Uç Nokta Ayrıcalık Yönetimi'ni Microsoft Intune ile kullanma

Makale
03/27/2024

Not

Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Microsoft Intune Endpoint Privilege Management (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.

Endpoint Privilege Management, kuruluşunuzun en az ayrıcalıkla çalışan geniş bir kullanıcı tabanı elde etmesine yardımcı olarak Sıfır Güven yolculuğunuzu desteklerken, kullanıcıların kuruluşunuz tarafından izin verilen görevleri yine de çalıştırmasına olanak tanır. Daha fazla bilgi için bkz. Microsoft Intune ile Sıfır Güven.

Bu makalenin aşağıdaki bölümlerinde EPM kullanma gereksinimleri ele alınmaktadır, bu özelliğin nasıl çalıştığına ilişkin işlevsel bir genel bakış sağlanmaktadır ve EPM için önemli kavramlar tanıtılmaktadır.

Şunlar için geçerlidir:

Windows 10
Windows 11

Önkoşullar

Lisanslama

Endpoint Privilege Management, Microsoft Intune Plan 1 lisansının ötesinde ek bir lisans gerektirir. Yalnızca EPM ekleyen tek başına lisans veya Microsoft Intune Suite parçası olarak EPM lisansı arasından seçim yapabilirsiniz. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Gereksinimler

Endpoint Privilege Management aşağıdaki gereksinimlere sahiptir:

Microsoft Entra katılmış veya karma katılmış Microsoft Entra
Microsoft Intune Kaydı veyaortak yönetilen cihazları Microsoft Configuration Manager (iş yükü gereksinimi yok)
Desteklenen İşletim Sistemi
Gerekli uç noktaları görme çizgisini (SSL-İnceleme olmadan) temizleyin

Not

Windows 365 (CloudPC) desteklenen bir işletim sistemi sürümü kullanılarak desteklenir
Çalışma alanına katılma cihazları Endpoint Privilege Management tarafından desteklenmiyor
Azure Sanal Masaüstü Endpoint Privilege Management tarafından desteklenmiyor

Endpoint Privilege Management aşağıdaki işletim sistemlerini destekler:

Windows 11, sürüm 23H2 (22631.2506 veya üzeri) ve KB5031455
Windows 11, sürüm 22H2 (22621.2215 veya üzeri) ve KB5029351
Windows 11, sürüm 21H2 (22000.2713 veya üzeri) ve KB5034121
Windows 10, sürüm 22H2 (19045.3393 veya üzeri) ve KB5030211
Windows 10, sürüm 21H2 (19044.3393 veya üzeri) ve KB5030211

Önemli

Yükseltme ayarları ilkesi, desteklenen bir işletim sistemi sürümünü çalıştırmayan cihazlar için geçerli değil olarak gösterilir.
Endpoint Privilege Management'ın bazı yeni ağ gereksinimleri vardır, bkz. Intune için Ağ Uç Noktaları.

Endpoint Privilege Management'ı kullanmaya başlama

Uç Nokta Ayrıcalık Yönetimi (EPM) Microsoft Intune yerleşiktir; bu da tüm yapılandırmanın Microsoft Intune Yönetici Merkezi'nin içinde tamamlandığı anlamına gelir. Kuruluşlar EPM'yi kullanmaya başladığında aşağıdaki üst düzey süreci kullanır:

Lisans Uç Noktası Ayrıcalık Yönetimi - Uç Nokta Ayrıcalık Yönetimi ilkelerini kullanabilmeniz için önce kiracınızda EPM'yi Intune eklentisi olarak lisanslamalısınız. Lisanslama bilgileri için bkz. Intune Paketi eklenti özelliklerini kullanma.
Yükseltme ayarları ilkesi dağıtma - Yükseltme ayarları ilkesi istemci cihazında EPM'yi etkinleştirir. Bu ilke ayrıca istemciye özgü olan ancak tek tek uygulamaların veya görevlerin yükseltilmesiyle ilgili olması gerekmeyen ayarları yapılandırmanıza da olanak tanır.
Yükseltme kuralı ilkelerini dağıtma - Yükseltme kuralı ilkesi, bir uygulamayı veya görevi yükseltme eylemine bağlar. Uygulamalar cihazda çalıştırıldığında kuruluşunuzun izin verdiği uygulamalar için yükseltme davranışını yapılandırmak için bu ilkeyi kullanın.

Uç Nokta Ayrıcalık Yönetimi için önemli kavramlar

Daha önce bahsedilen yükseltme ayarlarını ve yükseltme kuralları ilkelerini yapılandırdığınızda, EPM'yi kuruluşunuzun gereksinimlerini karşılayacak şekilde yapılandırmanızı sağlamaya yönelik bazı önemli kavramlar vardır. EPM'yi yaygın olarak dağıtmadan önce aşağıdaki kavramlar ve bunların ortamınız üzerindeki etkisi iyi anlaşılmalıdır:

Yükseltilmiş erişimle çalıştır - EpM bir cihazda etkinleştirildiğinde görüntülenen sağ tıklama bağlam menüsü seçeneği. Bu seçenek kullanıldığında, cihaz yükseltme kuralları ilkeleri, bu dosyanın yönetim bağlamında çalıştırılacak şekilde yükseltilip yükseltilemediğini ve nasıl yükseltilebileceğini belirlemek için bir eşleşme olup olmadığını belirler. Geçerli bir yükseltme kuralı yoksa, cihaz yükseltme ayarları ilkesi tarafından tanımlanan varsayılan yükseltme yapılandırmalarını kullanır.
Dosya yükseltme ve yükseltme türleri – EPM, yönetici ayrıcalıkları olmayan kullanıcıların işlemleri yönetim bağlamında çalıştırmasına olanak tanır. Bir yükseltme kuralı oluşturduğunuzda, bu kural EPM'nin cihazda yönetici ayrıcalıklarıyla çalışması için bu kuralın hedefine ara sunucu eklemesine izin verir. Sonuç, uygulamanın cihazda tam yönetim özelliğine sahip olmasıdır.

Endpoint Privilege Management'ı kullandığınızda, yükseltme davranışı için birkaç seçenek vardır:
- Otomatik yükseltme kuralları için EPM, kullanıcıdan giriş yapmadan bu uygulamaları otomatik olarak yükseltir. Bu kategorideki geniş kurallar kuruluşun güvenlik duruşunu yaygın olarak etkileyebilir.
- Kullanıcı tarafından onaylanan kurallar için, son kullanıcılar yeni bir sağ tıklama bağlam menüsü Kullanır Yükseltilmiş erişimle çalıştır. Kullanıcı tarafından onaylanan kurallar, uygulamanın yükseltebilmesi için son kullanıcının bazı ek gereksinimleri tamamlamasını gerektirir. Bu gereksinimler, kullanıcının yükseltme gerçekleşmeden önce uygulamanın yükseltilmiş bir bağlamda çalışacağını kabul edişini sağlayarak ek bir koruma katmanı sağlar.
- Destek onaylı kurallar için son kullanıcıların bir uygulamayı onaylama isteği göndermesi gerekir. İstek gönderildikten sonra, bir yönetici isteği onaylayabilir. İstek onaylandıktan sonra, son kullanıcıya cihazda yükseltmeyi tamamlayabildiği bildirilir. Bu kural türünü kullanma hakkında daha fazla bilgi için bkz . Onaylı yükseltme isteklerini destekleme
Not

Her yükseltme kuralı, yükseltilmiş işlemin oluşturduğu alt işlemler için yükseltme davranışını da ayarlayabilir.
Alt işlem denetimleri - İşlemler EPM tarafından yükseltildiğinde, alt işlemlerin oluşturulmasının EPM tarafından nasıl yönetildiğini denetleyebilirsiniz. Bu da yükseltilmiş uygulamanız tarafından oluşturulabilecek alt işlemler üzerinde ayrıntılı denetim sahibi olmanıza olanak tanır.
İstemci tarafı bileşenleri – Endpoint Privilege Management'ı kullanmak için Intune cihazda yükseltme ilkelerini alan ve bunları zorlayan küçük bir bileşen kümesi sağlar. Intune bileşenleri yalnızca bir yükseltme ayarları ilkesi alındığında sağlar ve ilke Uç Nokta Ayrıcalığı yönetimini etkinleştirme amacını ifade eder.
Devre dışı bırakma ve sağlamayı kaldırma – Bir cihaza yüklenen bir bileşen olarak, Endpoint Privilege Management bir yükseltme ayarları ilkesi içinden devre dışı bırakılabilir. Bir cihazdan Endpoint Privilege Management'ı kaldırmak için yükseltme ayarları ilkesinin kullanılması gerekir .

Cihazda EPM'nin devre dışı bırakılması gereken bir yükseltme ayarları ilkesi olduğunda Intune istemci tarafı bileşenlerini hemen devre dışı bırakır. EPM, YEDI günlük bir süre sonra EPM bileşenini kaldırır. Gecikme, ilke veya atamalardaki geçici veya yanlışlıkla yapılan değişikliklerin, iş operasyonlarını önemli ölçüde etkileyebilecek yeniden sağlama/olaylarının toplu olarak yeniden sağlanmasına neden olmamasını sağlamaktır.
Yönetilen yükseltmeler ve yönetilmeyen yükseltmeler – Bu terimler raporlama ve kullanım verilerimizde kullanılabilir. Bu terimler aşağıdaki açıklamalara başvurur:
- Yönetilen yükseltme: Endpoint Privilege Management'ın kolaylaştırması gereken tüm yükseltmeler. Yönetilen yükseltmeler, EPM'nin standart kullanıcı için kolaylaştırıcı olduğu tüm yükseltmeleri içerir. Bu yönetilen yükseltmeler, bir yükseltme kuralının sonucu olarak veya varsayılan yükseltme eyleminin bir parçası olarak gerçekleşen yükseltmeleri içerebilir.
- Yönetilmeyen yükseltme: Endpoint Privilege Management kullanılmadan gerçekleşen tüm dosya yükseltmeleri. Bu yükseltmeler, yönetici haklarına sahip bir kullanıcı Yönetici olarak çalıştır'ın Windows varsayılan eylemini kullandığında oluşabilir.

Uç Nokta Ayrıcalık Yönetimi için rol tabanlı erişim denetimleri

Endpoint Privilege Management'ı yönetmek için hesabınıza, istenen görevi tamamlamak için yeterli haklara sahip aşağıdaki izni içeren Intune rol tabanlı erişim denetimi (RBAC) rolü atanmalıdır:

Endpoint Privilege Management İlkesi Yazma – Bu izin, Endpoint Privilege Management için ilke veya veri ve raporlarla çalışmak için gereklidir ve aşağıdaki hakları destekler:
- Raporları Görüntüle
- Okuma
- Oluşturma
- Güncelleştirme
- Silme
- Ata
Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri - Bu izin, kullanıcılar tarafından onay için gönderilen yükseltme istekleriyle çalışmak için gereklidir ve aşağıdaki hakları destekler:
- Yükseltme isteklerini görüntüleme
- Yükseltme isteklerini değiştirme

Bu izni kendi özel RBAC rollerinize bir veya daha fazla hakla ekleyebilir veya Endpoint Privilege Management'ı yönetmek için ayrılmış yerleşik bir RBAC rolü kullanabilirsiniz:

Endpoint Privilege Manager – Bu yerleşik rol, Intune konsolunda Uç Nokta Ayrıcalık Yönetimi'ni yönetmeye ayrılmıştır. Bu rol , Uç Nokta Ayrıcalık Yönetimi İlkesi Yazma ve Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri için tüm hakları içerir.
Uç Nokta Ayrıcalık Okuyucusu - Raporlar da dahil olmak üzere Intune konsolunda Endpoint Privilege Management ilkelerini görüntülemek için bu yerleşik rolü kullanın. Bu rol aşağıdaki hakları içerir:
- Raporları Görüntüle
- Okuma
- Yükseltme isteklerini görüntüleme

Ayrılmış rollere ek olarak, Intune için aşağıdaki yerleşik roller uç nokta ayrıcalık yönetimi ilkesi yazma haklarını da içerir:

Endpoint Security Manager - Bu rol , Uç Nokta Ayrıcalık Yönetimi İlkesi Yazma ve Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri için tüm hakları içerir.
Salt Okunur İşleci - Bu rol aşağıdaki hakları içerir:
- Raporları Görüntüle
- Okuma
- Yükseltme isteklerini görüntüleme

Daha fazla bilgi için bkz. Microsoft Intune için rol tabanlı erişim denetimi.

EpmTools PowerShell modülü

Endpoint Privilege Management ilkelerini alan her cihaz, bu ilkeleri yönetmek için EPM Microsoft Agent'ı yükler. Aracı, bir cihaza aktarabileceğiniz bir dizi cmdlet olan EpmTools PowerShell modülünü içerir. EpmTools cmdlet'lerini kullanarak:

Endpoint Privilege Management ile ilgili sorunları tanılama ve giderme.
Dosya özniteliklerini doğrudan algılama kuralı oluşturmak istediğiniz bir dosyadan veya uygulamadan alın.

EpmTools PowerShell modülünü yükleme

EPM Araçları PowerShell modülü, EPM ilkesi almış tüm cihazlardan kullanılabilir. EpmTools PowerShell modülünü içeri aktarmak için:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Kullanılabilir cmdlet'ler şunlardır:

get-policies: Belirli bir PolicyType (ElevationRules, ClientSettings) için Epm Aracısı tarafından alınan tüm ilkelerin listesini alır.
Get-DeclaredConfiguration: Cihaza hedeflenen ilkeleri tanımlayan WinDC belgelerinin listesini alır.
Get-DeclaredConfigurationAnalysis: MSFTPolicies türünde WinDC belgelerinin listesini alır ve ilkenin Epm Aracısı'nda (İşlenen sütun) zaten mevcut olup olmadığını denetler.
Get-ElevationRules: EpmAgent arama işlevini sorgular ve arama ve hedef verilen kuralları alır. FileName ve CertificatePayload için arama desteklenir.
Get-ClientSettings: EPM Aracısı tarafından kullanılan etkin istemci ayarlarını görüntülemek için tüm mevcut istemci ayarları ilkelerini işleyin.
Get-FileAttributes: bir .exe dosyası için Dosya Özniteliklerini alır ve yayımcı ve CA sertifikalarını belirli bir uygulamanın Yükseltme Kuralı Özelliklerini doldurmak için kullanılabilecek belirli bir konuma ayıklar.

Her cmdlet hakkında daha fazla bilgi için cihazdaki EpmTools klasöründeki readme.txt dosyasını gözden geçirin.