökningar som EPM underlättar.
Den här informationsnivån kan hjälpa dig att identifiera andra filer som ännu inte hanteras av en regel för utökade privilegier som användarna försöker köra i en upphöjd kontext.
Endast diagnostikdata och hanterade utökade privilegier: Enheten rapporterar diagnostikdata och information om filökningar som styrs av EPM. EPM-höjderna omfattar utökade privilegier som matchar en höjningsregel eller initieras av snabbmenyn Kör med förhöjd åtkomst . Filbegäranden för ohanterade filer och filer som är upphöjda via Windows-standardåtgärden Kör som administratör rapporteras inte som hanterade utökade privilegier.
Endast diagnostikdata: Endast diagnostikdata för driften av Hantering av slutpunktsprivilegier samlas in. Information om filökningar rapporteras inte till Intune.
När du är klar väljer du Nästa för att fortsätta.
På sidan Omfångstaggar väljer du önskade omfångstaggar som ska tillämpas och väljer sedan Nästa.
För Tilldelningar väljer du de grupper som tar emot principen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.
Granska inställningarna för Granska + skapa och välj sedan Skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i principlistan.
