規劃並準備端端點權限管理部署

注意事項

此功能可作為 Intune 附加元件提供。 欲了解更多資訊,請參閱使用 Intune Suite 附加元件功能

有了Microsoft Intune端點權限管理 (EPM) ,您的組織使用者可以像標準使用者 (一樣運行,無需管理員權限) ,並完成需要提升權限的任務。 欲了解更多資訊,請參閱 EPM概覽

適用於:

  • Windows

本文涵蓋規劃 EPM) 部署所需的資訊端點權限管理 (包括需求、重要概念、安全建議及基於角色的存取控制。

規劃檢查清單

  • 檢視租客的技術與執照要求。
  • 定義你的目標使用者角色,讓你能在這些角色上建立邏輯分組的規則。
  • 確保你對高程設定和高程規則政策有良好了解,包括:
    • 預設高程設定與診斷資料收集。
    • 使用檔案雜湊、元資料或憑證來定義高程檔案。
    • 憑證規則如何允許任何由該憑證簽署的應用程式進行升遷。 對於可能用同一份憑證簽署所有應用程式的廠商,請特別小心。
    • 規則論證支持,以及兒童處理行為選項。
    • 高程類型。
    • 當你有重疊的規則指派時,如何處理規則衝突。
  • 為您的組織與使用者角色找到安全性與彈性之間的適當平衡。
  • 確保你有完善的推廣策略。 這包括利害關係人管理、終端用戶溝通與培訓計畫,以及監控。

必要條件

✅ 了解你在 EPM 上需要什麼

授權

端點權限管理需要額外授權,超出 Microsoft Intune 方案 1 授權。 您可以選擇只新增 EPM 的獨立授權,或是將 EPM 作為 Microsoft Intune Suite 的一部分授權。 欲了解更多資訊,請參閱使用 Intune Suite 附加元件功能

需求

端點權限管理具備以下需求:

  • Microsoft Entra 加入 Microsoft Entra 混合加入
  • Microsoft Intune 註冊Microsoft Configuration Manager共同管理裝置 (無工作負載需求)
  • 支援的作業系統
  • 無需SSL檢查) 即可 (所需端點的清晰視線

端點權限管理支援以下作業系統:

  • Windows 11,版本 24H2
  • Windows 11,23H2 版本 (22631.2506 或更新版本) KB5031455
  • Windows 11,22H2 版本 (22621.2215 或更新版本) KB5029351
  • Windows 11,21H2 版本 (22000.2713 或更新版本) KB5034121
  • Windows 10,22H2 版本 (19045.3393 或更新版本,) KB5030211
  • Windows 10,版本 21H2 (19044.3393 或更新版本) KB5030211

端點權限管理支援以下虛擬平台:

  • Azure 虛擬桌面 (AVD) 單一會話虛擬機 (虛擬機)
  • Windows 365

重要事項

2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。

重要事項

  • 對於未執行支援作業系統版本的裝置,Elevation 設定政策顯示為「不適用」。
  • 端點權限管理僅相容於 64 位元作業系統架構,包括 Arm64。

政府雲端支援

以下主權雲端環境支援端端點權限管理:

  • 美國政府社群雲 (GCC) High
  • 美國國防部 (國防部)

欲了解更多資訊,請參閱 Microsoft Intune 以了解美國政府 GCC 服務說明

端端點權限管理的重要概念

當您配置前述的高 程設定高程規則 政策時,有一些重要的概念需要理解,以確保您能設定 EPM 以符合組織需求。 在你廣泛部署EPM之前,以下概念應該已經清楚,以及它們對環境的影響:

  • 使用提升權限執行 ——當裝置啟用 EPM 時,右鍵點擊的右鍵選單選項會出現。 使用此選項時,會檢查裝置高程規則政策是否匹配,以判斷該檔案是否以及如何提升以在管理情境中執行。 如果沒有適用的 Elevation 規則,裝置就會依照 Elevation Settings Policy 定義的預設 Elevation 設定。

  • 檔案提升與提升類型 – EPM 允許沒有管理員權限的使用者在管理情境中執行程序。 當你建立一個升高規則時,該規則允許 EPM 代理該規則的目標,以管理員權限在裝置上執行。 結果是該應用程式在裝置上具備 完整的管理 能力。

除了 Elevate 作為目前使用者外,EPM 使用 虛擬帳號 來提升程序。 這能將提升的行為與使用者個人資料隔離,降低暴露於特定用戶資料的風險,並降低權限升級的風險。

當你使用端端點權限管理時,有幾種提升行為的選項:

  • 自動:對於自動高程規則,EPM 會自動 提升這些應用程式,無需使用者輸入。 此類廣泛規則對組織的安全防護能力產生廣泛影響。

  • 使用者確認:在使用者確認規則後,終端使用者會使用新的右鍵右鍵選單 「以提升權限執行」。 用戶確認規則也可能要求驗證,並以認證或商業理由進行驗證。 要求驗證能提供額外保護層,讓使用者必須確認高程。

  • 提升為目前使用者:這種提升方式會在登入使用者自己的帳號下執行提升程序,並保留與依賴該活躍使用者設定檔的工具與安裝程式的相容性。 這需要使用者輸入他們的憑證以進行 Windows 驗證。 這會保留使用者的個人檔案路徑、環境變數和個人化設定。 由於升遷流程在升高前後保持相同的使用者身份,稽核追蹤保持一致且準確。

    然而,由於升格程序會繼承使用者的完整上下文,此模式引入更廣泛的攻擊面,並減少與使用者資料的隔離。

    主要考量:

    • 相容性需求:僅在虛擬帳號升級導致應用程式失敗時使用此模式。
    • 嚴格範圍:將升高規則限制在受信任的二進位和路徑中,以降低風險。
    • 安全性權衡:了解此模式會增加使用者特定資料的暴露。

    提示

    當相容性不是問題時,建議採用利用虛擬帳號升級的方式來加強安全性。

  • 拒絕:拒絕規則指的是 EPM 阻止該檔案在升級上下文中執行。 拒絕規則可以確保已知檔案或潛在惡意軟體無法在升高的環境中執行。

  • 支援核准:對於支援核准的規則,終端使用者必須提交請求以提升權限執行應用程式。 請求提交後,管理員可以批准申請。 一旦請求獲准,最終使用者會被通知可以重新嘗試裝置的高度。 欲了解更多使用此規則類型的資訊,請參閱 支援已核准的高程請求

注意事項

每個升遷規則也能設定升遷程序所產生的子程序升遷行為。

  • 子程序控制 ——當程序被 EPM 提升時,你可以控制子程序的建立如何由 EPM 管理,讓你能細緻控制由提升應用程式可能產生的任何子程序。

  • 用戶端元件 – 使用 端點權限管理時,Intune 會在裝置上配置一小組元件,接收並執行升遷政策。 Intune 只有在收到升高設定政策,且政策表達啟用端點特權管理的意圖時,才會配置這些元件。

  • 受控高程與非受控高程 ——這些術語可能會用於我們的報告與使用資料中。 這些術語指的是以下描述:

    • 管理式提升:端端點權限管理所促進的任何提升。 受管理的高程包括 EPM 最終為標準使用者所促成的所有高程。 這些管理式高程可能包括因高程規則而產生的高低,或是預設高程動作的一部分。

    • 非管理升格:指所有未使用端端點權限管理時發生的檔案升遷。 這些提升可能發生在擁有管理員權限的使用者使用 Windows 預設操作「 以管理員身份執行」時。

EPM 政策

✅ 了解EPM政策類型

端點權限管理使用兩種政策類型,您可以設定來管理檔案提升請求的處理方式。 這些政策共同設定當標準使用者要求 以管理員權限執行時,檔案升遷的行為。

這些政策包括:

  • 高程設定政策
  • 高程規則政策

EPM 也支援一個可重複使用的設定群組,可儲存可跨多個規則或規則政策參照的發佈者憑證。

端端點權限管理的政策衝突處理

✅ 了解政策衝突

除以下情況外,EPM 的衝突政策處理方式與其他 政策衝突相同。

Windows 高程設定政策

當裝置收到兩個不同且值相衝突的高程設定政策時,EPM 用戶端會回復到預設的用戶端行為,直到衝突解決。

注意事項

若啟用端端點權限管理與此衝突,客戶端的預設行為是啟用 EPM。

Windows 高程規則政策

如果裝置收到兩個針對相同應用程式的規則,則該裝置會同時消耗這兩個規則。 當 EPM 解析適用於高程的規則時,會使用以下邏輯:

  • 具有 Deny 這種 elevation 類型的規則總是優先,檔案 elevation 會被拒絕。
  • 部署給使用者的規則優先於部署到裝置的規則。
  • 定義雜湊值的規則總是被視為最 具體 的規則。
  • 若多條規則適用 (且未定義雜湊) ,則屬性定義最多的規則將 (最 具體的) 。
  • 若套用後續邏輯產生多條規則,則以下排序決定升高行為:確認使用者提升為目前使用者支援核准,然後自動

注意事項

如果沒有針對某個高程的規則,而該高程是透過 「帶高架存取的跑步 」右鍵選單請求的,則會使用 預設高程行為

端點權限管理與使用者帳戶控制

✅ 了解 EPM 與使用者帳戶控制之間的互動

端點權限管理 與 Windows 內建的使用者帳號控制 (UAC) 是獨立功能,功能不同。

當將使用者移為標準使用者並使用端端點權限管理時,你可以選擇更改標準使用者的預設 UAC 行為。 此變更能減少應用程式需要提升時的混淆,並創造更佳的終端使用者體驗。 可參考 標準使用者的升高提示行為 以獲取更多資訊。

注意事項

端點權限管理不會干擾由裝置管理員執行的使用者帳號控制操作 (或 UAC) 。

安全建議

✅ 了解使用 EPM 最安全的方法

為確保端端點權限管理的安全部署,請在設定升高行為與規則時考慮以下建議。

設定一個安全的預設高程響應

將預設的升遷回應設為「要求支援批准」或「拒絕」,而非「要求使用者確認」。 這些選項確保提升以預設規則控制已知二進位檔,降低使用者提升任意或潛在惡意執行檔的風險。

要求所有規則類型都限制檔案路徑

在設定高程規則時,請指定所需的檔案路徑。 雖然 檔案路徑 是可選的,但當路徑指向標準使用者無法修改的位置(如安全系統目錄)時,它可作為使用自動升降或萬用字元屬性的規則的重要安全檢查。 使用安全檔案位置可防止執行檔或其相依二進位檔在提升前被竄改或替換。

此建議適用於根據高程報告支援核准請求中自動建立的規則,以及您手動建立的高程規則。

重要事項

位於網路共享的 Files 不被支援,也不應該用於規則定義。

Differentiate installer and runtime elevation

要有意識地調整安裝檔與應用程式執行時的高度。 安裝程式的高度應嚴格控制,以防止未經授權的軟體安裝。 執行時提升應該盡量減少,以降低整體攻擊面。

對高風險應用適用更嚴格的規定

對於具備更廣泛存取權限或腳本能力的應用程式,例如網頁瀏覽器和 PowerShell,應使用更嚴格的升高規則。 PowerShell 可以考慮使用腳本專用規則,確保只有受信任的腳本能以提升權限執行。

即使是從第三方產品遷移過來,也要重新開始

EPM 的運作方式與第三方產品不同,因此我們建議從稽核政策開始。 接著,你可以從報告建立新規則,利用 支援核准 的提升權限,當檔案沒有規則但使用者需要提升該檔案才能完成工作時。

基於角色的存取控制用於端端點權限管理

✅ 了解如何委派 EPM 存取權

要管理端點權限管理,您的帳號必須被分配Intune一個基於角色 (存取控制的 RBAC) 角色,該權限包含以下權限及足夠權限以完成所需任務:

  • 端點權限管理政策撰寫——此權限用於處理端點權限管理的政策或資料及報告,並支援以下權限:

    • 查看報告
    • 讀取
    • 建立
    • Update
    • 刪除
    • Assign

  • 端點權限管理高程請求——此權限是處理使用者提交的支援核准高程請求所必需,並支持以下權利:

    • 查看立面請求
    • 修改高程請求

你可以將此權限加入一個或多個權限,並用於自訂的 RBAC 角色,或使用內建的 RBAC 角色來管理端端點權限管理:

  • 端點權限管理員 – 此內建角色專門管理 Intune 主控台中的端端點權限管理。 此職務包含端點權限管理、政策撰寫端端點權限管理提升請求的所有權利。

  • 端點權限讀取器 - 使用此內建角色在 Intune 主控台中查看端端點權限管理政策,包括報告。 此職務包括以下權利:

    • 查看報告
    • 讀取
    • 查看立面請求

除了專用角色外,Intune 內建的以下角色也包含端端點權限管理政策撰寫權限:

  • 端點安全管理員 - 此職務包含端端點權限管理、政策撰寫端點權限管理提升請求的所有權利。

  • 唯讀操作員 - 此職位包含以下權利:

    • 查看報告
    • 讀取
    • 查看立面請求

欲了解更多資訊,請參閱 Microsoft Intune 的角色基礎存取控制

EpmTools PowerShell module

✅ 學習如何使用 EPM PowerShell 模組

每個接收端端點權限管理政策的裝置都會安裝 EPM Microsoft 代理程式來管理這些政策。 代理程式包含 EpmTools PowerShell 模組,這是一組可以匯入裝置的 cmdlet。 你可以使用 EpmTools 的 cmdlet 來:

  • 診斷並排解端端點權限管理的問題。
  • 直接從你想建立偵測規則的檔案或應用程式取得檔案屬性。

安裝 EpmTools PowerShell 模組

EPM 工具 PowerShell 模組可從任何已接收 EPM 政策的裝置取得。 要匯入 EpmTools PowerShell 模組:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

注意事項

Windows on Arm64 需要使用 Windows PowerShell x64。

以下是可用的指令長:

  • Get-Policies:取得 EPM 針對特定「PolicyType」 ('ElevationRules' 或 'ClientSettings') 收到的所有政策清單。
  • Get-DeclaredConfiguration:檢索一份 WinDC 文件清單,標示針對該裝置的政策。
  • Get-DeclaredConfigurationAnalysis:檢索 MSFTPolicies 類型的 WinDC 文件清單,並檢查該政策是否已存在於 Epm 代理 (處理中欄位) 。
  • Get-ElevationRules:查詢 EpmAgent 查詢功能,並取得已給定的查詢與目標規則。 支援檔案名稱與憑證Payload的查詢功能。
  • Get-ClientSettings:處理所有現有客戶端設定政策,以顯示 EPM 所使用的有效客戶端設定。
  • Get-FileAttributes:取得 .exe 檔案的檔案屬性,並將其 Publisher 與 CA 憑證解壓至指定位置,用於填充特定應用的 Elevation Rule 屬性。

如需更多關於每個指令小程式的資訊,請參閱裝置 EpmTools 資料夾中的 readme.md 檔案。

後續步驟

下一集:檢視隱私資料收集 >

  • Last updated on