Utiliser Endpoint Privilege Management avec Microsoft Intune

Article
04/03/2024

Remarque

Cette fonctionnalité est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

Avec Microsoft Intune Endpoint Privilege Management (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches qui nécessitent des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

Endpoint Privilege Management prend en charge votre parcours Confiance nulle en aidant vos organization à atteindre une large base d’utilisateurs s’exécutant avec le moindre privilège, tout en permettant aux utilisateurs d’exécuter les tâches autorisées par votre organization à rester productifs. Pour plus d’informations, consultez Confiance nulle avec Microsoft Intune.

Les sections suivantes de cet article décrivent les conditions requises pour utiliser EPM, fournissent une vue d’ensemble fonctionnelle du fonctionnement de cette fonctionnalité et présentent des concepts importants pour EPM.

S’applique à :

Windows 10
Windows 11

Conditions préalables

Licences

Endpoint Privilege Management nécessite une licence supplémentaire au-delà de la licence Microsoft Intune Plan 1. Vous pouvez choisir entre une licence autonome qui ajoute uniquement EPM ou une licence EPM dans le cadre de la Microsoft Intune Suite. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

Conditions requises

Endpoint Privilege Management a les exigences suivantes :

Microsoft Entra joint ou Microsoft Entra joint hybride
Microsoft Intune inscription ou Microsoft Configuration Manager appareils cogérés (aucune charge de travail requise)
Système d’exploitation pris en charge
Effacer la ligne de vue (sans SSL-Inspection) sur les points de terminaison requis

Remarque

Windows 365 (CloudPC) est pris en charge à l’aide d’une version de système d’exploitation prise en charge
Les appareils de jonction d’espace de travail ne sont pas pris en charge par Endpoint Privilege Management
Azure Virtual Desktop n’est pas pris en charge par Endpoint Privilege Management

Endpoint Privilege Management prend en charge les systèmes d’exploitation suivants :

Windows 11, version 23H2 (22631.2506 ou ultérieure) avec KB5031455
Windows 11, version 22H2 (22621.2215 ou ultérieure) avec KB5029351
Windows 11, version 21H2 (22000.2713 ou ultérieure) avec KB5034121
Windows 10, version 22H2 (19045.3393 ou ultérieure) avec KB5030211
Windows 10, version 21H2 (19044.3393 ou ultérieure) avec KB5030211

Importante

La stratégie des paramètres d’élévation s’affiche comme n’étant pas applicable aux appareils qui n’exécutent pas une version de système d’exploitation prise en charge.
Endpoint Privilege Management a de nouvelles exigences de mise en réseau. Consultez Points de terminaison réseau pour Intune.

Prise en main de Endpoint Privilege Management

Endpoint Privilege Management (EPM) est intégré à Microsoft Intune, ce qui signifie que toute la configuration est effectuée dans le centre Microsoft Intune Administration. Lorsque les organisations commencent à utiliser EPM, elles utilisent le processus général suivant :

Licence Endpoint Privilege Management : avant de pouvoir utiliser des stratégies Endpoint Privilege Management, vous devez obtenir une licence EPM dans votre locataire en tant que module complémentaire Intune. Pour plus d’informations sur les licences, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.
Déployer une stratégie de paramètres d’élévation : une stratégie de paramètres d’élévation active EPM sur l’appareil client. Cette stratégie vous permet également de configurer des paramètres spécifiques au client, mais qui ne sont pas nécessairement liés à l’élévation d’applications ou de tâches individuelles.
Déployer des stratégies de règle d’élévation : une stratégie de règle d’élévation lie une application ou une tâche à une action d’élévation. Utilisez cette stratégie pour configurer le comportement d’élévation pour les applications que votre organization autorise lorsque les applications s’exécutent sur l’appareil.

Concepts importants pour Endpoint Privilege Management

Lorsque vous configurez les paramètres d’élévation et lesstratégies de règles d’élévation mentionnés précédemment, vous devez comprendre certains concepts importants pour vous assurer que vous configurez EPM pour répondre aux besoins de votre organization. Avant de déployer à grande échelle EPM, les concepts suivants doivent être bien compris, ainsi que l’effet qu’ils ont sur votre environnement :

Exécuter avec accès élevé : option de menu contextuel qui s’affiche quand EPM est activé sur un appareil. Lorsque cette option est utilisée, les stratégies de règles d’élévation des appareils sont vérifiées pour rechercher une correspondance afin de déterminer si et comment ce fichier peut être élevé pour s’exécuter dans un contexte administratif. S’il n’existe aucune règle d’élévation applicable, l’appareil utilise les configurations d’élévation par défaut définies par la stratégie des paramètres d’élévation.
Élévation de fichiers et types d’élévation : EPM permet aux utilisateurs sans privilèges administratifs d’exécuter des processus dans le contexte administratif. Lorsque vous créez une règle d’élévation, cette règle permet à EPM de proxyer la cible de cette règle pour qu’elle s’exécute avec des privilèges d’administrateur sur l’appareil. Le résultat est que l’application dispose de toutes les fonctionnalités d’administration sur l’appareil.

Lorsque vous utilisez Endpoint Privilege Management, il existe plusieurs options pour le comportement d’élévation :
- Pour les règles d’élévation automatique, EPM élève automatiquement ces applications sans intervention de l’utilisateur. Les règles générales de cette catégorie peuvent avoir un impact généralisé sur la posture de sécurité du organization.
- Pour les règles confirmées par l’utilisateur, les utilisateurs finaux utilisent un nouveau menu contextuel avec clic droit Exécuter avec accès élevé. Les règles confirmées par l’utilisateur exigent que l’utilisateur final remplisse certaines exigences supplémentaires avant que l’application ne soit autorisée à élever la valeur. Ces exigences fournissent une couche de protection supplémentaire en faisant en sorte que l’utilisateur reconnaisse que l’application s’exécutera dans un contexte élevé, avant que cette élévation ne se produise.
- Pour les règles approuvées par le support, les utilisateurs finaux doivent envoyer une demande d’approbation d’une application. Une fois la demande envoyée, un administrateur peut approuver la demande. Une fois la demande approuvée, l’utilisateur final est averti qu’il peut terminer l’élévation sur l’appareil. Pour plus d’informations sur l’utilisation de ce type de règle, consultez Prise en charge des demandes d’élévation approuvées
Remarque

Chaque règle d’élévation peut également définir le comportement d’élévation pour les processus enfants créés par le processus avec élévation de privilèges.
Contrôles de processus enfants : lorsque les processus sont élevés par EPM, vous pouvez contrôler la façon dont la création de processus enfants est régie par EPM, ce qui vous permet d’avoir un contrôle granulaire sur tous les sous-processus qui peuvent être créés par votre application avec élévation de privilèges.
Composants côté client : pour utiliser Endpoint Privilege Management, Intune provisionne un petit ensemble de composants sur l’appareil qui reçoivent des stratégies d’élévation et les applique. Intune approvisionne les composants uniquement lorsqu’une stratégie de paramètres d’élévation est reçue et que la stratégie exprime l’intention d’activer la gestion des privilèges de point de terminaison.
Désactivation et déprovisionnement : en tant que composant qui s’installe sur un appareil, Endpoint Privilege Management peut être désactivé à partir d’une stratégie de paramètres d’élévation. L’utilisation de la stratégie de paramètres d’élévation est nécessaire pour supprimer Endpoint Privilege Management d’un appareil.

Une fois que l’appareil dispose d’une stratégie de paramètres d’élévation qui nécessite la désactivation d’EPM, Intune désactive immédiatement les composants côté client. EPM supprime le composant EPM après une période de sept jours. Le délai consiste à s’assurer que les modifications temporaires ou accidentelles apportées à la stratégie ou aux affectations n’entraînent pas un déprovisionnement/ en masse d’événements deréapprovisionnement susceptibles d’avoir un impact substantiel sur les opérations de l’entreprise.
Élévations managées et élévations non managées : ces termes peuvent être utilisés dans nos données de création de rapports et d’utilisation. Ces termes font référence aux descriptions suivantes :
- Élévation managée : toute élévation facilitée par Endpoint Privilege Management. Les élévations managées incluent toutes les élévations qu’EPM finit par faciliter pour l’utilisateur standard. Ces élévations gérées peuvent inclure des élévations qui se produisent à la suite d’une règle d’élévation ou dans le cadre d’une action d’élévation par défaut.
- Élévation non managée : toutes les élévations de fichiers qui se produisent sans utilisation de Endpoint Privilege Management. Ces élévations peuvent se produire lorsqu’un utilisateur disposant de droits d’administration utilise l’action Windows par défaut Exécuter en tant qu’administrateur.

Contrôles d’accès en fonction du rôle pour Endpoint Privilege Management

Pour gérer Endpoint Privilege Management, un Intune rôle de contrôle d’accès en fonction du rôle (RBAC) doit être attribué à votre compte qui inclut l’autorisation suivante avec des droits suffisants pour effectuer la tâche souhaitée :

Création de stratégie Endpoint Privilege Management : cette autorisation est requise pour travailler avec une stratégie ou des données et des rapports pour Endpoint Privilege Management, et prend en charge les droits suivants :
- Afficher les rapports
- Lecture
- Créer
- Mettre à jour
- Supprimer
- Affecter
Demandes d’élévation de gestion des privilèges des points de terminaison : cette autorisation est requise pour travailler avec les demandes d’élévation soumises par les utilisateurs pour approbation et prend en charge les droits suivants :
- Afficher les demandes d’élévation
- Modifier les demandes d’élévation

Vous pouvez ajouter cette autorisation avec un ou plusieurs droits à vos propres rôles RBAC personnalisés, ou utiliser un rôle RBAC intégré dédié à la gestion des privilèges de point de terminaison :

Gestionnaire de privilèges de point de terminaison : ce rôle intégré est dédié à la gestion des privilèges de point de terminaison dans la console Intune. Ce rôle inclut tous les droits relatifs à la création de stratégies endpoint Privilege Management et aux demandes d’élévation de gestion des privilèges de point de terminaison.
Lecteur de privilèges de point de terminaison : utilisez ce rôle intégré pour afficher les stratégies Endpoint Privilege Management dans la console Intune, y compris les rapports. Ce rôle inclut les droits suivants :
- Afficher les rapports
- Lecture
- Afficher les demandes d’élévation

En plus des rôles dédiés, les rôles intégrés suivants pour Intune incluent également des droits pour la création de stratégie Endpoint Privilege Management :

Gestionnaire de sécurité des points de terminaison : ce rôle inclut tous les droits relatifs à la création de stratégies de gestion des privilèges des points de terminaison et aux demandes d’élévation de gestion des privilèges de point de terminaison.
Opérateur Lecture seule : ce rôle inclut les droits suivants :
- Afficher les rapports
- Lecture
- Afficher les demandes d’élévation

Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

Module PowerShell EpmTools

Chaque appareil qui reçoit des stratégies Endpoint Privilege Management installe l’agent Microsoft EPM pour gérer ces stratégies. L’agent inclut le module PowerShell EpmTools , un ensemble d’applets de commande que vous pouvez importer sur un appareil. Vous pouvez utiliser les applets de commande d’EpmTools pour :

Diagnostiquer et résoudre les problèmes liés à Endpoint Privilege Management.
Obtenez les attributs de fichier directement à partir d’un fichier ou d’une application pour lequel vous souhaitez créer une règle de détection.

Installer le module PowerShell EpmTools

Le module PowerShell outils EPM est disponible à partir de n’importe quel appareil qui a reçu une stratégie EPM. Pour importer le module PowerShell EpmTools :

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Voici les applets de commande disponibles :

Get-Policies : récupère la liste de toutes les stratégies reçues par l’agent Epm pour un PolicyType donné (ElevationRules, ClientSettings).
Get-DeclaredConfiguration : récupère une liste de documents WinDC qui identifient les stratégies ciblées sur l’appareil.
Get-DeclaredConfigurationAnalysis : récupère une liste de documents WinDC de type MSFTPolicies et vérifie si la stratégie est déjà présente dans l’agent Epm (colonne Traitée).
Get-ElevationRules : interrogez la fonctionnalité de recherche EpmAgent et récupère les règles en fonction de la recherche et de la cible. La recherche est prise en charge pour FileName et CertificatePayload.
Get-ClientSettings : traitez toutes les stratégies de paramètres client existantes pour afficher les paramètres clients effectifs utilisés par l’agent EPM.
Get-FileAttributes : récupère les attributs de fichier d’un fichier .exe et extrait ses certificats de serveur de publication et d’autorité de certification à un emplacement défini qui peut être utilisé pour remplir les propriétés de règle d’élévation pour une application particulière.

Pour plus d’informations sur chaque applet de commande, consultez le fichier readme.txt du dossier EpmTools sur l’appareil.