Endpoint Privilege Management 的数据收集和隐私

注意

此功能作为 Intune 加载项提供。 有关详细信息,请参阅 使用 Intune Suite 加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (例如Microsoft 365 应用程序) 、更新设备驱动程序和运行某些 Windows 诊断。

Endpoint Privilege Management 通过帮助组织实现以最低特权运行的广泛用户群,同时允许用户仍运行组织允许的任务来保持高效,从而支持零信任旅程。

本文提供有关 EPM 可以从设备收集的数据的信息。

应用于:

  • Windows 10
  • Windows 11

数据收集概述

可以将设备上的终结点特权管理配置为报告以下数据类型:

  • 诊断数据
  • 使用率数据

配置 EPM 时,在 Windows 提升设置策略中配置“发送报告提升数据”和“报告范围”设置,以确定向Microsoft报告哪些数据。

诊断数据

诊断数据是Microsoft用于监视客户端组件的运行状况的事件数据,这些组件提供提升为标准用户的功能。

使用情况数据

使用情况数据是客户用来确定其环境中发生的提升数据的提升数据。 此数据随 Intune 基础结构一起存储,用于填充提升报告。 配置 报告范围时,可以配置收集的数据范围。 可以选择“无”、“仅 EPM 完成的提升”或设备上发生的所有提升。

数据收集参考

数据类型 属性名 说明
使用情况数据 租户标识符 租户唯一的标识符 (GUID) 。
设备标识符 标识符 (GUID) 设备唯一。
用户名 完成提升的用户的标识符 (“AzureAd\User”) 。
Justification 完成提升时,如果用户提供) ,则 (理由字符串
文件名 文件的名称 ,包括 完成提升的路径 (String)
事件 ID 内部标识符 (整数) 用于标识事件中描述的提升类型。
事件名称 内部名称 (字符串) 用于标识事件中描述的提升类型。
创建时间 在设备上生成事件的时间。
产品名称 完成提升的文件元数据 (字符串) 。
Publisher 完成提升的文件元数据 (字符串) 。
文件版本 完成提升的文件元数据 (字符串) 。
文件说明 完成提升的文件元数据 (字符串) 。
内部文件名 完成提升的文件元数据 (字符串) 。
证书有效负载 完成提升的文件元数据 (字符串) 。
提升类型 促进的提升类型
结果 提升操作的退出代码 (成功/失败)
帐户类型 完成提升 (本地或组织) 的帐户类型。
产品名称 完成提升的文件元数据 (字符串) 。
诊断数据 设备标识符 标识符 (GUID) 设备唯一。
事件 ID 内部标识符 (整数) 用于标识事件中描述的提升类型。
事件名称 内部名称 (字符串) 用于标识事件中描述的提升类型。
创建时间 在设备上生成事件的时间。
Publisher 完成提升的文件元数据 (字符串) 。
文件版本 完成提升的文件元数据 (字符串) 。
帐户类型 完成提升 (本地或组织) 的帐户类型。
错误代码 提升操作的退出代码 (成功/失败)
父进程 ID 促进提升的父进程的进程 ID
策略类型 促进提升 (的策略类型(如果适用)
策略标识符 标识符 (GUID) 促进提升的策略唯一
策略版本 促进提升的策略版本
提升类型 促进的提升类型
操作类型 用于策略应用程序操作的策略应用程序类型
取消操作类型 管理员生成的取消类型

后续步骤