Endpoint Privilege Management 的部署注意事项和常见问题

注意

此功能作为 Intune 加载项提供。 有关详细信息，请参阅 使用 Intune Suite 加载项功能。

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行，而无需) 管理员权限并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (例如Microsoft 365 应用程序) 、更新设备驱动程序和运行某些 Windows 诊断。

Endpoint Privilege Management 通过帮助组织实现以最低特权运行的广泛用户群，同时允许用户仍运行组织允许的任务来保持高效，从而支持零信任旅程。

本文的以下部分介绍了 EPM 的部署注意事项和常见问题。

应用于：

• Windows 10
• Windows 11

Endpoint Privilege Management 的部署注意事项

Windows 10 设备可能不会立即收到支持批准确认

我们正在努力解决一些方案，这些方案阻止 Windows 10 设备在您使用 支持批准的提升时自动接收通知，指示新审批已准备好用于设备。 我们正在与所有者合作，尽快解决此问题。

禁用用户帐户控制 (UAC) 的组织可能会遇到终结点特权管理问题

终结点特权管理不支持显式禁用 UAC。 存在适用于 UAC 提示行为的 Windows 策略控件，用于控制 UAC 的行为。 如果组织采取额外的步骤在现有策略控制之外禁用 UAC（例如禁用 Windows 服务），则他们可能会遇到终结点特权管理问题。

使用企业应用程序控制的组织在运行 Endpoint Privilege Management 时可能会遇到问题

不考虑 EPM 客户端组件的应用程序控制策略可能会阻止 EPM 组件正常运行。 若要将 EPM 与 AppControl 配合使用，请确保应用程序控制策略包含允许 EPM 正常运行的规则。 有关排查应用程序控制问题的详细信息，请参阅 WDAC 调试和故障排除。

注意

EPM 不包括在应用程序控制的默认策略中，可能需要创建自定义策略。

限制可以交互登录的用户的组织可能会看到终结点特权管理问题

终结点特权管理使用独立帐户来促进提升。 此帐户需要能够创建交互式登录会话。 限制用户创建交互式会话能力的组织需要对 EPM 进行更改才能正常运行。

请求提升支持审批的用户必须是设备上的主要用户

Endpoint Privilege Management 当前要求请求提升的用户成为设备的主要用户。 我们正在努力在将来的版本中消除此限制。

创作文件名为标识的唯一属性之一的文件

文件名是一个属性，可用于检测需要提升的应用程序。 但是，它不受文件签名的保护。

文件名极易更改，使用你信任的证书签名的文件的名称可能会更改，并随后提升，这可能不是预期行为。

重要

始终确保包含文件名的规则包括为文件标识提供强断言的其他属性。 文件签名中包含的属性（如文件哈希或属性）是一个很好的指标，表明你打算的文件可能是提升的文件。

如果快速连续更改，提升设置策略可能会显示冲突

Endpoint Privilege Management 报告使用提升设置配置文件应用的单个 设置 的状态。 如果此配置文件中的设置 () 的默认提升行为快速连续更改多次，则可能会导致设备报告冲突或回退到 拒绝 提升的默认行为。 这是暂时性状态，在不到 60 分钟) 内无需进一步操作 (即可解决。 此问题将在将来的版本中修复。

无法提升从 Internet 下载的阻止文件

Windows 中存在针对直接从 Internet 下载的文件设置属性的行为，并在验证之前阻止它们执行。 Windows 具有验证从 Internet 下载的文件的信誉的功能。 如果未验证文件信誉，它可能无法提升。

若要更正此行为，请通过取消阻止文件属性窗格中的文件来取消阻止该文件。 仅当信任该文件时，才应取消阻止文件。

“已加入工作区”的 Windows 设备无法启用 Endpoint Privilege Management

终结点特权管理不支持已加入工作区的设备。 部署到设备时，这些设备不会显示成功或处理 EPM 策略 (提升设置或提升规则) 。

网络文件的规则可能无法提升

Endpoint Privilege Management 支持执行本地存储在磁盘上的文件。 不支持从网络位置（例如网络共享或映射驱动器）执行文件。

在网络基础结构上使用“SSL 检查”时，终结点特权管理不会收到策略

终结点特权管理不支持 SSL 检查，这称为“中断和检查”。 若要使用终结点特权管理，请确保 不检查用于终结点特权管理的 Intune 终结点 中列出的 URL。

常见问题解答

为什么我的虚拟设备未加入到 Endpoint Privilege Management？

目前，Azure 虚拟桌面不支持终结点特权管理。 此问题将在将来的版本中修复。

2023 年 9 月添加了对 Windows 365 (云电脑的支持) 。

为什么我的提升设置策略显示错误/不适用？

提升设置策略控制 EPM 的启用和客户端组件的配置。 如果此策略出错或显示不适用，则表示设备在启用 EPM 时出现问题。 两个最常见的原因是缺少 所需的 Windows 更新 ，或者无法与终结点 特权管理所需的 Intune 终结点通信。

当具有管理权限的人使用启用了 EPM 的设备时，会发生什么情况？

Endpoint Privilege Management 不会管理对设备具有管理权限的用户的提升请求。 在某些情况下，管理员可能会启动具有提升规则的文件，该文件 (特别是设备上定义的自动提升规则) 。 此应用程序会像通常为管理员一样启动，并且 EPM 将生成非托管提升的事件。

哪些文件可以提升到管理员？

Endpoint Privilege Management 支持包含扩展名和 .ps1 PowerShell 脚本的.msi可执行文件。

为什么“使用提升的访问权限运行”不显示在“开始”菜单项上？

驻留在开始菜单或任务栏中的某些项具有特选的右键单击菜单，并且 EPM 右键单击上下文菜单无法添加到这些菜单中。 我们计划在将来的版本中解决此问题。

是否可以通过右键单击上下文菜单“使用提升的访问权限运行”启动提升的多个文件？

一次只能提升一个文件。 若要启动提升的多个文件，请单独右键单击每个文件，然后选择“ 使用提升的访问权限运行”。

后续步骤

• 了解终结点特权管理
• 创建提升规则的指南
• 配置 Endpoint Privilege Management 的策略
• 终结点特权管理报告
• Endpoint Privilege Management 的数据收集和隐私