設定端點許可權管理的原則

注意事項

這項功能可做為 Intune 附加元件。 如需詳細資訊，請參閱使用 Intune Suite 附加元件功能。

透過 Microsoft Intune 端點許可權管理 (EPM) 貴組織的使用者可以執行為標準使用者 (，而不需要系統管理員許可權) 並完成需要提高許可權的工作。 通常需要系統管理許可權的工作是應用程式安裝 (，例如 Microsoft 365 應用程式) 、更新設備驅動器，以及執行特定 Windows 診斷。

端點許可權管理可協助您的組織達到以最低許可權執行的廣泛使用者基礎，同時讓使用者仍能執行貴組織允許的工作維持生產力，以支援您的零信任旅程。

本文中的資訊可協助您設定下列原則和 EPM 的可重複使用設定：

• Windows 提高許可權設定原則。
• Windows 提高許可權規則原則。
• 可重複使用的設定群組，這是提高許可權規則的選擇性組態。

適用於：

• Windows 10
• Windows 11

開始使用 EPM 原則

端點許可權管理會使用您設定的兩種原則類型來管理檔案提高許可權要求的處理方式。 這些原則會一起設定當標準使用者要求以 系統管理權限執行時，提高檔案許可權的行為。

您必須先將租使用者中的 EPM 授權為 Intune 附加元件，才能建立端點許可權管理原則。 如需授權資訊，請參閱使用 Intune Suite 附加元件功能。

關於 Windows 提高許可權設定原則

當您想要時，請使用 Windows 提高許可權設定原則 ：

• 在裝置上啟用端點許可權管理。 根據預設，此原則會啟用 EPM。 第一次啟用 EPM 時，裝置會布建元件，以收集提高許可權要求的使用量數據，並強制執行提高許可權規則。

  如果裝置已停用 EPM，用戶端元件會立即停用。 在完全移除 EPM 元件之前，會有七天的延遲。 如果裝置不小心停用 EPM 或未指派其提高許可權設定原則，延遲有助於減少還原 EPM 所需的時間。

• 默認提高許可權回應 - 針對未受 Windows 提高許可權規則原則管理的任何檔案，設定提高許可權要求的預設回應。 若要讓此設定生效，應用程式不能有規則，而且用戶必須透過 [以提高許可權的存取權執行] 按兩下滑鼠右鍵功能表，明確要求提高許可權。 根據預設，不會設定此選項。 如果未傳遞任何設定，EPM 元件會回復為其內建預設值，也就是 拒絕所有要求。

  選項包括：

  • 拒絕所有要求 - 此選項會針對未在 Windows 提高許可權規則原則中定義的檔案封鎖 提高要求 動作。
  • 需要使用者確認 - 需要使用者確認時，您可以選擇與針對 Windows 提高許可權規則原則找到的相同驗證選項。
  • 需要支援核准 - 需要支援核准時，系統管理員必須先核准提高許可權要求，而不需符合規則，才需要提高許可權。

  注意事項

  默認回應只會針對透過 [以提高許可權的存 取權 執行] 按兩下滑鼠右鍵選單的要求來處理。

• 驗證選項 - 當預設提高許可權回應定義為 [需要使用者確認] 時，設定驗證選項。

  選項包括：

  • 業務理由 - 此選項需要終端使用者先提供理由，再完成預設提高許可權回應所促進的提升。
  • Windows 驗證 - 此選項需要使用者先進行驗證，再完成預設提高許可權回應所促進的提升許可權。

  注意事項

  您可以選取多個驗證選項來滿足組織的需求。 如果未選取任何選項，則使用者只需要按下即可 繼續 完成提高許可權。

• 傳送提升許可權數據以進行報告 - 此設定可控制您的裝置是否與 Microsoft 共用診斷和使用方式數據。 啟用共享數據時，數據類型是由 [報告範圍 ] 設定所設定。

  Microsoft 會使用診斷數據來測量 EPM 用戶端元件的健康情況。 使用量數據可用來顯示租用戶內發生的提高許可權。 如需數據類型及其儲存方式的詳細資訊，請參閱 端點許可權管理的數據收集和隱私權。

  選項包括：

  • 是 - 此選項會根據 [報告範圍 ] 設定，將數據傳送給 Microsoft。
  • 否 - 此選項不會將數據傳送給 Microsoft。

• 報告範圍 - 此設定可控制當 [傳送報表的提升許可權數據] 設定 為 [ 是] 時，要傳送給 Microsoft 的數據量。 默認會選取 診斷數據和所有端點提升 許可權。

  選項包括：

  • 診斷數據和受控提高許可權 - 此選項會將有關用戶端元件健康情況的診斷數據傳送給 Microsoft， 以及 有關端點許可權管理所促進提高許可權的數據。
  • 診斷數據和所有端點提高許可權 - 此選項會將有關客戶 端元件 健康情況的診斷數據和端點上 發生之所有 提高許可權的數據傳送給 Microsoft。
  • 僅診斷數據 - 此選項只會將用戶端元件健康情況的診斷數據傳送給 Microsoft。

關於 Windows 提高許可權規則原則

使用 Windows 提高許可權規則原則 的配置檔來管理特定檔案的識別，以及如何處理這些檔案的提高許可權要求。 每個 Windows 提高許可權規則原則 都包含一或多個 提高許可權規則。 它具有提高許可權規則，可讓您設定所管理檔案的詳細數據，以及提高其許可權的需求。

每個提高權限規則都會指示 EPM 如何：

• 使用下列項目識別檔案：

  • 檔名 (包括擴展名) 。 此規則也支援選擇性條件，例如最低組建版本、產品名稱或內部名稱。 選擇性條件可用來在嘗試提高許可權時進一步驗證檔案。
  • 證書。 憑證可以直接新增至規則，或使用可重複使用的設定群組。 在規則中使用憑證時，也必須有效。 我們建議使用可重複使用的設定群組，因為它們可以更有效率，並簡化憑證的未來變更。 如需詳細資訊，請參閱下一節 可重複使用的設定群組。

• 驗證檔案：

  • 檔案哈希。 自動規則需要檔案哈希。 針對使用者確認的規則，您可以選擇使用憑證或檔案哈希，在此情況下，檔案哈希會變成選擇性。
  • 證書。 如果提供憑證，則會使用 Windows API 來驗證憑證和撤銷狀態。
  • 其他屬性。 規則中指定的任何其他屬性都必須相符。

• 設定檔案提高許可權類型。 提高許可權類型可識別對檔案提出提高許可權要求時會發生什麼情況。 根據預設，此選項會設定為 [使用者確認]，這是我們對於提高許可權的建議。

  • 使用者已確認 (建議的) ：使用者確認提高許可權一律要求使用者按下確認提示以執行檔案。 您可以新增更多使用者確認。 其中一個要求使用者使用其組織認證進行驗證。 另一個選項需要使用者輸入商業理由。 雖然針對理由所輸入的文字是由使用者決定，當裝置設定為報告提高許可權數據做為其 Windows 提高許可權設定原則的一部分時，EPM 可以收集並報告它。
  • 自動：用戶無法看得起自動提高許可權。 沒有提示，也沒有指示檔案正在提升許可權的內容中執行。
  • 支援已核准：系統管理員必須核准任何不具有相符規則 的支援必要提高要求 ，才能允許應用程式以較高的許可權執行。

• 管理子進程的行為。 您可以設定提升許可權行為，套用至提升許可權的進程所建立的任何子進程。

  • 需要規則才能提高 - 將子進程設定為需要自己的規則，子進程才能在提升許可權的內容中執行。
  • 全部拒絕 - 所有子進程都會在沒有提升許可權的內容的情況下啟動。
  • 允許子進程執行提升許可權 - 設定子進程一律執行提升許可權。

注意事項

如需建立 強式規則的詳細資訊，請參閱 使用端點許可權管理建立提高許可權規則的指引。

您也可以從 EpmTools PowerShell 模組使用 Get-FileAttributes PowerShell Cmdlet。 此 Cmdlet 可以擷取 .exe 檔案的檔屬性，並將其發行者和 CA 憑證擷取至可用來填入特定應用程式之提高許可權規則屬性的設定位置。

注意

我們建議您謹慎使用自動提高許可權，而且只針對業務關鍵的信任檔案使用。 使用者會在 每次 啟動該應用程式時自動提高這些應用程式。

可重複使用的設定群組

端點許可權管理支援使用可重複使用的設定群組來管理憑證，以取代將該憑證直接新增至提高許可權規則。 如同 Intune 的所有可重複使用設定群組，對可重複使用的設定群組所做的組態和變更會自動傳遞至參考群組的原則。 當您打算使用相同的憑證來驗證多個提高許可權規則中的檔案時，建議您使用可重複使用的設定群組。 當您在多個提高權限規則中使用相同的憑證時，使用可重複使用的設定群組會更有效率：

• 您直接新增至提高許可權規則的憑證：每個直接新增至規則的憑證都會由 Intune 上傳為唯一實例，然後該憑證實例會與該規則相關聯。 將相同的憑證直接新增至兩個不同的規則會導致上傳兩次。 稍後，如果您必須變更憑證，則必須編輯包含該憑證的每個個別規則。 每次變更規則時，Intune 針對每個規則一次上傳更新的憑證。
• 您透過可重複使用的設定群組管理的憑證：每次將憑證新增至可重複使用的設定群組時，Intune 不論有多少提高許可權規則包含該群組，都一次上傳憑證。 憑證的該實例接著會與使用該群組之每個規則中的檔案相關聯。 稍後，您可以在可重複使用的設定群組中對憑證進行任何變更。 這項變更會導致 Intune 一次上傳更新的檔案，然後將該變更套用至參考群組的每個提高許可權規則。

Windows 提高許可權設定原則

若要在裝置上設定下列選項，請將 Windows 提高許可權設定原則 部署至使用者或裝置：

• 在裝置上啟用端點許可權管理。
• 針對該裝置上未受端點許可權管理提高許可權規則管理的任何檔案，設定提高許可權要求的默認規則。
• 設定 EPM 回報給 Intune 的資訊。

裝置必須具有可支援 EPM 的提高許可權設定原則，裝置才能處理提高許可權規則原則或管理提高許可權要求。 啟用支援時， C:\Program Files\Microsoft EPM Agent 資料夾會連同負責處理 EPM 原則的 EPM Microsoft Agent 一起新增至裝置。

Create Windows 提高許可權設定原則

1. 登入 Microsoft Intune 系統管理中心，然後移至 [端點安全>性端點許可權管理]> 選取 [原則] 索引卷標>，然後選取 [Create 原則]。 將 [平臺] 設定為 [Windows 10 及更新版本]、[配置檔至 Windows 提高許可權設定] 原則，然後選取 [Create]。

2. 在 [ 基本] 上，輸入下列屬性：

   • 名稱：輸入設定檔的描述性名稱。 名稱配置檔，讓您稍後可以輕鬆地識別它們。
   • 描述：輸入設定檔的描述。 此設定是選擇性的，但建議使用。

3. 在 [ 組態設定] 上，設定下列專案以定義裝置上提高許可權要求的預設行為：

   

   • 端點許可權管理：設定為 [ 已啟用 (預設) 。 啟用時，裝置會使用端點許可權管理。 當設定為 [已停用] 時，裝置不會使用端點許可權管理，而且如果先前已啟用 EPM，則會立即停用 EPM。 七天后，裝置將會取消布建端點許可權管理的元件。

   • 預設提高許可權回應：設定此裝置如何管理未直接由規則管理之檔案的提高許可權要求：

     • 未設定：此選項的運作方式與 拒絕所有要求相同。
     • 拒絕所有要求：EPM 無法提高檔案許可權，而且使用者會看到彈出視窗，其中包含拒絕的相關信息。 此設定不會防止具有系統管理許可權的使用者使用 「以 系統管理員 身分執行」來執行 Unmanaged 檔案。
     • 需要支援核准：此行為會指示 EPM 提示使用者提交支援核准的要求。
     • 需要使用者確認：使用者會收到簡單的提示，以確認其執行檔案的意圖。 您也可以從 [ 驗證 ] 下拉式清單中要求更多可用的提示：
       • 業務理由：要求使用者輸入執行檔案的理由。 此理由不需要任何格式。 如果 報告範圍 包含端點提高許可權的集合，則會儲存使用者輸入，並可透過記錄進行檢閱。
       • Windows 驗證：此選項需要使用者使用其組織認證進行驗證。

   • 傳送提升許可權數據以進行報告：根據預設，此行為會設定為 [是]。 當設定為 [是] 時，您可以接著設定 報告範圍。 當設定為 [否] 時，裝置不會向 Intune 報告診斷數據或檔案提升的相關信息。

   • 報告範圍：選擇裝置報告要 Intune 的資訊類型：

     • 診斷數據和所有端點提升 (預設) ：裝置會報告 EPM 所協助之所有檔案提升的診斷數據和詳細數據。

       此層級的信息可協助您識別使用者在提升許可權內容中執行的提升許可權規則尚未管理的其他檔案。

     • 僅診斷數據和受控提高許可權：裝置只會針對由提高許可權規則原則所管理的檔案報告診斷數據和檔案提升的詳細數據。 非受控檔案的檔案要求，以及透過以系統 管理員身分執行的 Windows 默認動作提升許可權的檔案，不會回報為受控提升許可權。

     • 僅診斷數據：只會收集端點許可權管理作業的診斷數據。 檔案提升的相關信息不會回報給 Intune。

   準備就緒時，請選取 [下一步 ] 繼續。

4. 在 [ 範圍卷標] 頁面上，選取要套用的任何所需範圍卷標，然後選取 [ 下一步]。

5. 針對 [指派]，選取接收原則的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   選取[下一步]。

6. 針對 [檢閱 + 建立]，檢閱您的設定，然後選取 [Create]。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在原則清單中。

Windows 提高許可權規則原則

將 Windows 提高許可權規則原則 部署至使用者或裝置，以針對端點許可權管理所管理的檔案部署一或多個規則。 您新增至此原則的每個規則：

• 識別您要管理提高許可權要求的檔案。
• 可包含憑證，以協助在檔案執行之前驗證該檔案的完整性。 您也可以新增可重複使用的群組，其中包含您接著搭配一或多個規則或原則使用的憑證。
• 指定檔案的提高許可權類型是否為自動 (以無訊息方式) 或要求用戶確認。 透過使用者確認，您可以新增必須在檔案執行之前完成的其他用戶動作。 除了此原則之外，還必須將啟用端點許可權管理的 Windows 提高許可權設定原則指派給裝置。

Create Windows 提高許可權規則原則

1. 登入 Microsoft Intune 系統管理中心，然後移至 [端點安全>性端點許可權管理]> 選取 [原則] 索引卷標>，然後選取 [Create 原則]。 將 [平臺] 設定為 [Windows 10 及更新版本]、[配置檔至 Windows 提高許可權規則] 原則，然後選取 [Create]。

2. 在 [ 基本] 上，輸入下列屬性：

   • 名稱：輸入設定檔的描述性名稱。 名稱配置檔，讓您稍後可以輕鬆地識別它們。
   • 描述：輸入設定檔的描述。 此設定是選擇性的，但建議使用。

3. 在 [ 組態設定] 上，針對此原則管理的每個檔案新增規則。 當您建立新原則時，原則啟動時會包含具有已 確認使用者 許可權類型的空白規則，且沒有規則名稱。 從設定此規則開始，稍後您可以選取 [ 新增 ] 將更多規則新增至此原則。 您新增的每個新規則都有使用者確認的提升許可權類型，您可以在設定規則時加以變更。

   

   若要設定規則，請選取 [ 編輯實例 ] 以開啟其 [規則屬性] 頁面，然後設定下列專案：

   

   • 規則名稱：指定規則的描述性名稱。 為您的規則命名，以便稍後輕鬆地識別它們。
   • 描述 (選擇性) ：輸入配置檔的描述。

   提高許可權條件 是定義檔案執行方式的條件，以及在套用此規則的檔案執行之前必須符合的用戶驗證。

   • 提高許可權類型：根據預設，此選項會設定為 [使用者確認]，這是我們針對大部分檔案建議的提升許可權類型。

     • 用戶已確認：我們建議針對大部分規則使用此選項。 當檔案執行時，使用者會收到簡單的提示，以確認其執行檔案的意圖。 此規則也可以包含 [ 驗證 ] 下拉式清單中可用的其他提示：

       • 業務理由：要求使用者輸入執行檔案的理由。 項目沒有必要的格式。 如果 報告範圍 包含端點提高許可權的集合，則會儲存使用者輸入，並可透過記錄進行檢閱。
       • Windows 驗證：此選項需要使用者使用其組織認證進行驗證。

     • 自動：此提高許可權類型會自動執行具有較高許可權的檔案。 自動提高許可權對使用者而言是透明的，不需要提示確認或要求用戶進行理由或驗證。

       注意

       只對您信任的檔案使用自動提高許可權。 這些檔案會自動提高，而不需要用戶互動。 未妥善定義的規則可能會允許提高未經核准的應用程式。 如需建立強式規則的詳細資訊，請參閱 建立規則的指引。

     • 支援已核准：此提高許可權類型需要系統管理員在允許提高許可權完成之前核准要求。 如需詳細資訊，請 參閱支援已核准的提高許可權要求。

       重要事項

       使用支援已核准的檔案提升許可權，需要具有額外許可權的系統管理員在裝置上具有系統管理員許可權的檔案之前，先檢閱並核准每個檔案提升要求。 如需使用支援核准提高許可權類型的相關信息，請參閱 支援端點許可權管理的已核准檔案提升。

   • 子進程行為：根據預設，此選項會設定為 [ 需要規則來提高許可權]，這會要求子進程符合與建立它之進程相同的規則。 其他選項包括：

     • 允許所有子進程執行提升許可權：此選項應謹慎使用，因為它可讓應用程式無條件地建立子進程。
     • 全部拒絕：此設定可防止建立任何子進程。

   檔案資訊 可讓您指定詳細數據，以識別套用此規則的檔案。

   • 檔名：指定檔名及其擴展名。 例如：myapplication.exe

   • 選用) (檔案路徑：指定檔案的位置。 如果檔案可以從任何位置執行或未知，您可以將此保留空白。 您也可以使用變數。

   • 簽章來源：選擇下列其中一個選項：

     • 在可重複使用的設定中使用憑證檔案 (預設) ：此選項會使用已新增至端點許可權管理之可重複使用設定群組的憑證檔案。 您必須 先建立可重複使用的設定群組 ，才能使用此選項。

       若要識別 憑證，請選取 [新增或移除憑證]，然後選取包含正確憑證的可重複使用群組。 然後，指定發行者或證書頒發機構單位的憑證類型。

     • 上傳憑證檔案：將憑證檔案直接新增至提高許可權規則。 針對 [檔案上傳]，指定可驗證此規則所套用之檔案完整性的 .cer 檔案。 然後，指定發行者或證書頒發機構單位的憑證類型。

     • 未設定：當您不想使用憑證來驗證檔案的完整性時，請使用此選項。 未使用憑證時，您必須提供 檔案哈希。

   • 檔案哈希：當 [簽章來源] 設定為 [ 未設定] 時需要檔案哈希，而當設定為使用憑證時則為選擇性。

   • 最低版本： (選擇性) 使用 x.x.x.x.x 格式來指定此規則所支援檔案的最小版本。

   • 檔案描述： (選擇性) 提供檔案的描述。

   • 產品名稱： (選擇性) 指定檔案來源的產品名稱。

   • 內部名稱： (選擇性) 指定檔案的內部名稱。

   選 取 [儲存 ] 以儲存規則組態。 然後，您可以 新增 更多規則。 新增此原則所需的所有規則之後，請選取 [下一步 ] 繼續。

4. 在 [ 範圍卷標] 頁面上，選取要套用的任何所需範圍卷標，然後選取 [ 下一步]。

5. 針對 [指派]，選取接收原則的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。 選取[下一步]。

6. 在 [檢閱 + 建立] 中，檢閱您的設定，然後選取 [Create]。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在原則清單中。

可重複使用的設定群組

端點許可權管理會使用可重複使用的設定群組來管理憑證，以驗證您使用端點許可權管理提高許可權規則管理的檔案。 如同 Intune 的所有可重複使用設定群組，可重複使用群組的變更會自動傳遞至參考群組的原則。 如果您必須更新用於檔案驗證的憑證，則只需要在可重複使用的設定群組中更新它一次。 Intune 會將更新的憑證套用至使用該群組的所有提高許可權規則。

若要建立端點許可權管理的可重複使用設定群組：

1. 登入 Microsoft Intune 系統管理中心，然後移至 [端點安全>性端點許可權管理]> 選取 [可重複使用的設定 (預覽) ] 索引卷標>，然後選取 [新增]。

   

2. 在 [ 基本] 上，輸入下列屬性：

   • 名稱：輸入可重複使用之群組的描述性名稱。 命名群組，讓您稍後可以輕鬆地識別每個群組。
   • 描述：輸入設定檔的描述。 此設定是選擇性的，但建議使用。

3. 在 [ 組態設定] 中，選取 [ 憑證檔案] 的檔案夾圖示，然後流覽至 。CER 檔案，以將其新增至這個可重複使用的群組。 [基底 64 值] 字段會根據選取的憑證填入。

   

4. 在 [ 檢閱 + 建立] 中，檢閱您的設定，然後選取 [ 新增]。 當您選取 [新增] 時，會儲存您的組態，然後群組會顯示在 [端點許可權管理] 的 [可重複使用的設定] 群組清單中。

端點許可權管理的原則衝突處理

除了下列情況之外，EPM 的衝突原則會像任何其他 原則衝突一樣處理。

Windows 提高許可權設定原則：

當裝置收到兩個具有衝突值的個別提高許可權設定原則時，EPM 用戶端會還原為預設客戶端行為，直到衝突解決為止。

注意事項

如果 啟用端點許可權管理 發生衝突，客戶端的預設行為是 啟用 EPM。 這表示用戶端元件會繼續運作，直到將明確值傳遞至裝置為止。

Windows 提高許可權規則原則：

如果裝置收到兩個以相同應用程式為目標的規則，則會在裝置上取用這兩個規則。 當 EPM 移至解析適用於提高權限的規則時，它會使用下列邏輯：

• 部署至使用者的規則優先於部署至裝置的規則。
• 已定義哈希的規則一律被視為最 特定 的規則。
• 如果在未定義哈希) 的 (套用多個規則，則具有最定義屬性的規則會 (最 特定 的) 。
• 如果套用上述邏輯會導致多個規則，下列順序會決定提高許可權行為：[使用者已確認]、[支援已核准]，然後 [自動]。

注意事項

如果提高許可權的規則不存在，而且該提高許可權是透過 [以 提高許可權 執行] 操作功能表單擊滑鼠右鍵操作功能表來要求，則會使用 [預設提高許可權行為] 。

後續步驟

• 建立提高許可權規則的指引
• 端點許可權管理的報告
• 核准提高許可權要求
• 端點許可權管理的數據收集和隱私權
• 部署考慮和常見問題