Uç Nokta Ayrıcalık Yönetimi Dağıtımı Planlama ve Hazırlama

Not

Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Microsoft Intune Uç Nokta Ayrıcalık Yönetimi (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Daha fazla bilgi için bkz. EPM'ye Genel Bakış.

Şunlar için geçerlidir:

  • Windows

Bu makalede gereksinimler, önemli kavramlar, güvenlik önerileri ve rol tabanlı erişim denetimi gibi Uç Nokta Ayrıcalık Yönetimi (EPM) dağıtımını planlamak için gereken bilgiler ele alınmaktadır.

Planlama Denetim Listesi

  • Kiracınızdaki teknik ve lisans önkoşullarını gözden geçirin.
  • Bu kişilikler üzerinde mantıksal gruplandırma ile kurallar oluşturmanıza olanak tanımak için hedef kullanıcı kişiliklerinizi tanımlayın.
  • Aşağıdakiler dahil olmak üzere yükseltme ayarlarını ve yükseltme kuralları ilkelerini iyi anladığınızdan emin olun:
    • Varsayılan yükseltme ayarları ve tanılama verileri toplama.
    • Dosya karması, meta veriler veya sertifikalar kullanarak yükseltme dosyaları tanımlama.
    • Sertifika kurallarının, bu sertifika tarafından imzalanan tüm uygulamaların yükseltebilmesine nasıl izin verdiği. Tüm uygulamalarını aynı sertifikayla imzalayan satıcılar için dikkatli olun.
    • Kural bağımsız değişkeni desteği ve alt işlem davranışı seçenekleri.
    • Yükseltme türleri.
    • Çakışan kural atamalarınız olduğunda kural çakışmalarının nasıl işlenme şekli.
  • Kuruluşunuz ve kullanıcı kişilikleri için güvenlik ve esneklik arasında doğru dengeyi bulun.
  • Sağlam bir dağıtım stratejisine sahip olduğunuzdan emin olun. Bu, paydaş yönetimini, son kullanıcı iletişim ve eğitim planlarını ve izlemeyi içerir.

Önkoşullar

✅ EPM için neye ihtiyacınız olduğunu öğrenin

Lisanslama

Uç Nokta Ayrıcalık Yönetimi, Microsoft Intune Plan 1 lisansının ötesinde bir eklenti lisansı gerektirir. Yalnızca EPM ekleyen tek başına lisans veya Microsoft Intune Suite parçası olarak EPM lisansı arasından seçim yapabilirsiniz. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Gereksinimler

Uç Nokta Ayrıcalık Yönetimi aşağıdaki gereksinimlere sahiptir:

  • Microsoft Entra katılmış veya karma katılmış Microsoft Entra
  • Microsoft Intune Kaydı veyaortak yönetilen cihazları Microsoft Configuration Manager (iş yükü gereksinimi yok)
  • Desteklenen İşletim Sistemi
  • Gerekli uç noktaları görme çizgisini (SSL-İnceleme olmadan) temizleyin

Uç Nokta Ayrıcalık Yönetimi aşağıdaki işletim sistemlerini destekler:

  • Windows 11, sürüm 24H2
  • Windows 11, sürüm 23H2 (22631.2506 veya üzeri) ve KB5031455
  • Windows 11, sürüm 22H2 (22621.2215 veya üzeri) ve KB5029351
  • Windows 11, sürüm 21H2 (22000.2713 veya üzeri) ve KB5034121
  • Windows 10, sürüm 22H2 (19045.3393 veya üzeri) ve KB5030211
  • Windows 10, sürüm 21H2 (19044.3393 veya üzeri) ve KB5030211

Uç Nokta Ayrıcalık Yönetimi aşağıdaki sanal platformları destekler:

  • Azure Sanal Masaüstü (AVD) tek oturumlu sanal makineleri (VM)
  • Windows 365

Önemli

14 Ekim 2025'te Windows 10 destek sonuna ulaştı ve kalite ve özellik güncelleştirmelerini almayacak. Windows 10, Intune'da izin verilen bir sürümdür. Bu sürümü çalıştıran cihazlar hala Intune kaydolabilir ve uygun özellikleri kullanabilir, ancak işlevsellik garanti edilmeyecektir ve farklılık gösterebilir.

Önemli

  • Yükseltme ayarları ilkeleri, desteklenen bir işletim sistemi sürümünü çalıştırmayan cihazlar için 'uygulanamaz' olarak rapor verir.
  • Uç Nokta Ayrıcalık Yönetimi, Arm64 dahil olmak üzere yalnızca 64 bit İşletim Sistemi Mimarileriyle uyumludur.

Kamu bulutu desteği

Uç Nokta Ayrıcalık Yönetimi aşağıdaki bağımsız bulut ortamlarıyla desteklenir:

  • ABD Kamu Topluluk Bulutu (GCC) Yüksek
  • ABD Savunma Bakanlığı (DoD)

Daha fazla bilgi için bkz. US Government GCC hizmet açıklaması için Microsoft Intune.

Uç Nokta Ayrıcalık Yönetimi için önemli kavramlar

Daha önce bahsedilen yükseltme ayarlarını ve yükseltme kuralları ilkelerini yapılandırdığınızda, EPM'yi kuruluşunuzun gereksinimlerini karşılayacak şekilde yapılandırmanızı sağlamaya yönelik bazı önemli kavramlar vardır. EPM'yi yaygın olarak dağıtmadan önce aşağıdaki kavramlar ve bunların ortamınız üzerindeki etkisi iyi anlaşılmalıdır:

  • Yükseltilmiş erişimle çalıştır - EpM bir cihazda etkinleştirildiğinde görüntülenen sağ tıklama bağlam menüsü seçeneği. Bu seçenek kullanıldığında, cihaz yükseltme kuralları ilkeleri, bu dosyanın yönetim bağlamında çalıştırılacak şekilde yükseltilip yükseltilemediğini ve nasıl yükseltilebileceğini belirlemek için bir eşleşme olup olmadığını belirler. Geçerli bir yükseltme kuralı yoksa, cihaz yükseltme ayarları ilkesi tarafından tanımlanan varsayılan yükseltme yapılandırmalarını kullanır.

  • Dosya yükseltme ve yükseltme türleri – EPM, yönetici ayrıcalıkları olmayan kullanıcıların işlemleri yönetim bağlamında çalıştırmasına olanak tanır. Bir yükseltme kuralı oluşturduğunuzda, bu kural EPM'nin cihazda yönetici ayrıcalıklarıyla çalışması için bu kuralın hedefine ara sunucu eklemesine izin verir. Sonuç, uygulamanın cihazda tam yönetim özelliğine sahip olmasıdır.

Geçerli kullanıcı olarak Yükseltme dışında, EPM işlemleri yükseltmek için bir sanal hesap kullanır. Bu, yükseltilmiş eylemleri kullanıcının profilinden yalıtarak kullanıcıya özgü verilere maruz kalma riskini azaltır ve ayrıcalık yükseltme riskini azaltır.

Uç Nokta Ayrıcalık Yönetimi kullandığınızda, yükseltme davranışı için birkaç seçenek vardır:

  • Otomatik: EpM, otomatik yükseltme kuralları için bu uygulamaları kullanıcıdan giriş yapmadan otomatik olarak yükseltir. Bu kategorideki geniş kurallar kuruluşun güvenlik duruşunu yaygın olarak etkileyebilir.

  • Kullanıcı onaylandı: Kullanıcı tarafından onaylanan kurallarla, son kullanıcılar yeni bir sağ tıklama bağlam menüsü Kullanır Yükseltilmiş erişimle çalıştır. Kullanıcı tarafından onaylanan kurallar, kimlik doğrulaması veya iş gerekçesiyle doğrulama da gerektirebilir. Doğrulama gerektirmek, kullanıcının yükseltmeyi onaylamasını sağlayarak ek bir koruma katmanı sağlar.

  • Geçerli kullanıcı olarak yükselt: Bu yükseltme türü, yükseltilmiş işlemi oturum açmış kullanıcının kendi hesabı altında çalıştırarak etkin kullanıcı profilini kullanan araçlar ve yükleyicilerle uyumluluğu korur. Bu, kullanıcının Windows Kimlik Doğrulaması için kimlik bilgilerini girmesini gerektirir. Bu, kullanıcının profil yollarını, ortam değişkenlerini ve kişiselleştirilmiş ayarları korur. Yükseltilmiş işlem, yükseltme öncesinde ve sonrasında aynı kullanıcı kimliğini koruduğundan, denetim izleri tutarlı ve doğru kalır.

    Ancak, yükseltilmiş işlem kullanıcının tam bağlamını devraldığından, bu mod daha geniş bir saldırı yüzeyi sağlar ve kullanıcı verilerinden yalıtımı azaltır.

    Önemli noktalar:

    • Uyumluluk gereksinimi: Bu modu yalnızca sanal hesap yükseltmesi uygulama hatalarına neden olduğunda kullanın.
    • Kapsam sıkı: Riski azaltmak için yükseltme kurallarını güvenilir ikili dosyalar ve yollar ile sınırlayın.
    • Güvenlik dezavantajı: Bu modun kullanıcıya özgü verilere maruz kalma oranını artırdığını anlayın.

    İpucu

    Uyumluluk sorun oluşturmadığında daha güçlü güvenlik için sanal hesap yükseltmesini kullanan bir yöntemi tercih edin.

  • Reddet: Reddetme kuralı, EPM'nin yükseltilmiş bağlamda çalışmasını engellediği bir dosyayı tanımlar. Reddetme kuralları bilinen dosyaların veya kötü amaçlı olabilecek yazılımların yükseltilmiş bir bağlamda çalıştırılmamasını sağlayabilir.

  • Destek onaylandı: Destek onaylı kurallar için, son kullanıcıların yükseltilmiş izinlere sahip bir uygulamayı çalıştırmak için bir istek göndermesi gerekir. İstek gönderildikten sonra, bir yönetici isteği onaylayabilir. İstek onaylandıktan sonra, son kullanıcıya cihazda yükseltmeyi yeniden deneyebileceği bildirilir. Bu kural türünü kullanma hakkında daha fazla bilgi için bkz . Onaylı yükseltme isteklerini destekleme

Not

Her yükseltme kuralı, yükseltilmiş işlemin oluşturduğu alt işlemler için yükseltme davranışını da ayarlayabilir.

  • Alt işlem denetimleri - İşlemler EPM tarafından yükseltildiğinde, alt işlemlerin oluşturulmasının EPM tarafından nasıl yönetildiğini denetleyebilirsiniz. Bu da yükseltilmiş uygulamanız tarafından oluşturulabilecek alt işlemler üzerinde ayrıntılı denetim sahibi olmanıza olanak tanır.

  • İstemci tarafı bileşenleri – Uç Nokta Ayrıcalık Yönetimi kullanmak için, Intune cihazda yükseltme ilkelerini alan ve bunları zorlayan küçük bir bileşen kümesi sağlar. Intune bileşenleri yalnızca bir yükseltme ayarları ilkesi alındığında sağlar ve ilke Uç Nokta Ayrıcalığı yönetimini etkinleştirme amacını ifade eder.

  • Yönetilen yükseltmeler ve yönetilmeyen yükseltmeler – Bu terimler raporlama ve kullanım verilerimizde kullanılabilir. Bu terimler aşağıdaki açıklamalara başvurur:

    • Yönetilen yükseltme: Uç Nokta Ayrıcalık Yönetimi kolaylaştıran tüm yükseltmeler. Yönetilen yükseltmeler, EPM'nin standart kullanıcı için kolaylaştırıcı olduğu tüm yükseltmeleri içerir. Bu yönetilen yükseltmeler, bir yükseltme kuralının sonucu olarak veya varsayılan yükseltme eyleminin bir parçası olarak gerçekleşen yükseltmeleri içerebilir.

    • Yönetilmeyen yükseltme: Uç Nokta Ayrıcalık Yönetimi kullanılmadan gerçekleşen tüm dosya yükseltmeleri. Bu yükseltmeler, yönetici haklarına sahip bir kullanıcı Yönetici olarak çalıştır'ın Windows varsayılan eylemini kullandığında oluşabilir.

EPM İlkeleri

✅ EPM ilke türlerini anlama

Uç Nokta Ayrıcalık Yönetimi, dosya yükseltme isteğinin nasıl işlendiğini yönetmek için yapılandırdığınız iki ilke türünü kullanır. İlkeler birlikte, standart kullanıcılar yönetim ayrıcalıklarıyla çalışmak istediğinde dosya yükseltmeleri davranışını yapılandırılır.

Bu ilkeler şunlardır:

  • Yükseltme ayarları ilkesi
  • Yükseltme kuralları ilkesi

EPM, birden çok kural veya kural ilkesinde başvurulabilen yayımcı sertifikalarını depolamak için yeniden kullanılabilir bir ayarlar grubunu da destekler.

Uç Nokta Ayrıcalık Yönetimi için ilke çakışması işleme

✅ İlke çakışmaları hakkında bilgi edinin

Aşağıdaki durumlar dışında, EPM için çakışan ilkeler diğer ilke çakışmaları gibi işlenir.

Windows yükseltme ayarları ilkesi:

Bir cihaz çakışan değerlerle iki ayrı yükseltme ayarı ilkesi aldığında, çakışma çözülene kadar EPM istemcisi varsayılan istemci davranışına geri döner.

Not

Uç Nokta Ayrıcalık Yönetimi Etkinleştir çakışıyorsa, istemcinin varsayılan davranışı EPM'yi etkinleştir'dir.

Windows yükseltme kuralları ilkesi:

Bir cihaz aynı uygulamayı hedefleyen iki kural alırsa, her iki kural da cihazda tüketilir. EPM, bir yükseltmeye uygulanan kuralları çözümlemeye gittiğinde aşağıdaki mantığı kullanır:

  • Reddetme yükseltme türüne sahip kurallar her zaman önceliklidir ve dosya yükseltmesi reddedilir.
  • Kullanıcıya dağıtılan kurallar, cihaza dağıtılan kurallardan önceliklidir.
  • Karma tanımlı kurallar her zaman en özel kural olarak kabul edilir.
  • Birden fazla kural uygulanırsa (karma tanımlanmamışsa), en tanımlı özniteliklere sahip kural kazanır (en özel).
  • Devam mantığının uygulanması birden fazla kuralla sonuçlanırsa, yükseltme davranışını aşağıdaki sırayla belirler: Kullanıcı onaylandı, Geçerli kullanıcı olarak yükselt, Destek onaylandı ve ardından Otomatik.

Not

Yükseltme için bir kural yoksa ve yükseltilmiş erişimle çalıştır sağ tıklama bağlam menüsü aracılığıyla bu yükseltme istendiyse , Varsayılan Yükseltme Davranışı kullanılır.

Uç Nokta Ayrıcalık Yönetimi ve Kullanıcı Hesabı Denetimi

✅ EPM ile Kullanıcı Hesabı Denetimi arasındaki etkileşimi anlama

Uç Nokta Ayrıcalık Yönetimi ve Windows yerleşik kullanıcı hesabı denetimi (UAC), farklı işlevlere sahip ayrı özelliklerdir.

Kullanıcıları standart kullanıcı olarak çalışacak şekilde taşırken ve Uç Nokta Ayrıcalık Yönetimi kullanırken standart kullanıcılar için varsayılan UAC davranışını değiştirmeyi seçebilirsiniz. Bu değişiklik, bir uygulama yükseltme gerektirdiğinde karışıklığı azaltabilir ve daha iyi bir son kullanıcı deneyimi oluşturabilir. Daha fazla bilgi için standart kullanıcılar için yükseltme isteminin davranışını inceleyin.

Not

Uç Nokta Ayrıcalık Yönetimi, cihazdaki bir Yönetici tarafından çalıştırılan kullanıcı hesabı denetim eylemleriyle (veya UAC) müdahale etmez.

Güvenlik önerileri

✅ EPM'yi kullanmanın en güvenli yolunu anlama

Uç Nokta Ayrıcalık Yönetimi güvenli bir şekilde dağıtılmasını sağlamaya yardımcı olmak için, yükseltme davranışını ve kurallarını yapılandırırken bu önerileri göz önünde bulundurun.

Güvenli bir varsayılan yükseltme yanıtı ayarlama

Varsayılan yükseltme yanıtınıKullanıcı onayıgerektir yerine Destek onayı gerektir veya Reddet olarak ayarlayın. Bu seçenekler, yükseltmenin bilinen ikili dosyalar için önceden tanımlanmış kurallarla denetlenmesini sağlayarak kullanıcıların rastgele veya kötü amaçlı olabilecek yürütülebilir dosyaları yükseltme riskini azaltır.

Tüm kural türlerinde dosya yolu kısıtlamaları gerektir

Yükseltme kuralı yapılandırırken gerekli bir Dosya yolu belirtin. Dosya yolu isteğe bağlı olsa da, yol standart kullanıcıların değiştiremeyebileceği bir konuma (güvenli sistem dizini gibi) işaret ettiğinde otomatik yükseltme veya joker karakter tabanlı öznitelikler kullanan kurallar için önemli bir güvenlik denetimi olabilir. Güvenli bir dosya konumunun kullanılması, yürütülebilir dosyaların veya bağımlı ikili dosyalarının yükseltilmeden önce değiştirilmesini veya değiştirilmesini önlemeye yardımcı olur.

Bu öneri, Yükseltme raporu veya destek onaylı istek ayrıntılarına göre otomatik olarak oluşturulan kurallar ve el ile oluşturduğunuz yükseltme kuralları için geçerlidir.

Önemli

Ağ paylaşımlarında bulunan Files desteklenmez ve kural tanımlarında kullanılmamalıdır.

Yükleyici ve çalışma zamanı yükseltmesini ayırt edin

Yükleyici dosyaları ve uygulama çalışma zamanı için yükseltme konusunda bilinçli olun. Yükleyicilerin yükseltilmesi, yetkisiz yazılım yüklemelerini önlemek için sıkı bir şekilde denetlenmelidir. Genel saldırı yüzeyini azaltmak için çalışma zamanı yükseltmesi en aza indirilmelidir.

Yüksek riskli uygulamalara daha katı kurallar uygulama

Web tarayıcıları ve PowerShell gibi daha geniş erişim veya betik oluşturma özelliklerine sahip uygulamalar için daha kısıtlayıcı yükseltme kuralları kullanın. PowerShell için, yalnızca güvenilen betiklerin yükseltilmiş ayrıcalıklarla çalışmasına izin verildiğinden emin olmak için betiklere özgü kuralları kullanmayı göz önünde bulundurun.

Üçüncü taraf bir üründen geçiş yaparken bile yeni bir başlangıç

EPM üçüncü taraf ürünlerden farklı çalışır ve sonuç olarak bir denetim ilkesiyle başlamanızı öneririz. Ardından, raporlardan yeni kurallar oluşturabilir ve bir dosyanın kuralı olmadığında ancak kullanıcının işini yapmak için bu dosyayı yükseltmesi gerektiğinde desteklenen yükseltmeden yararlanabilirsiniz.

Uç Nokta Ayrıcalık Yönetimi için rol tabanlı erişim denetimleri

✅ EPM'ye erişim temsilcisi atamayı öğrenin

Uç Nokta Ayrıcalık Yönetimi yönetmek için hesabınıza, istenen görevi tamamlamak için yeterli haklara sahip aşağıdaki izni içeren Intune rol tabanlı erişim denetimi (RBAC) rolü atanmalıdır:

  • Uç Nokta Ayrıcalık Yönetimi İlke Yazma – bu izin, Uç Nokta Ayrıcalık Yönetimi için ilke veya veri ve raporlarla çalışmak için gereklidir ve aşağıdaki hakları destekler:

    • Raporları Görüntüle
    • Okuma
    • Oluşturma
    • Güncelleştirme
    • Silme
    • Ata

  • Yükseltme İsteklerini Uç Nokta Ayrıcalık Yönetimi - Bu izin, kullanıcılar tarafından onay için gönderilen ve aşağıdaki hakları destekleyen destek onaylı yükseltme istekleriyle çalışmak için gereklidir:

    • Yükseltme isteklerini görüntüleme
    • Yükseltme isteklerini değiştirme

Bu izni kendi özel RBAC rollerinize bir veya daha fazla hakla ekleyebilir veya Uç Nokta Ayrıcalık Yönetimi yönetmek için ayrılmış yerleşik bir RBAC rolü kullanabilirsiniz:

  • Endpoint Privilege Manager – Bu yerleşik rol, Intune konsolunda Uç Nokta Ayrıcalık Yönetimi yönetmeye ayrılmıştır. Bu rol, Uç Nokta Ayrıcalık Yönetimi İlkesi Yazma ve Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri için tüm hakları içerir.

  • Uç Nokta Ayrıcalık Okuyucusu - Raporlar da dahil olmak üzere Intune konsolunda Uç Nokta Ayrıcalık Yönetimi ilkelerini görüntülemek için bu yerleşik rolü kullanın. Bu rol aşağıdaki hakları içerir:

    • Raporları Görüntüle
    • Okuma
    • Yükseltme isteklerini görüntüleme

Ayrılmış rollere ek olarak, Intune için aşağıdaki yerleşik roller Uç Nokta Ayrıcalık Yönetimi İlkesi Yazma haklarını da içerir:

  • Endpoint Security Manager - Bu rol, Uç Nokta Ayrıcalık Yönetimi İlkesi Yazma ve Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri için tüm hakları içerir.

  • Salt Okunur İşleci - Bu rol aşağıdaki hakları içerir:

    • Raporları Görüntüle
    • Okuma
    • Yükseltme isteklerini görüntüleme

Daha fazla bilgi için bkz. Microsoft Intune için rol tabanlı erişim denetimi.

EpmTools PowerShell modülü

✅ EPM PowerShell modülünü kullanmayı öğrenin

Uç Nokta Ayrıcalık Yönetimi ilkeleri alan her cihaz, bu ilkeleri yönetmek için EPM Microsoft Agent'ı yükler. Aracı, bir cihaza aktarabileceğiniz bir dizi cmdlet olan EpmTools PowerShell modülünü içerir. EpmTools cmdlet'lerini kullanarak:

  • Uç Nokta Ayrıcalık Yönetimi ile ilgili sorunları tanılama ve giderme.
  • Dosya özniteliklerini doğrudan algılama kuralı oluşturmak istediğiniz bir dosyadan veya uygulamadan alın.

EpmTools PowerShell modülünü yükleme

EPM Araçları PowerShell modülü, EPM ilkesi almış tüm cihazlardan kullanılabilir. EpmTools PowerShell modülünü içeri aktarmak için:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Not

Arm64'te Windows için Windows PowerShell x64 kullanılması gerekir.

Kullanılabilir cmdlet'ler şunlardır:

  • İlkeleri Al: Belirli bir 'PolicyType' ('ElevationRules' veya 'ClientSettings' için EPM tarafından alınan tüm ilkelerin listesini alır.
  • Get-DeclaredConfiguration: Cihaza hedeflenen ilkeleri tanımlayan WinDC belgelerinin listesini alır.
  • Get-DeclaredConfigurationAnalysis: MSFTPolicies türünde WinDC belgelerinin listesini alır ve ilkenin Epm Aracısı'nda (İşlenen sütun) zaten mevcut olup olmadığını denetler.
  • Get-ElevationRules: EpmAgent arama işlevini sorgular ve arama ve hedef verilen kuralları alır. FileName ve CertificatePayload için arama desteklenir.
  • Get-ClientSettings: EPM tarafından kullanılan etkin istemci ayarlarını görüntülemek için tüm mevcut istemci ayarları ilkelerini işleyin.
  • Get-FileAttributes: bir .exe dosyası için Dosya Özniteliklerini alır ve yayımcı ve CA sertifikalarını belirli bir uygulama için Yükseltme Kuralı Özelliklerini doldurmak için kullanılabilecek belirli bir konuma ayıklar.

Her cmdlet hakkında daha fazla bilgi için cihazdaki EpmTools klasöründeki readme.md dosyasını gözden geçirin.

Sonraki Adımlar

Sonraki: Gizlilik verilerini toplamayı gözden geçirin >

  • Last updated on