Considérations relatives au déploiement et forum aux questions sur Endpoint Privilege Management

Remarque

Cette fonctionnalité est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

Avec Microsoft Intune Endpoint Privilege Management (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches qui nécessitent des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

Endpoint Privilege Management prend en charge votre parcours confiance zéro en aidant vos organization à atteindre une large base d’utilisateurs s’exécutant avec le moindre privilège, tout en permettant aux utilisateurs d’exécuter les tâches autorisées par votre organization à rester productifs.

Les sections suivantes de cet article traitent des considérations relatives au déploiement et des questions fréquemment posées pour EPM.

S’applique à :

• Windows 10
• Windows 11

Considérations relatives au déploiement pour Endpoint Privilege Management

Windows 10 appareils peuvent ne pas recevoir immédiatement la confirmation des approbations de support

Nous nous efforçons de résoudre quelques scénarios qui empêchent Windows 10 appareils de recevoir automatiquement la notification indiquant qu’une nouvelle approbation est prête pour l’appareil lorsque vous utilisez des élévations approuvées de prise en charge. Nous travaillons avec le propriétaire pour résoudre ce problème le plus rapidement possible.

L’organisation qui désactive le contrôle de compte d’utilisateur (UAC) peut rencontrer des problèmes avec Endpoint Privilege Management

Endpoint Privilege Management ne prend pas en charge la désactivation explicite du contrôle de compte d’utilisateur. Les contrôles de stratégie Windows pour le comportement de l’invite de contrôle de compte d’utilisateur existent pour contrôler le comportement des invites UAC. Si les organisations prennent des mesures supplémentaires pour désactiver le contrôle de compte d’utilisateur en dehors des contrôles de stratégie existants, comme la désactivation des services Windows, elles peuvent rencontrer des problèmes avec Endpoint Privilege Management.

Les organisations qui utilisent Application Control for Business peuvent rencontrer des problèmes lors de l’exécution de Endpoint Privilege Management

Les stratégies De contrôle d’application pour les entreprises qui ne comptent pas pour les composants clients EPM peuvent empêcher les composants EPM de fonctionner. Pour utiliser EPM avec AppControl, vérifiez que votre stratégie De contrôle d’application inclut des règles qui permettent à EPM de fonctionner.

Les organisations qui limitent les utilisateurs qui peuvent se connecter de manière interactive peuvent rencontrer des problèmes avec Endpoint Privilege Management

Endpoint Privilege Management utilise un compte isolé pour faciliter les élévations. Ce compte nécessite la possibilité de créer une session d’ouverture de session interactive. Les organisations qui limitent la possibilité pour les utilisateurs de créer des sessions interactives devront apporter des modifications pour qu’EPM fonctionne correctement.

Les utilisateurs qui demandent l’approbation du support technique pour l’élévation doivent être l’utilisateur principal sur l’appareil

Endpoint Privilege Management exige actuellement que l’utilisateur qui demande une élévation soit l’utilisateur principal de l’appareil. Nous nous efforçons de supprimer cette limitation dans une version ultérieure.

Création de fichiers avec un nom de fichier comme l’un des seuls attributs pour l’identification

Le nom de fichier est un attribut qui peut être utilisé pour détecter une application qui doit être élevée. Toutefois, il n’est pas protégé par la signature du fichier.

Les noms de fichiers sont très susceptibles d’être modifiés, et les fichiers signés par un certificat que vous approuvez peuvent avoir leur nom modifié pour être détecté et par la suite élevé , ce qui peut ne pas être votre comportement prévu.

Importante

Assurez-vous toujours que les règles incluant un nom de fichier incluent d’autres attributs qui fournissent une assertion forte à l’identité du fichier. Les attributs tels que le hachage de fichier ou les propriétés qui sont incluses dans la signature des fichiers sont de bons indicateurs que le fichier que vous souhaitez est probablement celui qui est élevé.

Les stratégies de paramètres d’élévation peuvent afficher un conflit en cas de modification rapide

Endpoint Privilege Management signale status des paramètres individuels appliqués à l’aide du profil Paramètres d’élévation. Si les paramètres de ce profil (comportement d’élévation par défaut pour instance) sont modifiés plusieurs fois dans une succession rapide, cela peut entraîner un conflit de signalement de l’appareil ou revenir au comportement par défaut de refus de l’élévation. Il s’agit d’un état temporaire qui se résout sans autre action (en moins de 60 minutes). Ce problème sera résolu dans une version ultérieure.

Les fichiers bloqués téléchargés à partir d’Internet ne parviennent pas à s’élever

Un comportement existe dans Windows pour définir un attribut sur les fichiers téléchargés directement à partir d’Internet et les empêcher de s’exécuter jusqu’à ce qu’ils soient validés. Windows dispose de fonctionnalités permettant de valider la réputation des fichiers téléchargés à partir d’Internet. Lorsqu’une réputation de fichiers n’est pas validée, elle peut ne pas être élevée.

Pour corriger ce comportement, débloquez le fichier en le débloquant à partir du volet des propriétés du fichier. Le déblocage d’un fichier ne doit être effectué que lorsque vous approuvez le fichier.

Les appareils Windows qui sont « joints à l’espace de travail » ne parviennent pas à activer Endpoint Privilege Management

Les appareils joints à l’espace de travail ne sont pas pris en charge par Endpoint Privilege Management. Ces appareils n’affichent pas de réussite ou ne traitent pas les stratégies EPM (paramètres d’élévation ou règles d’élévation) lorsqu’ils sont déployés sur l’appareil.

Les règles d’un fichier réseau peuvent ne pas être élevées

Endpoint Privilege Management prend en charge l’exécution de fichiers stockés localement sur le disque. L’exécution de fichiers à partir d’un emplacement réseau, tel qu’un partage réseau ou un lecteur mappé, n’est pas prise en charge.

Endpoint Privilege Management ne reçoit pas de stratégie lorsque j’utilise une « inspection SSL » sur mon infrastructure réseau

Endpoint Privilege Management ne prend pas en charge l’inspection SSL, appelée « break and inspect ». Pour utiliser Endpoint Privilege Management, assurez-vous que les URL répertoriées dans la Intune Points de terminaison pour Endpoint Privilege Management sont exemptées de l’inspection.

Foire aux questions

Pourquoi mon appareil virtuel n’est-il pas intégré à Endpoint Privilege Management ?

Actuellement, Endpoint Privilege Management n’est pas pris en charge avec Azure Virtual Desktop. Ce problème sera résolu dans la prochaine version.

La prise en charge des Windows 365 (PC cloud) a été ajoutée en septembre 2023.

Pourquoi ma stratégie de paramètres d’élévation affiche-t-elle une erreur/non applicable ?

La stratégie des paramètres d’élévation contrôle l’activation d’EPM et la configuration des composants côté client. Lorsque cette stratégie est en erreur ou s’affiche non applicable, cela indique que l’appareil a rencontré un problème lors de l’activation d’EPM. Les deux raisons les plus courantes sont l’absence des mises à jour Windows requises ou l’échec de communication avec les points de terminaison Intune requis pour Endpoint Privilege Management.

Que se passe-t-il lorsqu’une personne disposant de privilèges administratifs utilise un appareil activé pour EPM ?

Endpoint Privilege Management ne gère pas les demandes d’élévation effectuées par les utilisateurs disposant d’autorisations administratives sur un appareil. Il peut arriver qu’un administrateur lance un fichier qui a une règle d’élévation (en particulier une règle d’élévation automatique) définie sur l’appareil. Cette application démarre comme elle le fait normalement pour l’administrateur et un événement pour une élévation non managée est généré par EPM.

Quels fichiers peuvent être élevés à l’administrateur ?

Endpoint Privilege Management prend en charge les fichiers exécutables. Microsoft travaille actuellement à étendre la prise en charge d’autres types de fichiers (MSI, etc.) et à fournir une méthode simple pour élever les tâches courantes du système d’exploitation.

Pourquoi « Exécuter avec accès élevé » ne s’affiche-t-il pas dans les éléments du menu Démarrer ?

Certains éléments qui résident dans le menu Démarrer ou la barre des tâches ont un menu contextuel organisé et le menu contextuel EPM ne peut pas être ajouté à ces menus. Nous prévoyons de résoudre ce problème dans une prochaine version.

Puis-je lancer plusieurs fichiers avec élévation de privilèges avec le menu contextuel « Exécuter avec accès élevé » ?

Un seul fichier peut être élevé à la fois. Pour lancer plusieurs fichiers avec élévation de privilèges, cliquez avec le bouton droit sur chaque fichier individuellement et sélectionnez Exécuter avec accès élevé.

Prochaines étapes

• En savoir plus sur Endpoint Privilege Management
• Conseils pour la création de règles d’élévation
• Configurer des stratégies pour Endpoint Privilege Management
• Rapports pour la gestion des privilèges de point de terminaison
• Collecte et confidentialité des données pour Endpoint Privilege Management