端點許可權管理的部署考慮和常見問題
注意事項
這項功能可作為 Intune 附加元件使用。 如需詳細資訊,請 參閱使用 Intune Suite 附加元件功能。
透過 Microsoft Intune 端點許可權管理 (EPM) 貴組織的使用者可以執行為標準使用者 (,而不需要系統管理員許可權) 並完成需要提高許可權的工作。 通常需要系統管理許可權的工作是應用程式安裝 (,例如Microsoft 365 應用程式) 、更新設備驅動器,以及執行特定 Windows 診斷。
端點許可權管理可協助您的組織達到以最低許可權執行的廣泛使用者基礎,同時讓使用者仍能執行貴組織允許的工作維持生產力,以支援您的零信任旅程。
本文的下列各節討論 EPM 的部署考慮和常見問題。
適用於:
- Windows 10
- Windows 11
端點許可權管理的部署考慮
Windows 10 裝置可能不會立即收到支援核准的確認
我們正努力解決一些案例,以防止 Windows 10 裝置在您使用 支援的已核准提高許可權時,自動收到裝置已準備好新核准的通知。 我們正在與擁有者合作,以儘快解決此問題。
停用用戶帳戶控制 (UAC) 的組織可能會遇到端點許可權管理的問題
端點許可權管理不支持明確停用UAC。 有適用於 UAC 提示行為的 Windows 原則控件,可控制 UAC 的行為。 如果組織在現有原則控件之外採取額外的步驟來停用UAC,例如停用Windows服務,則可能會遇到端點許可權管理的問題。
使用商務用應用程控的組織在執行端點許可權管理時可能會遇到問題
不考慮 EPM 用戶端元件的商務用應用程控原則可能會使 EPM 元件無法運作。 若要搭配 AppControl 使用 EPM,請確定您的應用程控原則包含允許 EPM 運作的規則。 如需針對應用程控進行疑難解答的詳細資訊,請參閱 WDAC 偵錯和疑難解答。
注意事項
EPM 未包含在應用程控的默認原則中,而且可能需要建立自定義原則。
限制可以互動方式登入之用戶的組織可能會看到端點許可權管理的問題
端點許可權管理會使用隔離的帳戶來加速提高許可權。 此帳戶需要能夠建立互動式登入會話。 限制使用者建立互動式會話能力的組織必須進行變更,EPM 才能正常運作。
要求支援核准提高許可權的用戶必須是裝置上的主要使用者
端點許可權管理目前要求提高許可權的用戶必須是裝置的主要使用者。 我們正努力在未來的版本中移除這項限制。
使用檔名撰寫檔案作為唯一的識別屬性之一
檔名是可用來偵測需要提升許可權之應用程式的屬性。 不過,它不會受到檔案簽章的保護。
檔名 極易變更 ,且使用您信任的憑證簽署的檔案可能會變更其名稱以 進行偵測 ,並後續 提高許可權 ,這可能不是您想要的行為。
重要事項
請務必確定包含檔名的規則包含其他屬性,這些屬性會提供強式判斷提示給檔案的身分識別。 檔案簽章中包含的檔案哈希或屬性等屬性,是您想要之檔案可能提升許可權的良好指標。
如果快速連續變更,提高許可權設定原則可能會顯示衝突
端點許可權管理會報告使用提高許可權設定配置檔套用的個別 設定 狀態。 如果此配置檔中的設定 (實例) 的預設提高許可權行為會快速連續變更多次,則可能會導致裝置回報衝突或回復為 拒絕 提高許可權的默認行為。 這是暫時性狀態,不會在) 60 分鐘內 (進一步的動作來解決。 此問題將在未來版本中修正。
無法提高從因特網下載的封鎖檔案
行為存在於 Windows 中,可在直接從因特網下載的檔案上設定屬性,並防止它們執行直到驗證為止。 Windows 具有可驗證從因特網下載之檔案信譽的功能。 未驗證檔案信譽時,可能無法提高許可權。
若要更正此行為,請從 [檔案屬性] 窗格解除封鎖檔案,以解除封鎖檔案。 只有在您信任檔案時,才應該解除封鎖檔案。
「已加入工作場所」的 Windows 裝置無法啟用端點許可權管理
端點許可權管理不支援已加入工作場所的裝置。 這些裝置在部署至裝置時,不會顯示成功或處理 EPM 原則 (提高許可權設定或提高許可權規則) 。
網路檔案的規則可能無法提高
端點許可權管理支援執行本機儲存在磁碟上的檔案。 不支援從網路位置執行檔案,例如網路共享或對應磁碟驅動器。
當我在網路基礎結構上使用「SSL 檢查」時,端點許可權管理不會收到原則
端點許可權管理不支援 SSL 檢查,也稱為「中斷和檢查」。 若要使用端點許可權管理,請確定 Intune Endpoints for Endpoint Privilege Management 中所列的 URL 免於檢查。
常見問題集
為什麼我的虛擬設備未上線到端點許可權管理?
目前,Azure 虛擬桌面不支援端點許可權管理。 此問題將在未來版本中修正。
Windows 365 (雲端電腦) 的支援已於 2023 年 9 月新增。
為什麼我的提高許可權設定原則顯示錯誤/不適用?
提高許可權設定原則會控制 EPM 的啟用和用戶端元件的組態。 當此原則發生錯誤或顯示不適用時,表示裝置在啟用 EPM 時發生問題。 兩個最常見的原因是缺少 必要的 Windows 更新 ,或無法與 端點許可權管理的必要 Intune 端點通訊。
當具有系統管理許可權的人員使用啟用 EPM 的裝置時,會發生什麼事?
端點許可權管理不會管理裝置上具有系統管理許可權的使用者提高許可權要求。 在某些情況下,系統管理員可能會啟動具有提高許可權規則的檔案,特別是 (裝置上定義的自動提高許可權規則) 。 此應用程式會如往常般針對系統管理員啟動,EPM 將會產生非受控提高許可權的事件。
哪些檔案可以提升給系統管理員?
端點許可權管理支援可執行檔,包括具有 .msi
擴充功能和 .ps1
PowerShell 腳本的可執行檔。
為什麼 [開始] 功能表項上不會顯示 [以提升的存取權執行]?
位於 [開始] 功能表或任務列中的某些專案具有已策劃的滑鼠右鍵功能表,而且 EPM 以滑鼠右鍵按鍵按下操作功能表無法新增至這些功能表。 我們計劃在未來的版本中修正此問題。
我可以使用 [以提升的存取權執行] 以滑鼠右鍵按兩下操作功能表,以提升許可權的方式啟動多個檔案嗎?
一次只能提升一個檔案。 若要啟動多個提升許可權的檔案,請以滑鼠右鍵個別按下每個檔案,然後選取 [ 以提升的存取權執行]。