将终结点特权管理与 Microsoft Intune

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限,并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (例如Microsoft 365 应用程序) 、更新设备驱动程序以及运行某些 Windows 诊断。

Endpoint Privilege Management 通过帮助组织实现以最低特权运行的广泛用户群,同时允许用户继续运行组织允许的任务,以保持高效工作,从而支持零信任旅程。 有关详细信息,请参阅使用Microsoft Intune零信任

本文的以下部分讨论使用 EPM 的要求,提供此功能工作原理的功能概述,并介绍 EPM 的重要概念。

应用于:

  • Windows 10
  • Windows 11

先决条件

授权

终结点特权管理需要除 Microsoft Intune 计划 1 许可证之外的其他许可证。 可以选择只添加 EPM 的独立许可证,也可以将 EPM 许可证作为Microsoft Intune Suite的一部分。 有关详细信息,请参阅使用 Intune 套件加载项功能

要求

终结点特权管理具有以下要求:

  • 已加入Microsoft EntraMicrosoft Entra混合联接
  • Microsoft Intune注册Microsoft Configuration Manager共同管理的设备 (无工作负载要求)
  • 支持的操作系统
  • 清除视线 (,无需 SSL 检查) 到所需的终结点

注意

  • 使用受支持的操作系统版本支持Windows 365 (CloudPC)
  • Endpoint Privilege Management 不支持加入工作区的设备
  • Endpoint Privilege Management 不支持 Azure 虚拟桌面

Endpoint Privilege Management 支持以下操作系统:

  • Windows 11版本 24H2
  • Windows 11,版本 23H2 (22631.2506 或更高版本 ) KB5031455
  • Windows 11,版本 22H2 (22621.2215 或更高版本 ) KB5029351
  • Windows 11版本 21H2 (22000.2713 或更高版本) KB5034121
  • Windows 10版本 22H2 (19045.3393 或更高版本 ) KB5030211
  • Windows 10版本 21H2 (19044.3393 或更高版本 ) KB5030211

重要

  • 提升设置策略将显示为不适用于未运行受支持的操作系统版本的设备。
  • 终结点特权管理具有一些新的网络要求,请参阅用于Intune的网络终结点

政府云支持

以下主权云环境支持终结点特权管理:

  • 美国政府社区云 (GCC) 高
  • 美国国防部 (国防部)

有关详细信息,请参阅美国政府 GCC 服务说明Microsoft Intune

Endpoint Privilege Management 入门

Endpoint Privilege Management (EPM) 内置于 Microsoft Intune 中,这意味着所有配置都在 Microsoft Intune 管理员 中心内完成。 当组织开始使用 EPM 时,会使用以下高级流程:

  • 许可证终结点特权管理 - 必须先将租户中的 EPM 作为Intune加载项许可,然后才能使用终结点特权管理策略。 有关许可信息,请参阅使用 Intune Suite 加载项功能

  • 部署 提升设置 策略 - 提升设置策略在客户端设备上 激活 EPM。 此策略还允许配置特定于客户端但不一定与单个应用程序或任务的提升相关的设置。

  • 部署 提升规则 策略 - 提升规则策略将应用程序或任务 链接到 提升操作。 使用此策略为应用程序在设备上运行时,组织允许的应用程序配置提升行为。

Endpoint Privilege Management 的重要概念

配置前面提到的 提升设置提升规则 策略时,需要了解一些重要概念,以确保配置 EPM 以满足组织的需求。 在广泛部署 EPM 之前,应充分了解以下概念,以及它们对环境的影响:

  • 使用提升的访问权限运行 - 在设备上激活 EPM 时显示的右键单击上下文菜单选项。 使用此选项时,将检查设备提升规则策略的匹配项,以确定是否可以以及如何提升该文件以在管理上下文中运行。 如果没有适用的提升规则,则设备将使用提升设置策略定义的默认提升配置。

  • 文件提升和提升类型 – EPM 允许没有管理权限的用户在管理上下文中运行进程。 创建提升规则时,该规则允许 EPM 代理该规则的目标,以在设备上以管理员权限运行。 结果是应用程序在设备上具有 完全的管理功能

    使用终结点特权管理时,有几种提升行为选项:

    • 对于自动提升规则,EPM 会自动 提升这些应用程序,而无需用户输入。 此类别中的广泛规则可能会对组织的安全状况产生广泛影响。
    • 对于用户确认的规则,最终用户使用新的右键单击上下文菜单 “使用提升的访问权限运行”。 用户确认的规则要求最终用户在允许应用程序提升之前完成一些其他要求。 这些要求通过在提升之前让用户确认应用将在提升的上下文中运行,从而提供额外的保护层。
    • 对于支持批准的规则,最终用户必须提交批准应用程序的请求。 提交请求后,管理员可以批准该请求。 请求获得批准后,最终用户会收到通知,告知他们可以在设备上完成提升。 有关使用此规则类型的详细信息,请参阅 支持批准的提升请求

    注意

    每个提升规则还可以为提升的进程创建的子进程设置提升行为。

  • 子进程控件 - 当 EPM 提升进程时,可以控制 EPM 管理子进程的创建方式,这样就可以精细控制可能由提升的应用程序创建的任何子进程。

  • 客户端组件 – 若要使用 Endpoint Privilege Management,Intune在接收提升策略并强制实施提升策略的设备上预配一小部分组件。 Intune仅在收到提升设置策略时预配组件,并且该策略表示启用终结点特权管理的意图。

  • 禁用和取消预配 - 作为安装在设备上的组件,可以从提升设置策略中禁用 Endpoint Privilege Management。 需要使用提升设置策略从设备中删除 Endpoint Privilege Management。

    设备具有要求禁用 EPM 的提升设置策略后,Intune立即禁用客户端组件。 EPM 将在 7 天后删除 EPM 组件。 延迟是为了确保策略或分配的临时或意外更改不会导致大量 取消预配/重新预配 事件,这些事件可能对业务运营产生重大影响。

  • 托管提升与非托管提升 – 这些术语可能用于我们的报告和使用情况数据。 这些术语引用以下说明:

    • 托管提升:Endpoint Privilege Management 促进的任何提升。 托管提升包括 EPM 最终为标准用户提供的所有提升。 这些托管提升可能包括由于提升规则或默认提升操作的一部分而发生的提升。
    • 非托管提升:不使用 Endpoint Privilege Management 进行的所有文件提升。 当具有管理权限的用户使用 Windows 默认操作 “以管理员身份运行”时,可能会发生这些提升。

Endpoint Privilege Management 的基于角色的访问控制

若要管理 Endpoint Privilege Management,必须为帐户分配基于Intune角色的访问控制 (RBAC) 角色,该角色包括以下权限,这些权限具有完成所需任务的足够权限:

  • 终结点特权管理策略创作 - 需要此权限才能处理 Endpoint Privilege Management 的策略或数据和报表,并支持以下权限:

    • 查看报表
    • 阅读
    • 创建
    • 更新
    • 删除
    • Assign
  • 终结点特权管理提升请求 - 需要此权限才能处理用户提交以供审批的提升请求,并支持以下权限:

    • 查看提升请求
    • 修改提升请求

可以将具有一个或多个权限的此权限添加到自己的自定义 RBAC 角色,或使用专用于管理终结点特权管理的内置 RBAC 角色:

  • Endpoint Privilege Manager – 此内置角色专用于在 Intune 控制台中管理 Endpoint Privilege Management。 此角色包括 终结点特权管理策略创作终结点特权管理提升请求的所有权限。

  • 终结点特权读取者 - 使用此内置角色在 Intune 控制台中查看终结点特权管理策略,包括报表。 此角色包括以下权限:

    • 查看报表
    • 阅读
    • 查看提升请求

除了专用角色外,Intune的以下内置角色还包括 Endpoint Privilege Management Policy Authoring 的权限:

  • 终结点安全管理器 - 此角色包括 终结点特权管理策略创作终结点特权管理提升请求的所有权限。

  • 只读操作员 - 此角色包括以下权限:

    • 查看报表
    • 阅读
    • 查看提升请求

有关详细信息,请参阅Microsoft Intune的基于角色的访问控制

EpmTools PowerShell 模块

接收终结点特权管理策略的每个设备都会安装 EPM Microsoft 代理来管理这些策略。 代理包括 EpmTools PowerShell 模块,这是一组可导入到设备的 cmdlet。 可以使用 EpmTools 中的 cmdlet 来:

  • 诊断和排查 Endpoint Privilege Management 的问题。
  • 直接从要为其生成检测规则的文件或应用程序获取文件属性。

安装 EpmTools PowerShell 模块

EPM 工具 PowerShell 模块可从已接收 EPM 策略的任何设备获得。 若要导入 EpmTools PowerShell 模块,请执行以下操作:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

下面是可用的 cmdlet:

  • Get-Policies:检索 Epm 代理为给定 PolicyType (ElevationRules、ClientSettings) 接收的所有策略的列表。
  • Get-DeclaredConfiguration:检索 WinDC 文档的列表,这些文档标识针对设备的策略。
  • Get-DeclaredConfigurationAnalysis:检索 MSFTPolicies 类型的 WinDC 文档列表,并检查 Epm 代理 (已处理列) 中是否已存在策略。
  • Get-ElevationRules:查询 EpmAgent 查找功能,并检索给定查找和目标的规则。 FileName 和 CertificatePayload 支持查找。
  • Get-ClientSettings:处理所有现有客户端设置策略以显示 EPM 代理使用的有效客户端设置。
  • Get-FileAttributes:检索 .exe 文件的文件属性,并将其发布服务器和 CA 证书提取到可用于填充特定应用程序的提升规则属性的设置位置。

有关每个 cmdlet 的详细信息,请查看设备上的 EpmTools 文件夹中的readme.txt 文件。

后续步骤