Microsoft Intune ile Uç Nokta Ayrıcalık Yönetimi kullanma

Microsoft Intune Uç Nokta Ayrıcalık Yönetimi (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.

Uç Nokta Ayrıcalık Yönetimi, kuruluşunuzun en az ayrıcalıkla çalışan geniş bir kullanıcı tabanına ulaşmasına yardımcı olarak Sıfır Güven yolculuğunuzu desteklerken, üretken kalmak için gerekli olduğunda da seçili görevleri yükseltmeye devam eder. Daha fazla bilgi için bkz. Microsoft Intune ile Sıfır Güven.

Bu genel bakış, avantajları, nasıl çalıştığı ve nasıl kullanmaya başlayabilecekleri de dahil olmak üzere EPM hakkında bilgi sağlar.

Şunlar için geçerlidir:

• Windows

Temel Özellikler ve Avantajlar

✅ EPM'nin temel özelliklerini ve avantajlarını öğrenin

• Varsayılan Olarak Standart Kullanıcılar. Kullanıcılar görevlerini yerel yönetici hakları olmadan gerçekleştirebilir.
• Tam zamanında yükseltme desteği. Kullanıcılar, belirli BT onaylı ikili dosyaları veya betikleri geçici olarak yükseltmek için tetikleyebilir.
• İlke Tabanlı Denetim. Yöneticiler, kurumsal gereksinimlere uygun ayrıntılı kural oluşturma özellikleriyle yükseltme koşullarını ve davranışını denetlemek için ayarlar ve kurallar tanımlar.
• Denetim Günlüğü ve Raporlama. Intune ayrıntılı meta verilerle her yükseltmeyi günlüğe kaydeder.
• En az ayrıcalık erişimi sağlayarak ve yanal hareket risklerini en aza indirerek Sıfır Güven ilkelerine uyum.

EPM Ile İlgili Temel Bilgiler

✅ EPM'nin nasıl çalıştığını öğrenin

EPM yükseltmesi iki yöntem kullanılarak tetiklenebilir:

• Otomatik olarak veya;
• Kullanıcı tarafından başlatıldı.

EPM iki tür ilke kullanılarak yapılandırılabilir ve her ikisi de kullanıcı veya cihaz gruplarına hedeflenebilir:

• Yükseltme ayarları ilkesi - EPM istemcisini, raporlama düzeyini ve varsayılan yükseltme özelliğini denetler.
• Yükseltme kuralları ilkesi - ölçütlere göre ikili dosyalar veya betikler için yükseltme davranışını tanımlar.

Cihazda yükseltmeyi gerçekleştirmek için, EPM hizmeti çoğu yükseltme türü için oturum açmış kullanıcıların hesabından yalıtılmış bir sanal hesap kullanır. Bu hesapların hiçbiri yerel yöneticiler grubuna eklenmez. Sanal hesabın kullanılması için bir özel durum, aşağıdaki bölümde daha ayrıntılı olarak açıklanan Geçerli kullanıcı yükseltme türü olarak yükseltmedir.

Cihazlara veya kullanıcılara yükseltme ayarları ilkesi atandığında EPM istemcisi otomatik olarak yüklenir. EPM istemcisi 'Microsoft EPM Aracı Hizmeti' hizmetini kullanır ve ikili dosyalarını dizininde "C:\Program Files\Microsoft EPM Agent" depolar.

Bu diyagramda EPM istemcisinin nasıl tetiklendiğinden, kuralların denetlenmesinde ve ardından yükseltmenin nasıl kolaylaştırıldığına ilişkin üst düzey bir mimari gösterilmektedir:

Yükseltme Türleri

✅ EPM'nin dosyaları nasıl yükselttiğine bakın

EPM, yönetim ayrıcalıkları olmayan kullanıcıların yönetim bağlamında işlemleri çalıştırmasına olanak tanır. Bir yükseltme kuralı oluşturduğunuzda, bu kural EPM'nin cihazda yönetici ayrıcalıklarıyla çalışması için bu kuralın hedefine ara sunucu eklemesine izin verir. Sonuç, uygulamanın cihazda tam yönetim özelliğine sahip olmasıdır.

Geçerli kullanıcı türü olarak Yükseltme dışında, EPM işlemleri yükseltmek için bir sanal hesap kullanır. Sanal hesabın kullanılması, yükseltilmiş eylemleri kullanıcının profilinden yalıtarak kullanıcıya özgü verilere maruz kalma riskini azaltır ve ayrıcalık yükseltme riskini azaltır.

Uç Nokta Ayrıcalık Yönetimi kullandığınızda, yükseltme davranışı için birkaç seçenek vardır:

• Otomatik: EpM, otomatik yükseltme kuralları için bu uygulamaları kullanıcıdan giriş yapmadan otomatik olarak yükseltir. Bu kategorideki geniş kurallar kuruluşun güvenlik duruşunu yaygın olarak etkileyebilir.

• Kullanıcı onaylandı: Kullanıcı tarafından onaylanan kurallarla, son kullanıcılar yeni bir sağ tıklama bağlam menüsü Kullanır Yükseltilmiş erişimle çalıştır. Yöneticiler, kullanıcının kimlik doğrulama istemi, iş gerekçesi veya her ikisini birden kullanarak ek doğrulama gerçekleştirmesini gerektirebilir.

  

• Geçerli Kullanıcı Olarak Yükselt: Profil yolları, ortam değişkenleri veya çalışma zamanı tercihleri gibi kullanıcıya özgü kaynaklara doğru şekilde çalışması için erişim gerektiren uygulamalar için bu yükseltme türünü kullanın. Sanal hesap kullanan yükseltmelerden farklı olarak, bu mod, etkin kullanıcı profilini kullanan araçlar ve yükleyicilerle uyumluluğu koruyarak oturum açmış kullanıcının kendi hesabı altında yükseltilmiş işlemi çalıştırır. Bu yaklaşım, yükseltme öncesinde ve sonrasında aynı kullanıcı kimliğini koruyarak tutarlı ve doğru denetim izleri sağlar. Ayrıca, yükseltme gerçekleşmeden önce kullanıcının geçerli kimlik bilgileriyle yeniden kimlik doğrulamasını gerektiren Windows Kimlik Doğrulamasını da destekler.

  Ancak, yükseltilmiş işlem kullanıcının tam bağlamını devraldığından, bu mod daha geniş bir saldırı yüzeyi sağlar ve kullanıcı verilerinden yalıtımı azaltır.

  Önemli noktalar:

  • Uyumluluk gereksinimi: Bu modu yalnızca sanal hesap yükseltmesi uygulama hatalarına neden olduğunda kullanın.
  • Kapsam sıkı: Riski azaltmak için yükseltme kurallarını güvenilir ikili dosyalar ve yollar ile sınırlayın.
  • Güvenlik dezavantajı: Bu modun kullanıcıya özgü verilere maruz kalma oranını artırdığını anlayın.

  İpucu

  Uyumluluk sorun oluşturmadığında, daha güçlü güvenlik için sanal hesap yükseltmesini kullanan bir yöntemi tercih edin.

• Destek onaylandı: Destek onaylı kurallar için, son kullanıcıların yükseltilmiş izinlere sahip bir uygulamayı çalıştırmak için bir istek göndermesi gerekir. İstek gönderildikten sonra, bir yönetici isteği onaylayabilir. İstek onaylandıktan sonra, son kullanıcıya cihazda yükseltmeyi yeniden deneyebileceği bildirilir. Bu kural türünü kullanma hakkında daha fazla bilgi için bkz . Onaylı yükseltme isteklerini destekleme.

  

• Reddet: Reddetme kuralı, EPM'nin yükseltilmiş bağlamda çalışmasını engellediği bir dosyayı tanımlar. Bazı senaryolarda reddetme kuralları bilinen dosyaların veya kötü amaçlı olabilecek yazılımların yükseltilmiş bir bağlamda çalıştırılmamasını sağlayabilir.

EPM istemcisi varsayılan bir yükseltme yanıtıyla veya belirtilen yükseltme yanıtına izin veren belirli kurallarla yapılandırılabilir.

Kural Özellikleri

✅ Yükseltme için dosyaların ayrıntılı olarak hedeflenmesi

EPM yükseltme kuralları, dosya adı, yol vb. gibi bir veya daha fazla öznitelik temelinde oluşturulabilir. Kural özelliklerine bazı örnekler şunlardır:

• Alt işlem denetimleri - İşlemler EPM tarafından yükseltildiğinde, alt işlemlerin oluşturulmasının EPM tarafından nasıl yönetildiğini denetleyebilirsiniz. Bu da yükseltilmiş uygulamanız tarafından oluşturulabilecek alt işlemler üzerinde ayrıntılı denetim sahibi olmanıza olanak tanır.

• Bağımsız değişken desteği - Uygulamaların yükseltilmesi için yalnızca belirli parametrelere izin verin.

• Dosya karması desteği - Dosyanın karması temelinde uygulamayı eşleştirin.

• Yayımcı sertifikası desteği - Uygulamanın yayımcı sertifikasına ve diğer özniteliklere güvenmeyi temel alan kurallar oluşturun.

Desteklenen dosya türleri

EPM şu dosya türlerinin yükseltilmesine destek sağlar:

• Uzantılı .exe yürütülebilir dosyalar.
• Uzantılı .msi Windows installer dosyaları.
• Uzantılı PowerShell betikleri .ps1 .

Raporlama

✅ Ortamınızdaki yükseltmeleri izleme

EPM, hizmeti hazırlamanıza, izlemenize ve kullanmanıza yardımcı olacak raporlar içerir. Yönetilmeyen ve yönetilen yükseltmeler için raporlar sağlanır:

• Yönetilmeyen yükseltme: Uç Nokta Ayrıcalık Yönetimi kullanılmadan gerçekleşen tüm dosya yükseltmeleri. Bu yükseltmeler, yönetici haklarına sahip bir kullanıcı Yönetici olarak çalıştır'ın Windows varsayılan eylemini kullandığında oluşabilir.

• Yönetilen yükseltme: Uç Nokta Ayrıcalık Yönetimi kolaylaştıran tüm yükseltmeler. Yönetilen yükseltmeler, EPM'nin standart kullanıcı için kolaylaştırıcı olduğu tüm yükseltmeleri içerir. Bu yönetilen yükseltmeler, bir yükseltme kuralının sonucu olarak veya varsayılan yükseltme eyleminin bir parçası olarak gerçekleşen yükseltmeleri içerebilir.

Uç Nokta Ayrıcalık Yönetimi kullanmaya başlama

✅ EPM kullanmaya başlama

Uç Nokta Ayrıcalık Yönetimi (EPM), Microsoft Intune Yönetici Merkezi'nden yönetilir. Kuruluşlar EPM'yi kullanmaya başladığında aşağıdaki üst düzey süreci kullanır:

• LISANS EPM ve Plan

  • EPM Lisansı - Uç Nokta Ayrıcalık Yönetimi ilkelerini kullanabilmeniz için önce kiracınızda EPM'yi lisanslamalısınız. Lisanslama bilgileri için bkz. Microsoft Intune gelişmiş özellikler.
  • EPM planı - EPM'yi kullanmaya başlamadan önce dikkate almanız gereken bazı önemli gereksinimler ve kavramlar vardır. Daha fazla bilgi için bkz. EPM için planlama.

• EPM'yi dağıtma - EPM'yi dağıtmak için denetimi etkinleştirin, kurallar oluşturun ve dağıtımı izleyin. Daha fazla bilgi için bkz. EPM'yi dağıtma.

• EPM'yi yönetme - EPM'yi dağıttığınızda, destek onaylı istekleri ve yükseltmeleri izleyebilirsiniz. Kurallarınızı koruyup güncelleştirebilir vekullanıcı ayrıcalıklarını gözden geçirebilirsiniz.

---

Sonraki: EPM planı >