Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Not
Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.
Microsoft Intune Uç Nokta Ayrıcalık Yönetimi (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Daha fazla bilgi için bkz. EPM'ye Genel Bakış.
Şunlar için geçerlidir:
- Windows
Uç Nokta Ayrıcalık Yönetimi kullanmak isteyen müşteriler için yaygın bir senaryo, ortamlarındaki yerel yönetici sayısını azaltmaktır. Bu senaryo, en az ayrıcalık Sıfır Güven ilkesine bağlıdır. Bu belgede, müşterilerin epm kullanarak kullanıcıları yöneticilerden standart kullanıcılara en az kesintiyle taşımak için izleyebilecekleri adımlar izlenebilir.
1. Aşama: Denetim
Başka bir uç nokta ayrıcalık yönetimi ürününden geçiş yapmanıza veya yeni bir ürüne başlamanıza bakılmaksızın, ilk adım olarak denetimi etkinleştirmenizi öneririz. Denetimin etkinleştirilmesi, EPM istemcisinin ve cihazlarının tanılama verilerini çeşitli raporlarda görüntülenebileceği Intune göndermesine olanak tanır. Bu yükseltme verilerinin toplanması, kullanıcıların hangi işlemleri yükseltmek istediğiyle ilgili içgörüler sağlar ve ortak desenleri belirlemeye yardımcı olur. İdeal olarak, bunlar geliştiriciler, BT destek teknisyenleri vb. gibi kişiliklerinizle uyumlu olur. Bu ilkenin denetim için dağıtımı sorunsuzdur ve her normal Intune ilke ataması gibi seçtiğiniz bir kullanıcı veya cihaz grubuna hedeflenebilir.
Not
Etkinleştirildikten sonra kullanım verilerinin döndürülerek Intune portal raporlarının güncelleştirilmiş olması 24 saat sürebilir. Kullanım desenlerine bağlı olarak, ortamınızı daha iyi anlamak için raporlama verilerini birkaç haftalık bir süre içinde görüntülemek isteyebilirsiniz.
İlkeyi oluşturma adımları:
- Microsoft Intune yönetim merkezinde oturum açın.
- Uç Nokta Güvenliği>Uç Nokta Ayrıcalık Yönetimi>İlkeler'i seçin
-
İlke Oluştur'u seçin. Aşağıdaki ayrıntıları girin:
- Platform: Windows
- Profil: Yükseltme ayarları ilkesi
- Oluştur'u seçin
- İlkenin adını belirtin, örneğin: EPM ayarları ilkesi – Yalnızca denetim
- İleri’yi seçin
- 'Ayrıcalık yönetimi yükseltme istemci ayarları' bölümünü genişletin ve aşağıdaki değerlerin ayarlandığından emin olun:
- Uç Nokta Ayrıcalık Yönetimi: Etkin
- Varsayılan yükseltme yanıtı: Yapılandırılmadı
- Raporlama için yükseltme verileri gönderme: Evet
- Raporlama kapsamı: Tanılama verileri ve tüm uç nokta yükseltmeleri
- İleri’yi seçin
- Kapsam etiketlerini bırakın ve İleri'yi seçin
- İlkeyi hedeflemek istediğiniz cihaz veya kullanıcı grubunu ekleme
- İleri’yi seçin
- İlkeyi oluşturmak için Oluştur'u seçin
Kuralın beklendiği gibi çalıştığını onaylamak için:
- Standart kullanıcı kimlik bilgileriyle Windows cihazında oturum açın.
- Başlatmak>Çalıştırmak>Services.msc> Tamam
- 'Microsoft EPM Aracı Hizmeti'nin mevcut, Çalışıyor ve Otomatik başlangıç türü olarak ayarlanıp ayarlandığını denetleyin.
- Hizmetler ek bileşenini kapatın.
-
Başlatmak>Çalıştırmak>
C:\Program Files\> Tamam - Adlı bir klasör olduğunu doğrulayın: Microsoft EPM Aracısı
24 saat veya daha fazla geçtikten sonra:
- Microsoft Intune yönetim merkezinde oturum açın.
- Endpoint Security>Uç Nokta Ayrıcalık Yönetimi>Reports'u seçin
- Yükseltme raporunu seçin
- Yükseltme raporunun ayrıntılarını gözden geçirin
Benzer yükseltme gereksinimlerine sahip kullanıcı gruplarını (ideal olarak daha önce tanımladığınız kişiliklerle uyumlu) tanımlayın. Hem kullanım desenlerinin hem de kullanıcı gruplarının tanımlanması, sonraki adımlarda yardımcı olur.
İpucu
Bu rapor, Dosya sütununda (örneğin C:\Windows\System32\Dism\dismhost and c:\Windows\System32\conhost.exe) yoksayılabilir bazı varsayılan Windows işlemlerini içerir.
2. Aşama: Kişilik belirleme
Microsoft Intune Uç Nokta Ayrıcalık Yönetimi (EPM) ilkelerinin tasarımında kullanıcı kişiliklerini kullanmak, yükseltme ayarlarını ve kurallarını gerçek dünya kullanıcı gereksinimleriyle uyumlu hale getirmenin stratejik bir yoludur.
EPM'de Kullanıcı Kişilikleri Nelerdir?
Kullanıcı kişilikleri, kuruluşunuzdaki farklı kullanıcı türlerinin veri temelli temsilleridir. Her kişilik, benzer rollere, sorumluluklara ve uygulama gereksinimlerine sahip bir kullanıcı grubunu yansıtır.
Örnek kişilik eşlemesi:
| Kişilik Türü | Örnek Roller | Yükseltme Stratejisi | Varsayılan Yükseltme |
|---|---|---|---|
| Power Users | BT Destek Teknisyenleri, BT Güç Kullanıcıları | Tanımlı kurallar için otomatik yükseltme | Tüm istekleri reddet |
| Geliştiriciler | Mühendislik | Tanımlanan düşük riskli uygulamalar için otomatik yükseltme; Kullanıcı daha yüksek riskli uygulamalar için gerekçelendirildi | Destek Onaylandı |
| Standart Kullanıcılar | Finans, İk | Tanımlı kurallar için otomatik yükseltme | Onaylanan tüm istekleri veya desteği reddet |
Kişilikler yükseltme ayarları ve kuralları tasarlamaya nasıl yardımcı olur?
Kullanıcı gereksinimlerinin eşlenmesi, her kullanıcı kohortunun yükseltme stratejisini tanımlamanızı sağlar.
3. Aşama: Kural oluşturma
EPM kuralları iki temel öğeden oluşur: algılama ve yükseltme eylemi.
Algılamalar, bir uygulamayı veya ikiliyi tanımlamak için kullanılan öznitelik kümesi olarak tanımlanır. Bu öznitelikler dosya adı, dosya sürümü ve imza özelliklerini içerir. Yükseltme eylemleri, bir uygulama veya ikili algılandıktan sonra ortaya çıkan yükseltmedir.
En iyi uygulamalar
- Algılama gücünü artırmak için güçlü öznitelikler veya birden çok öznitelik kullanın.
- Dosya karması veya sertifika zorunludur.
Daha fazla güvenlik önerisi için bkz. Güvenlik Önerileri.
Yükseltme raporu verilerini kullanarak kural oluşturma adımları
- Microsoft Intune yönetim merkezinde oturum açın.
- Uç Nokta Güvenliği>Uç Nokta Ayrıcalık Yönetimi>İlkeler'i seçin
- Yükseltme raporunu seçin
- Bir uygulama veya işlem seçin (örneğin.
C:\Program Files\Notepad++\) -
Şu ayrıntıları içeren bir kural oluştur'u seçin:
- Yeni ilke oluşturma
- Türü: Kullanıcı tarafından onaylandı
- Alt işlem davranışı: Kuralın yükselt olmasını gerektir
- Bu yükseltmeyle aynı dosya yolunu iste: seçili
- Tamam'ı seçin
- İlke adı sağlayın (örneğin
EPM rule – Notepad++ User Confirmed) - Evet'i seçin
- EPM ilkeleri listesine gidin ve ilkeyi seçin
- Ödevler'in altında Düzenle'yi seçin
- Grup ekle'yi seçin
- Gruba atama (örneğin, Geliştiriciler)
- Seçme, Gözden Geçirme ve Kaydetme
Kural oluşturma hakkında daha fazla ayrıntı için bkz. Yükseltme kuralları oluşturma.
Kuralın çalıştığını onaylayın
- Standart kullanıcı kimlik bilgileriyle Windows cihazında oturum açın.
- Uygulamaya sağ tıklayın (örneğin
Notepad++) ve 'Yükseltilmiş erişimle çalıştır' seçeneğini belirleyin - Uç Nokta Ayrıcalık Yönetimi açılır penceresinde Devam'ı seçin
- Uygulamanın yükseltilmiş izinlerle başlatıldığını doğrulayın
4. Aşama: Yerel yönetici haklarını kaldırma
Microsoft Intune yönetim merkezinde oturum açın.
Uç Nokta Güvenlik>Hesabı korumasını seçin
İlke Oluştur'u seçin:
- Platform: Windows
- Profil: Yerel kullanıcı grubu üyeliği
İlkenin adını belirtin (örneğin
Remove local admin rights (developers))Ekle'yi seçin:
- Yerel grup: Yöneticiler
- Grup ve kullanıcı eylemi: Ekle (Değiştir)
- Kullanıcı seçim türü: El ile
Kullanıcıları seçme
aşağıdakiler için iki Güvenlik Tanımlayıcısı (SID) ekleyin:
- Genel Yönetici
- Microsoft Entra Katılmış Cihaz Yerel Yöneticisi
S-1-12-1- ile başlayan SID'leri bulmak için Entra katılmış bir cihazda Lusrmgr.msc kullanma
Gruba atama (örneğin
Developers)Kaydet'i seçin
Yerel Kullanıcılar ve Gruplar profilleri hakkında daha fazla bilgi için bkz. Hesap koruması
5. Aşama: İzleme
- Yükseltme raporlarını düzenli olarak gözden geçirme
- Kurallara yönetilmeyen yükseltmeler ekleme veya reddetme
- Gecikmeler veya desenler için destek onaylı istekleri izleme
- Dosya sürümleri veya sertifikaları değiştiğinde kuralları güncelleştirme
- Eski kuralları devre dışı bırakma veya sıklaştırma