Endpoint Privilege Management gebruiken met Microsoft Intune

Artikel
04/03/2024

Opmerking

Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Invoegtoepassingsmogelijkheden van Intune Suite gebruiken voor meer informatie.

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.

Endpoint Privilege Management ondersteunt uw Zero Trust reis door uw organisatie te helpen een brede gebruikersbasis te realiseren die met minimale bevoegdheden wordt uitgevoerd, terwijl gebruikers nog steeds taken kunnen uitvoeren die door uw organisatie zijn toegestaan om productief te blijven. Zie Zero Trust met Microsoft Intune voor meer informatie.

In de volgende secties van dit artikel worden de vereisten voor het gebruik van EPM besproken, wordt een functioneel overzicht geboden van hoe deze mogelijkheid werkt en worden belangrijke concepten voor EPM geïntroduceerd.

Van toepassing op:

Windows 10
Windows 11

Voorwaarden

Licenties

Endpoint Privilege Management vereist een extra licentie naast de licentie Microsoft Intune Abonnement 1. U kunt kiezen tussen een zelfstandige licentie die alleen EPM toevoegt of licentie-EPM als onderdeel van de Microsoft Intune Suite. Zie Invoegtoepassingsmogelijkheden van Intune Suite gebruiken voor meer informatie.

Vereisten

Endpoint Privilege Management heeft de volgende vereisten:

Microsoft Entra toegevoegd aan of Microsoft Entra hybride gekoppeld
Microsoft Intune-inschrijving of Microsoft Configuration Manager co-beheerde apparaten (geen workloadvereisten)
Ondersteund besturingssysteem
Duidelijke zichtlijn (zonder SSL-inspectie) naar de vereiste eindpunten

Opmerking

Windows 365 (CloudPC) wordt ondersteund met behulp van een ondersteunde versie van het besturingssysteem
Apparaten die lid zijn van de werkplek worden niet ondersteund door Endpoint Privilege Management
Azure Virtual Desktop wordt niet ondersteund door Endpoint Privilege Management

Endpoint Privilege Management ondersteunt de volgende besturingssystemen:

Windows 11 versie 23H2 (22631.2506 of hoger) met KB5031455
Windows 11 versie 22H2 (22621.2215 of hoger) met KB5029351
Windows 11 versie 21H2 (22000.2713 of hoger) met KB5034121
Windows 10 versie 22H2 (19045.3393 of hoger) met KB5030211
Windows 10 versie 21H2 (19044.3393 of hoger) met KB5030211

Belangrijk

Het beleid voor uitbreidingsinstellingen wordt weergegeven als niet van toepassing op apparaten waarop geen ondersteunde versie van het besturingssysteem wordt uitgevoerd.
Endpoint Privilege Management heeft enkele nieuwe netwerkvereisten. Zie Netwerkeindpunten voor Intune.

Aan de slag met Endpoint Privilege Management

Endpoint Privilege Management (EPM) is ingebouwd in Microsoft Intune, wat betekent dat alle configuratie wordt voltooid in het Microsoft Intune Beheer Center. Wanneer organisaties aan de slag gaan met EPM, gebruiken ze het volgende proces op hoog niveau:

Licentie-eindpunt privilegebeheer: voordat u Endpoint Privilege Management-beleid kunt gebruiken, moet u een licentie verlenen voor EPM in uw tenant als een Intune-invoegtoepassing. Zie Invoegtoepassingsmogelijkheden van Intune Suite gebruiken voor licentie-informatie.
Een beleid voor verhogingsinstellingen implementeren : met een beleid voor uitbreidingsinstellingen wordt EPM op het clientapparaat geactiveerd. Met dit beleid kunt u ook instellingen configureren die specifiek zijn voor de client, maar niet noodzakelijkerwijs betrekking hebben op de uitbreiding van afzonderlijke toepassingen of taken.
Beleid voor verhogingsverhogingsregels implementeren : een beleid voor een uitbreidingsregel koppelt een toepassing of taak aan een actie voor verhogingsverhoging. Gebruik dit beleid om het gedrag van uitbreidingen te configureren voor toepassingen die uw organisatie toestaat wanneer de toepassingen op het apparaat worden uitgevoerd.

Belangrijke concepten voor Endpoint Privilege Management

Wanneer u de eerder genoemde uitbreidingsinstellingen en beleidsregels voor uitbreidingsregels configureert, zijn er enkele belangrijke concepten die u moet begrijpen om ervoor te zorgen dat u EPM configureert om te voldoen aan de behoeften van uw organisatie. Voordat u EPM op grote schaal implementeert, moeten de volgende concepten goed worden begrepen, evenals het effect ervan op uw omgeving:

Uitvoeren met verhoogde toegang : een snelmenuoptie die wordt weergegeven wanneer EPM op een apparaat wordt geactiveerd. Wanneer deze optie wordt gebruikt, wordt het beleid voor uitbreidingsregels voor apparaten gecontroleerd op een overeenkomst om te bepalen of en hoe dat bestand kan worden verhoogd om te worden uitgevoerd in een beheercontext. Als er geen toepasselijke regel voor uitbreidingstoevoeging is, gebruikt het apparaat de standaardconfiguraties voor uitbreidingstoevoeging, zoals gedefinieerd door het beleid voor uitbreidingsinstellingen.
Uitbreidings- en uitbreidingstypen voor bestanden: MET EPM kunnen gebruikers zonder beheerdersbevoegdheden processen uitvoeren in de beheercontext. Wanneer u een regel voor uitbreidingstoestemming maakt, kan EPM het doel van die regel proxyn voor uitvoering met beheerdersbevoegdheden op het apparaat. Het resultaat is dat de toepassing volledige beheermogelijkheden heeft op het apparaat.

Wanneer u Endpoint Privilege Management gebruikt, zijn er enkele opties voor het gedrag van uitbreidingen:
- Voor regels voor automatische verhoging verhoogt EPM deze toepassingen automatisch zonder invoer van de gebruiker. Brede regels in deze categorie kunnen een wijdverbreide invloed hebben op de beveiligingspostuur van de organisatie.
- Voor door de gebruiker bevestigde regels gebruiken eindgebruikers een nieuw snelmenu Uitvoeren met verhoogde toegang. Door de gebruiker bevestigde regels vereisen dat de eindgebruiker aan enkele aanvullende vereisten voldoet voordat de toepassing kan worden verheft. Deze vereisten bieden een extra beveiligingslaag door de gebruiker te laten bevestigen dat de app wordt uitgevoerd in een verhoogde context, voordat die uitbreiding plaatsvindt.
- Voor goedgekeurde regels voor ondersteuning moeten eindgebruikers een aanvraag indienen om een toepassing goed te keuren. Zodra de aanvraag is ingediend, kan een beheerder de aanvraag goedkeuren. Zodra de aanvraag is goedgekeurd, krijgt de eindgebruiker een melding dat ze de uitbreiding op het apparaat kunnen voltooien. Zie Ondersteuning voor goedgekeurde uitbreidingsaanvragen voor meer informatie over het gebruik van dit regeltype
Opmerking

Elke verhogingsregel kan ook het gedrag van verhogingen instellen voor onderliggende processen die door het verhoogde proces worden gemaakt.
Besturingselementen voor onderliggende processen : wanneer processen worden verhoogd door EPM, kunt u bepalen hoe het maken van onderliggende processen wordt beheerd door EPM, zodat u gedetailleerde controle hebt over subprocessen die mogelijk worden gemaakt door uw verhoogde toepassing.
Onderdelen aan de clientzijde: als u Endpoint Privilege Management wilt gebruiken, richt Intune een kleine set onderdelen op het apparaat in die beleidsregels voor verhoging van bevoegdheden ontvangen en afdwingen. Intune richt de onderdelen alleen in wanneer een beleid voor uitbreidingsinstellingen wordt ontvangen en het beleid de intentie uitdrukt om Beheer van eindpuntbevoegdheden in te schakelen.
Uitschakelen en de inrichting ongedaan maken : als onderdeel dat op een apparaat wordt geïnstalleerd, kan Endpoint Privilege Management worden uitgeschakeld vanuit een beleid voor uitbreidingsinstellingen. Het gebruik van het beleid voor uitbreidingsinstellingen is vereist om Endpoint Privilege Management van een apparaat te verwijderen.

Zodra het apparaat een beleid voor uitbreidingsinstellingen heeft waarvoor EPM moet worden uitgeschakeld, schakelt Intune de onderdelen aan de clientzijde onmiddellijk uit. EPM verwijdert het EPM-onderdeel na een periode van zeven dagen. De vertraging is om ervoor te zorgen dat tijdelijke of onbedoelde wijzigingen in beleid of toewijzingen niet leiden tot grootschalige ongedaanmaken van inrichtingsgebeurtenissen / die een aanzienlijke impact kunnen hebben op de bedrijfsactiviteiten.
Beheerde verhogingen versus niet-beheerde verhogingen : deze termen kunnen worden gebruikt in onze rapportage- en gebruiksgegevens. Deze termen verwijzen naar de volgende beschrijvingen:
- Beheerde uitbreiding: elke uitbreiding die door Endpoint Privilege Management mogelijk wordt gemaakt. Beheerde verhogingen omvatten alle verhogingen die EPM uiteindelijk mogelijk maakt voor de standaardgebruiker. Deze beheerde uitbreidingen kunnen verhogingen bevatten die optreden als gevolg van een regel voor verhoging van bevoegdheden of als onderdeel van de standaardactie voor verhoging van bevoegdheden.
- Onbeheerde uitbreiding: alle uitbreidingen van bestanden die optreden zonder gebruik van Endpoint Privilege Management. Deze uitbreidingen kunnen optreden wanneer een gebruiker met beheerdersrechten de standaardactie van Windows als beheerder uitvoeren gebruikt.

Op rollen gebaseerde toegangsbeheer voor Endpoint Privilege Management

Als u Endpoint Privilege Management wilt beheren, moet aan uw account een Intune rol voor op rollen gebaseerd toegangsbeheer (RBAC) worden toegewezen die de volgende machtiging met voldoende rechten bevat om de gewenste taak te voltooien:

Endpoint Privilege Management-beleidscreatie : deze machtiging is vereist om te werken met beleid of gegevens en rapporten voor Endpoint Privilege Management en ondersteunt de volgende rechten:
- Rapporten weergeven
- Lezen
- Maken
- Update
- Verwijderen
- Toewijzen
Aanvragen voor verhoging van bevoegdheden voor eindpuntrechten : deze machtiging is vereist om te werken met aanvragen voor uitbreidingsrechten die door gebruikers ter goedkeuring worden ingediend en ondersteunt de volgende rechten:
- Aanvragen voor verhoging van bevoegdheden weergeven
- Uitbreidingsaanvragen wijzigen

U kunt deze machtiging met een of meer rechten toevoegen aan uw eigen aangepaste RBAC-rollen of een ingebouwde RBAC-rol gebruiken die is toegewezen aan het beheer van Endpoint Privilege Management:

Endpoint Privilege Manager: deze ingebouwde rol is toegewezen aan het beheren van Endpoint Privilege Management in de Intune-console. Deze rol bevat alle rechten voor aanvragen voor het ontwerpen van endpoint privilege management-beleid en aanvragen voor uitbreiding van eindpuntbevoegdhedenbeheer.
Lezer van eindpuntbevoegdheden: gebruik deze ingebouwde rol om endpoint privilege management-beleid weer te geven in de Intune-console, inclusief rapporten. Deze rol bevat de volgende rechten:
- Rapporten weergeven
- Lezen
- Aanvragen voor verhoging van bevoegdheden weergeven

Naast de toegewezen rollen bevatten de volgende ingebouwde rollen voor Intune ook rechten voor het ontwerpen van Endpoint Privilege Management-beleid:

Endpoint Security Manager : deze rol bevat alle rechten voor Endpoint Privilege Management-beleidscreatie en aanvragen voor verhoging van eindpuntrechtenbeheer.
Alleen-lezenoperator : deze rol bevat de volgende rechten:
- Rapporten weergeven
- Lezen
- Aanvragen voor verhoging van bevoegdheden weergeven

Zie Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie.

EpmTools PowerShell-module

Elk apparaat dat Endpoint Privilege Management-beleid ontvangt, installeert de EPM Microsoft Agent om deze beleidsregels te beheren. De agent bevat de EpmTools PowerShell-module, een set cmdlets die u op een apparaat kunt importeren. U kunt de cmdlets van EpmTools gebruiken om het volgende te doen:

Problemen met Endpoint Privilege Management vaststellen en oplossen.
Haal bestandskenmerken rechtstreeks op vanuit een bestand of toepassing waarvoor u een detectieregel wilt maken.

De EpmTools PowerShell-module installeren

De PowerShell-module EPM Tools is beschikbaar vanaf elk apparaat dat EPM-beleid heeft ontvangen. De EpmTools PowerShell-module importeren:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Hier volgen de beschikbare cmdlets:

Get-Policies: haalt een lijst op van alle beleidsregels die door de Epm-agent zijn ontvangen voor een bepaald PolicyType (ElevationRules, ClientSettings).
Get-DeclaredConfiguration: haalt een lijst met WinDC-documenten op die het beleid identificeren dat op het apparaat is gericht.
Get-DeclaredConfigurationAnalysis: haalt een lijst op met WinDC-documenten van het type MSFTPolicies en controleert of het beleid al aanwezig is in epm-agent (kolom Verwerkt).
Get-ElevationRules: voer een query uit op de zoekfunctionaliteit van EpmAgent en haalt regels op die zijn opgegeven op zoekactie en doel. Zoeken wordt ondersteund voor FileName en CertificatePayload.
Get-ClientSettings: alle bestaande beleidsregels voor clientinstellingen verwerken om de effectieve clientinstellingen weer te geven die door de EPM-agent worden gebruikt.
Get-FileAttributes: haalt bestandskenmerken op voor een .exe bestand en extraheert de Publisher- en CA-certificaten naar een ingestelde locatie die kan worden gebruikt om eigenschappen van uitbreidingsregel voor een bepaalde toepassing in te vullen.

Raadpleeg het bestandreadme.txt in de map EpmTools op het apparaat voor meer informatie over elke cmdlet.