Dela via


Distributionsöverväganden och vanliga frågor och svar om Hantering av slutpunktsprivilegier

Obs!

Den här funktionen är tillgänglig som ett Intune-tillägg. Mer information finns i Använda intune Suite-tilläggsfunktioner.

Med Microsoft Intune Endpoint Privilege Management (EPM) kan organisationens användare köras som standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.

Endpoint Privilege Management stöder din resa utan förtroende genom att hjälpa din organisation att uppnå en bred användarbas som körs med minsta möjliga behörighet, samtidigt som användarna fortfarande kan köra uppgifter som tillåts av din organisation för att förbli produktiva.

I följande avsnitt i den här artikeln beskrivs distributionsöverväganden och vanliga frågor och svar om EPM.

Gäller för:

  • Windows 10
  • Windows 11

Distributionsöverväganden för Hantering av slutpunktsprivilegier

Windows 10-enheter kanske inte omedelbart får bekräftelse av supportgodkännanden

Vi arbetar med att lösa några scenarier som förhindrar att Windows 10-enheter automatiskt får meddelandet att ett nytt godkännande är klart för enheten när du använder stöd för godkända utökade privilegier. Vi arbetar med ägaren för att lösa detta så snabbt som möjligt.

Organisation som inaktiverar UAC (User Account Control) kan uppleva problem med hantering av slutpunktsprivilegier

Endpoint Privilege Management stöder inte att UAC uttryckligen inaktiveras. Windows-principkontroller för UAC-promptbeteende finns för att styra beteendet för UAC. Om organisationer vidtar extra åtgärder för att inaktivera UAC utanför de befintliga principkontrollerna, som att inaktivera Windows-tjänster, kan det uppstå problem med Endpoint Privilege Management.

Organisationer som använder Programkontroll för företag kan uppleva problem med att köra Endpoint Privilege Management

Programkontroll för affärsprinciper som inte tar hänsyn till EPM-klientkomponenterna kan förhindra att EPM-komponenterna fungerar. För att kunna använda EPM med AppControl kontrollerar du att din programkontrollprincip innehåller regler som gör att EPM kan fungera. Mer information om hur du felsöker programkontroll finns i WDAC-felsökning och felsökning.

Obs!

EPM ingår inte i standardprinciperna för programkontroll och kan kräva att anpassade principer skapas.

Organisationer som begränsar användare som kan logga in interaktivt kan se problem med Endpoint Privilege Management

Endpoint Privilege Management använder ett isolerat konto för att underlätta utökade privilegier. Det här kontot kräver möjligheten att skapa en interaktiv inloggningssession. Organisationer som begränsar möjligheten för användare att skapa interaktiva sessioner måste göra ändringar för att EPM ska fungera korrekt.

Användare som begär supportgodkännande för utökade privilegier måste vara den primära användaren på enheten

Endpoint Privilege Management kräver för närvarande att användaren begär en höjning för att vara enhetens primära användare. Vi arbetar med att ta bort den här begränsningen i en framtida version.

Redigera filer med ett filnamn som ett av de enda attributen för identifiering

Filnamn är ett attribut som kan användas för att identifiera ett program som behöver utökas. Den skyddas dock inte av filens signatur.

Filnamn är mycket känsliga för ändringar, och filer som är signerade med ett certifikat som du litar på kan få deras namn ändrat för att identifieras och senare höjas , vilket kanske inte är ditt avsedda beteende.

Viktigt

Se alltid till att regler inklusive ett filnamn innehåller andra attribut som ger en stark försäkran om filens identitet. Attribut som filhash eller egenskaper som ingår i filsignaturen är bra indikatorer på att den fil som du avser sannolikt är den som höjs.

Principer för höjdinställningar kan visa konflikter om de ändras i snabb följd

Endpoint Privilege Management rapporterar status för enskilda inställningar som tillämpas med hjälp av profilen Förhöjda inställningar . Om inställningarna i den här profilen (standardbeteendet för utökade privilegier till exempel) ändras flera gånger i snabb följd kan det leda till en konflikt i enhetsrapportering eller att standardbeteendet att neka höjningen återgår till standardbeteendet . Det här är ett tillfälligt tillstånd och löses utan ytterligare åtgärder (på mindre än 60 minuter). Det här problemet kommer att åtgärdas i en framtida version.

Blockerade filer som laddats ned från Internet kan inte höjas

Beteendet finns i Windows för att ange ett attribut för filer som laddas ned direkt från Internet och förhindra att de körs tills de verifieras. Windows har funktioner för att verifiera ryktet för filer som laddats ned från Internet. När ett filrykte inte verifieras kan det hända att det inte höjs.

Du kan åtgärda detta genom att avblockera filen genom att avblockera filen från fönstret filegenskaper. Avblockering av en fil bör endast göras när du litar på filen.

Windows-enheter som är "anslutna till arbetsplatsen" kan inte aktivera Hantering av slutpunktsprivilegier

Enheter som är anslutna till arbetsplatsen stöds inte av Endpoint Privilege Management. Dessa enheter visar inte lyckade eller processbaserade EPM-principer (utökade inställningar eller regler för utökade privilegier) när de distribueras till enheten.

Regler för en nätverksfil kan misslyckas med att höjas

Endpoint Privilege Management stöder körning av filer som lagras lokalt på disk. Det går inte att köra filer från en nätverksplats, till exempel en nätverksresurs eller mappad enhet.

Endpoint Privilege Management tar inte emot principen när jag använder en "SSL-inspektion" i min nätverksinfrastruktur

Endpoint Privilege Management stöder inte SSL-inspektion, vilket kallas "bryt och inspektera". För att kunna använda Endpoint Privilege Management kontrollerar du att url:erna som anges i Intune-slutpunkterna för Endpoint Privilege Management är undantagna från inspektion.

Vanliga frågor och svar

Varför registreras inte min virtuella enhet i Endpoint Privilege Management?

För närvarande stöds inte Endpoint Privilege Management med Azure Virtual Desktop. Det här problemet kommer att åtgärdas i framtida versioner.

Stöd för Windows 365 (molndatorer) lades till i september 2023.

Varför visas min princip för höjdinställningar som fel/inte tillämplig?

Principen för utökade inställningar styr aktiveringen av EPM och konfigurationen av komponenterna på klientsidan. När den här principen är felaktig eller inte är tillämplig anger den att enheten hade problem med att aktivera EPM. De två vanligaste orsakerna är att de nödvändiga Windows-uppdateringarna saknas eller att det inte går att kommunicera med nödvändiga Intune-slutpunkter för Endpoint Privilege Management.

Vad händer när någon med administratörsbehörighet använder en enhet som är aktiverad för EPM?

Endpoint Privilege Management hanterar inte begäranden om utökade privilegier för användare som har administratörsbehörighet på en enhet. Det kan finnas instanser där en administratör startar en fil som har en regel för utökade privilegier (särskilt en regel för automatisk höjning) som definieras på enheten. Det här programmet startas som vanligt för administratören och en händelse för ohanterad höjning genereras av EPM.

Vilka filer kan utökas till administratör?

Endpoint Privilege Management stöder körbara filer, inklusive filer med .msi tillägget och .ps1 PowerShell-skript.

Varför visas inte "Kör med förhöjd åtkomst" på Start-menyalternativ?

Vissa objekt som finns i Start-menyn eller aktivitetsfältet har en kurerad snabbmeny och snabbmenyn EPM-högerklicka kan inte läggas till i dessa menyer. Vi planerar att åtgärda det här problemet i en framtida version.

Kan jag starta flera filer som upphöjda med snabbmenyn "Kör med förhöjd åtkomst"?

Endast en fil kan höjas i taget. Om du vill starta flera upphöjda filer högerklickar du på varje fil individuellt och väljer Kör med förhöjd åtkomst.

Nästa steg