规划和准备Endpoint Privilege Management部署

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 有关详细信息,请参阅 EPM 概述

应用于:

  • Windows

本文介绍规划Endpoint Privilege Management (EPM) 部署所需的信息,包括要求、重要概念、安全建议和基于角色的访问控制。

规划检查表

  • 查看租户中的技术和许可先决条件。
  • 定义目标用户角色,以便能够在这些角色上生成具有逻辑分组的规则。
  • 确保充分了解提升设置和提升规则策略,包括:
    • 默认提升设置和诊断数据收集。
    • 使用文件哈希、元数据或证书定义提升文件。
    • 证书规则如何允许该证书签名的任何应用提升。 对于可能使用同一证书为其所有应用签名的供应商,请谨慎行事。
    • 规则参数支持和子进程行为选项。
    • 提升类型。
    • 规则分配重叠时如何处理规则冲突。
  • 在组织和用户角色的安全性和灵活性之间找到适当的平衡点。
  • 确保你具有可靠的推出策略。 这包括利益干系人管理、最终用户通信和培训计划以及监视。

先决条件

✅ 了解 EPM 所需的内容

授权

Endpoint Privilege Management需要除Microsoft Intune 计划 1许可证之外的附加许可证。 可以选择只添加 EPM 的独立许可证,也可以将 EPM 许可证作为Microsoft Intune Suite的一部分。 有关详细信息,请参阅使用 Intune 套件加载项功能

要求

Endpoint Privilege Management具有以下要求:

  • 已加入Microsoft EntraMicrosoft Entra混合联接
  • Microsoft Intune注册Microsoft Configuration Manager共同管理的设备 (无工作负载要求)
  • 支持的操作系统
  • 清除视线 (,无需 SSL 检查) 到所需的终结点

Endpoint Privilege Management支持以下操作系统:

  • Windows 11版本 24H2
  • Windows 11,版本 23H2 (22631.2506 或更高版本 ) KB5031455
  • Windows 11,版本 22H2 (22621.2215 或更高版本 ) KB5029351
  • Windows 11版本 21H2 (22000.2713 或更高版本) KB5034121
  • Windows 10版本 22H2 (19045.3393 或更高版本 ) KB5030211
  • Windows 10版本 21H2 (19044.3393 或更高版本 ) KB5030211

Endpoint Privilege Management支持以下虚拟平台:

  • Azure虚拟桌面 (AVD) 单会话虚拟机 (VM)
  • Windows 365

重要

2025 年 10 月 14 日,Windows 10终止支持,不会收到质量和功能更新。 Windows 10 是 Intune 中允许的版本。 运行此版本的设备仍可以注册Intune并使用符合条件的功能,但无法保证功能并可能有所不同。

重要

  • 对于不运行受支持的操作系统版本的设备,提升设置策略报告为“不适用”。
  • Endpoint Privilege Management仅与 64 位操作系统体系结构(包括 Arm64)兼容。

政府云支持

以下主权云环境支持Endpoint Privilege Management:

  • 美国政府社区云 (GCC) 高
  • 美国国防部 (国防部)

有关详细信息,请参阅美国政府 GCC 服务说明Microsoft Intune

Endpoint Privilege Management的重要概念

配置前面提到的 提升设置提升规则 策略时,需要了解一些重要概念,以确保配置 EPM 以满足组织的需求。 在广泛部署 EPM 之前,应充分了解以下概念,以及它们对环境的影响:

  • 使用提升的访问权限运行 - 在设备上激活 EPM 时显示的右键单击上下文菜单选项。 使用此选项时,将检查设备提升规则策略的匹配项,以确定是否可以以及如何提升该文件以在管理上下文中运行。 如果没有适用的提升规则,则设备将使用提升设置策略定义的默认提升配置。

  • 文件提升和提升类型 – EPM 允许没有管理权限的用户在管理上下文中运行进程。 创建提升规则时,该规则允许 EPM 代理该规则的目标,以在设备上以管理员权限运行。 结果是应用程序在设备上具有 完全的管理功能

以当前用户身份提升外,EPM 使用 虚拟帐户 来提升进程。 这会将提升的操作与用户的配置文件隔离开来,从而减少用户特定数据的风险并降低特权提升的风险。

使用Endpoint Privilege Management时,有几种提升行为选项:

  • 自动:对于自动提升规则,EPM 无需 用户输入即可自动提升这些应用程序。 此类别中的广泛规则可能会对组织的安全状况产生广泛影响。

  • 用户确认:使用用户确认的规则,最终用户使用新的右键单击上下文菜单 “使用提升的访问权限运行”。 用户确认的规则还可以要求验证身份验证或业务理由。 要求验证通过让用户确认提升来提供额外的保护层。

  • 提升为当前用户:此类型的提升在已登录用户自己的帐户下运行提升的进程,从而保持与依赖于活动用户配置文件的工具和安装程序的兼容性。 这要求用户输入其 Windows 身份验证凭据。 这会保留用户的配置文件路径、环境变量和个性化设置。 由于提升的进程在提升前后维护相同的用户标识,因此审核跟踪保持一致且准确。

    但是,由于提升的进程继承了用户的完整上下文,因此此模式会引入更广泛的攻击面,并减少与用户数据的隔离。

    关键注意事项:

    • 兼容性需求:仅当虚拟帐户提升导致应用程序故障时才使用此模式。
    • 严格限定范围:将提升规则限制为受信任的二进制文件和路径,以降低风险。
    • 安全权衡:了解此模式会增加用户特定数据的风险。

    提示

    如果兼容性不是问题,则首选使用虚拟帐户提升来增强安全性的方法。

  • 拒绝:拒绝规则标识 EPM 阻止在提升的上下文中运行的文件。 拒绝规则可确保已知文件或潜在恶意软件无法在提升的上下文中运行。

  • 支持已批准:对于支持批准的规则,最终用户必须提交请求以使用提升的权限运行应用程序。 提交请求后,管理员可以批准该请求。 请求获得批准后,将通知最终用户他们可以在设备上重试提升。 有关使用此规则类型的详细信息,请参阅 支持批准的提升请求

注意

每个提升规则还可以为提升的进程创建的子进程设置提升行为。

  • 子进程控件 - 当 EPM 提升进程时,可以控制 EPM 管理子进程的创建方式,这样就可以精细控制可能由提升的应用程序创建的任何子进程。

  • 客户端组件 - 若要使用Endpoint Privilege Management,Intune在接收提升策略并强制实施提升策略的设备上预配一小部分组件。 Intune仅在收到提升设置策略时预配组件,并且该策略表示启用终结点特权管理的意图。

  • 托管提升与非托管提升 – 这些术语可能用于我们的报告和使用情况数据。 这些术语引用以下说明:

    • 托管提升:Endpoint Privilege Management促进的任何提升。 托管提升包括 EPM 最终为标准用户提供的所有提升。 这些托管提升可能包括由于提升规则或默认提升操作的一部分而发生的提升。

    • 非托管提升:不使用Endpoint Privilege Management进行的所有文件提升。 当具有管理权限的用户使用 Windows 默认操作 “以管理员身份运行”时,可能会发生这些提升。

EPM 策略

✅ 了解 EPM 策略类型

Endpoint Privilege Management使用配置的两种策略类型来管理文件提升请求的处理方式。 当标准用户请求 使用管理特权运行时,这些策略共同配置文件提升的行为。

这些策略包括:

  • 提升设置策略
  • 提升规则策略

EPM 还支持可重用的设置组来存储可跨多个规则或规则策略引用的发布者证书。

Endpoint Privilege Management的策略冲突处理

✅ 了解策略冲突

除以下情况外,EPM 冲突策略的处理方式与处理任何其他 策略冲突一样。

Windows 提升设置策略

当设备收到两个具有冲突值的单独提升设置策略时,EPM 客户端将还原为默认客户端行为,直到冲突得到解决。

注意

如果启用Endpoint Privilege Management冲突,则客户端的默认行为是启用 EPM。

Windows 提升规则策略

如果设备收到针对同一应用程序的两个规则,则会在设备上使用这两个规则。 当 EPM 解析适用于提升的规则时,它将使用以下逻辑:

  • 提升类型“拒绝”的规则始终优先,并且文件提升被拒绝。
  • 部署到用户的规则优先于部署到设备的规则。
  • 定义了哈希的规则始终被视为最 具体的 规则。
  • 如果多个规则应用没有) 定义哈希的 (,则具有最多定义属性的规则将赢得 (最 具体的) 。
  • 如果应用继续逻辑导致多个规则,则以下顺序确定提升行为: 用户确认以当前用户身份提升支持已批准,然后 自动

注意

如果提升规则不存在,并且该提升是通过提升的访问权限右键单击上下文菜单请求 ,则使用 默认提升行为

Endpoint Privilege Management和用户帐户控制

✅ 了解 EPM 和用户帐户控制之间的交互

Endpoint Privilege Management和 Windows 内置用户帐户控制 (UAC) 是具有不同功能的单独功能。

移动用户以标准用户身份运行并利用Endpoint Privilege Management时,可以选择更改标准用户的默认 UAC 行为。 当应用程序需要提升并创建更好的最终用户体验时,此更改可以减少混淆。 有关详细信息 ,请查看标准用户的提升提示行为

注意

Endpoint Privilege Management不会干扰管理员在设备上运行的用户帐户控制操作 (或 UAC) 。

安全建议

✅ 了解使用 EPM 的最安全方法

为了帮助确保安全部署Endpoint Privilege Management,请在配置提升行为和规则时考虑这些建议。

设置安全的默认提升响应

默认提升响应设置为“需要支持批准”或“拒绝”,而不是“需要用户确认”。 这些选项可确保使用已知二进制文件的预定义规则控制提升,从而降低用户提升任意或潜在恶意可执行文件的风险。

要求在所有规则类型中使用文件路径限制

配置提升规则时,请指定所需的文件路径。 虽然文件路径是可选的,但对于使用自动提升或基于通配符的属性的规则,当路径指向标准用户无法修改的位置(如安全系统目录)时,它可能是一个重要的安全检查。 使用受保护的文件位置有助于防止可执行文件或其依赖的二进制文件在提升之前被篡改或替换。

此建议适用于根据提升报告支持批准请求中的详细信息自动创建的规则,也适用于手动创建的提升规则。

重要

不支持位于网络共享上的Files,并且不应在规则定义中使用。

区分安装程序和运行时提升

有意提升安装程序文件与应用程序运行时。 应严格控制安装程序的提升,以防止未经授权的软件安装。 运行时提升应最小化,以减少整体攻击面。

对高风险应用程序应用更严格的规则

对具有更广泛访问或脚本功能的应用程序(如 Web 浏览器和 PowerShell)使用更严格的提升规则。 对于 PowerShell,请考虑使用特定于脚本的规则,以确保仅允许受信任的脚本以提升的权限运行。

全新开始,即使从第三方产品迁移

EPM 的操作方式与第三方产品不同,因此,我们建议从审核策略开始。 然后,你可以从报表创建新规则,并在文件没有规则但用户需要提升该文件才能完成其工作时,利用 支持批准的 提升。

Endpoint Privilege Management的基于角色的访问控制

✅ 了解如何委托对 EPM 的访问权限

若要管理Endpoint Privilege Management,必须为你的帐户分配一个Intune基于角色的访问控制 (RBAC) 角色,该角色包括以下权限,这些权限具有完成所需任务的足够权限:

  • Endpoint Privilege Management策略创作 - 需要此权限才能处理Endpoint Privilege Management的策略或数据和报表,并支持以下权限:

    • 查看报表
    • 阅读
    • 创建
    • 更新
    • 删除
    • Assign

  • Endpoint Privilege Management提升请求 - 需要此权限才能处理由用户提交以供审批的支持批准提升请求,并支持以下权限:

    • 查看提升请求
    • 修改提升请求

可以将具有一个或多个权限的此权限添加到自己的自定义 RBAC 角色,或使用专用于管理Endpoint Privilege Management的内置 RBAC 角色:

  • 终结点特权管理器 - 此内置角色专用于管理Intune控制台中的Endpoint Privilege Management。 此角色包括Endpoint Privilege Management策略创作Endpoint Privilege Management提升请求的所有权限。

  • 终结点特权读取者 - 使用此内置角色在 Intune 控制台中查看Endpoint Privilege Management策略,包括报表。 此角色包括以下权限:

    • 查看报表
    • 阅读
    • 查看提升请求

除了专用角色外,Intune的以下内置角色还包括Endpoint Privilege Management策略创作的权限:

  • Endpoint Security Manager - 此角色包括Endpoint Privilege Management策略创作Endpoint Privilege Management提升请求的所有权限。

  • 只读操作员 - 此角色包括以下权限:

    • 查看报表
    • 阅读
    • 查看提升请求

有关详细信息,请参阅Microsoft Intune的基于角色的访问控制

EpmTools PowerShell 模块

✅ 了解如何使用 EPM PowerShell 模块

接收Endpoint Privilege Management策略的每个设备都会安装 EPM Microsoft 代理来管理这些策略。 代理包括 EpmTools PowerShell 模块,这是一组可导入到设备的 cmdlet。 可以使用 EpmTools 中的 cmdlet 来:

  • 诊断和排查Endpoint Privilege Management问题。
  • 直接从要为其生成检测规则的文件或应用程序获取文件属性。

安装 EpmTools PowerShell 模块

EPM 工具 PowerShell 模块可从已接收 EPM 策略的任何设备获得。 若要导入 EpmTools PowerShell 模块,请执行以下操作:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

注意

Arm64 上的 Windows 需要使用 Windows PowerShell x64。

下面是可用的 cmdlet:

  • Get-Policies:检索 EPM 为给定的“PolicyType” (“ElevationRules”或“ClientSettings”) 接收的所有策略的列表。
  • Get-DeclaredConfiguration:检索 WinDC 文档的列表,这些文档标识针对设备的策略。
  • Get-DeclaredConfigurationAnalysis:检索 MSFTPolicies 类型的 WinDC 文档列表,并检查 Epm 代理 (已处理列) 中是否已存在策略。
  • Get-ElevationRules:查询 EpmAgent 查找功能,并检索给定查找和目标的规则。 FileName 和 CertificatePayload 支持查找。
  • Get-ClientSettings:处理所有现有客户端设置策略以显示 EPM 使用的有效客户端设置。
  • Get-FileAttributes:检索 .exe 文件的文件属性,并将其发布服务器和 CA 证书提取到可用于填充特定应用程序的提升规则属性的设置位置。

有关每个 cmdlet 的详细信息,请查看设备上的 EpmTools 文件夹中的 readme.md 文件。

后续步骤

下一步:查看隐私数据收集 >

  • Last updated on