Använda Endpoint Privilege Management med Microsoft Intune

Artikel
04/03/2024

Obs!

Den här funktionen är tillgänglig som ett Intune tillägg. Mer information finns i Använda Intune Suite-tilläggsfunktioner.

Med Microsoft Intune Endpoint Privilege Management (EPM) kan organisationens användare köras som standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.

Endpoint Privilege Management stöder din Nolltillit resa genom att hjälpa din organisation att uppnå en bred användarbas som körs med minsta möjliga behörighet, samtidigt som användarna fortfarande kan köra uppgifter som tillåts av din organisation för att förbli produktiva. Mer information finns i Nolltillit med Microsoft Intune.

Följande avsnitt i den här artikeln beskriver kraven för att använda EPM, ger en funktionell översikt över hur den här funktionen fungerar och introducerar viktiga begrepp för EPM.

Gäller för:

Windows 10
Windows 11

Förutsättningar

Licensiering

Endpoint Privilege Management kräver ytterligare en licens utöver Microsoft Intune Plan 1-licensen. Du kan välja mellan en fristående licens som bara lägger till EPM eller licensieraR EPM som en del av Microsoft Intune Suite. Mer information finns i Använda Intune Suite-tilläggsfunktioner.

Krav

Endpoint Privilege Management har följande krav:

Microsoft Entra ansluten eller Microsoft Entra hybridkopplad
Microsoft Intune registrering eller Microsoft Configuration Manager samhanterade enheter (inga arbetsbelastningskrav)
Operativsystem som stöds
Rensa siktlinjen (utan SSL-inspektion) till de slutpunkter som krävs

Obs!

Windows 365 (CloudPC) stöds med en operativsystemversion som stöds
Enheter för arbetsplatsanslutning stöds inte av Endpoint Privilege Management
Azure Virtual Desktop stöds inte av Endpoint Privilege Management

Endpoint Privilege Management stöder följande operativsystem:

Windows 11 version 23H2 (22631.2506 eller senare) med KB5031455
Windows 11 version 22H2 (22621.2215 eller senare) med KB5029351
Windows 11 version 21H2 (22000.2713 eller senare) med KB5034121
Windows 10 version 22H2 (19045.3393 eller senare) med KB5030211
Windows 10 version 21H2 (19044.3393 eller senare) med KB5030211

Viktigt

Principen för utökade inställningar visas som inte tillämplig för enheter som inte kör en version av operativsystemet som stöds.
Endpoint Privilege Management har några nya nätverkskrav, se Nätverksslutpunkter för Intune.

Komma igång med Endpoint Privilege Management

Endpoint Privilege Management (EPM) är inbyggt i Microsoft Intune, vilket innebär att all konfiguration har slutförts i Microsoft Intune Admin Center. När organisationer kommer igång med EPM använder de följande övergripande process:

Privilege Management för licensslutpunkt – Innan du kan använda principer för hantering av slutpunktsprivilegier måste du licensiera EPM i din klientorganisation som ett Intune tillägg. Licensieringsinformation finns i Använda Intune Suite-tilläggsfunktioner.
Distribuera en princip för höjningsinställningar – En princip för utökade privilegier aktiverar EPM på klientenheten. Med den här principen kan du också konfigurera inställningar som är specifika för klienten, men som inte nödvändigtvis är relaterade till utökade enskilda program eller uppgifter.
Distribuera principer för utökade privilegier – En princip för utökade privilegier länkar ett program eller en uppgift till en höjningsåtgärd. Använd den här principen för att konfigurera höjningsbeteendet för program som din organisation tillåter när programmen körs på enheten.

Viktiga begrepp för Hantering av slutpunktsprivilegier

När du konfigurerar inställningarna för utökade privilegier och principer för utökade privilegier som nämndes tidigare finns det några viktiga begrepp som hjälper dig att se till att du konfigurerar EPM för att uppfylla organisationens behov. Innan du distribuerar EPM i stor utsträckning bör följande begrepp förstås väl samt vilken effekt de har på din miljö:

Kör med förhöjd åtkomst – Ett snabbmenyalternativ med högerklicka som visas när EPM aktiveras på en enhet. När det här alternativet används kontrolleras principerna för enheters utökade behörighetsregler för att avgöra om och hur filen kan utökas så att den körs i en administrativ kontext. Om det inte finns någon tillämplig höjningsregel använder enheten standardkonfigurationerna för utökade privilegier enligt definitionen i principen för höjningsinställningar.
Filhöjnings- och utökade behörighetstyper – Med EPM kan användare utan administratörsbehörighet köra processer i den administrativa kontexten. När du skapar en höjningsregel tillåter den regeln att EPM skickar proxy till målet för regeln så att den körs med administratörsbehörighet på enheten. Resultatet är att programmet har fullständig administrativ kapacitet på enheten.

När du använder Endpoint Privilege Management finns det några alternativ för utökade privilegier:
- För regler för automatisk utökade privilegier höjer EPM automatiskt dessa program utan indata från användaren. Breda regler i den här kategorin kan ha stor inverkan på organisationens säkerhetsstatus.
- För användarbekrävda regler använder slutanvändarna en ny snabbmeny med högerklicka på Kör med förhöjd åtkomst. Användarbekräftande regler kräver att slutanvändaren uppfyller vissa ytterligare krav innan programmet tillåts höjas. Dessa krav ger ett extra skyddslager genom att göra så att användaren bekräftar att appen kommer att köras i en upphöjd kontext, innan höjningen sker.
- För godkända supportregler måste slutanvändarna skicka en begäran om att godkänna ett program. När begäran har skickats kan en administratör godkänna begäran. När begäran har godkänts meddelas slutanvändaren om att de kan slutföra höjningen på enheten. Mer information om hur du använder den här regeltypen finns i Support approved elevation requests (Support approved elevation requests
Obs!

Varje höjningsregel kan också ange beteendet för utökade privilegier för underordnade processer som den upphöjda processen skapar.
Underordnade processkontroller – När processer utökas av EPM kan du styra hur skapandet av underordnade processer styrs av EPM, vilket gör att du kan ha detaljerad kontroll över alla underprocesser som kan skapas av ditt upphöjda program.
Komponenter på klientsidan – Om du vill använda Endpoint Privilege Management etablerar Intune en liten uppsättning komponenter på enheten som tar emot principer för utökade privilegier och framtvingar dem. Intune etablerar komponenterna endast när en princip för utökade privilegier tas emot och principen uttrycker avsikten att aktivera hantering av slutpunktsprivilegier.
Inaktivera och avetablera – Som en komponent som installeras på en enhet kan Endpoint Privilege Management inaktiveras inifrån en princip för höjningsinställningar. Användning av principen för utökade privilegier krävs för att ta bort Hantering av slutpunktsprivilegier från en enhet.

När enheten har en princip för utökade privilegier som kräver att EPM inaktiveras inaktiveras Intune omedelbart komponenterna på klientsidan. EPM tar bort EPM-komponenten efter en period på sju dagar. Fördröjningen är att se till att tillfälliga eller oavsiktliga ändringar i principer eller tilldelningar inte resulterar i ometableringshändelserför massetablering / som kan ha en betydande inverkan på verksamheten.
Hanterade utökade privilegier jämfört med ohanterade utökade privilegier – Dessa termer kan användas i våra rapporterings- och användningsdata. Dessa termer refererar till följande beskrivningar:
- Hanterad höjning: Alla utökade privilegier som endpoint Privilege Management underlättar. Hanterade utökade privilegier omfattar alla höjda värden som EPM i slutänden underlättar för standardanvändaren. De här hanterade höjderna kan omfatta höjda värden som inträffar till följd av en höjdregel eller som en del av standardåtgärden för utökade privilegier.
- Ohanterad höjning: Alla filökningar som sker utan användning av Endpoint Privilege Management. Dessa utökade privilegier kan inträffa när en användare med administrativa rättigheter använder Windows-standardåtgärden Kör som administratör.

Rollbaserade åtkomstkontroller för Endpoint Privilege Management

Om du vill hantera Endpoint Privilege Management måste ditt konto tilldelas en roll för Intune rollbaserad åtkomstkontroll (RBAC) som innehåller följande behörighet med tillräcklig behörighet för att slutföra den önskade uppgiften:

Redigering av policy för slutpunktsprivilegier – Den här behörigheten krävs för att arbeta med principer eller data och rapporter för Endpoint Privilege Management och stöder följande rättigheter:
- Visa rapporter
- Läsa
- Create
- Update
- Radera
- Tilldela
Begäranden om utökade privilegier för slutpunktsprivilegier – Den här behörigheten krävs för att arbeta med begäranden om utökade privilegier som skickas av användare för godkännande och stöder följande rättigheter:
- Visa begäranden om utökade privilegier
- Ändra begäranden om utökade privilegier

Du kan lägga till den här behörigheten med en eller flera rättigheter till dina egna anpassade RBAC-roller eller använda en inbyggd RBAC-roll som är dedikerad för att hantera Endpoint Privilege Management:

Endpoint Privilege Manager – den här inbyggda rollen är dedikerad till att hantera hantering av slutpunktsprivilegier i Intune-konsolen. Den här rollen innehåller alla rättigheter för endpoint Privilege Management Policy Authoring och Endpoint Privilege Management Elevation Requests.
Endpoint Privilege Reader – Använd den här inbyggda rollen för att visa principer för hantering av slutpunktsprivilegier i Intune-konsolen, inklusive rapporter. Den här rollen innehåller följande rättigheter:
- Visa rapporter
- Läsa
- Visa begäranden om utökade privilegier

Förutom de dedikerade rollerna omfattar följande inbyggda roller för Intune även behörigheter för policyredigering av endpoint Privilege Management:

Endpoint Security Manager – Den här rollen innehåller alla rättigheter för policyredigering av slutpunktsprivilegier och begäranden om utökade privilegier för slutpunktsprivilegier.
Skrivskyddad operator – Den här rollen innehåller följande rättigheter:
- Visa rapporter
- Läsa
- Visa begäranden om utökade privilegier

Mer information finns i Rollbaserad åtkomstkontroll för Microsoft Intune.

EpmTools PowerShell-modul

Varje enhet som tar emot principer för hantering av slutpunktsprivilegier installerar EPM Microsoft Agent för att hantera dessa principer. Agenten innehåller PowerShell-modulen EpmTools , en uppsättning cmdletar som du kan importera till en enhet. Du kan använda cmdletarna från EpmTools för att:

Diagnostisera och felsöka problem med Endpoint Privilege Management.
Hämta filattribut direkt från en fil eller ett program som du vill skapa en identifieringsregel för.

Installera PowerShell-modulen EpmTools

EPM Tools PowerShell-modulen är tillgänglig från alla enheter som har tagit emot EPM-principen. Så här importerar du PowerShell-modulen EpmTools:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Följande är de tillgängliga cmdletarna:

Get-Policies: Hämtar en lista över alla principer som tas emot av Epm-agenten för en viss PolicyType (ElevationRules, ClientSettings).
Get-DeclaredConfiguration: Hämtar en lista över WinDC-dokument som identifierar de principer som är riktade till enheten.
Get-DeclaredConfigurationAnalysis: Hämtar en lista över WinDC-dokument av typen MSFTPolicies och kontrollerar om principen redan finns i Epm-agenten (bearbetad kolumn).
Get-ElevationRules: Fråga EpmAgent-uppslagsfunktionen och hämtar regler för angiven sökning och mål. Sökning stöds för FileName och CertificatePayload.
Get-ClientSettings: Bearbeta alla befintliga klientinställningar för att visa de effektiva klientinställningar som används av EPM-agenten.
Get-FileAttributes: Hämtar filattribut för en .exe fil och extraherar dess Publisher- och CA-certifikat till en angivna plats som kan användas för att fylla i egenskaper för utökade privilegier för ett visst program.

Mer information om varje cmdlet finns i filenreadme.txt från mappen EpmTools på enheten.