搭配使用端點許可權管理與 Microsoft Intune

  • 發行項

注意事項

這項功能可做為 Intune 附加元件。 如需詳細資訊,請參閱使用 Intune Suite 附加元件功能

透過 Microsoft Intune 端點許可權管理 (EPM) 貴組織的使用者可以執行為標準使用者 (,而不需要系統管理員許可權) 並完成需要提高許可權的工作。 通常需要系統管理許可權的工作是應用程式安裝 (,例如 Microsoft 365 應用程式) 、更新設備驅動器,以及執行特定 Windows 診斷。

端點許可權管理可協助您的組織達成以最低許可權執行的廣泛使用者基礎,同時讓使用者仍能執行貴組織允許的工作,以維持生產力,以支援您的 零信任 旅程。 如需詳細資訊,請參閱使用 Microsoft Intune 零信任

本文的下列各節討論使用 EPM 的需求、提供此功能運作方式的功能概觀,以及介紹 EPM 的重要概念。

適用於:

  • Windows 10
  • Windows 11

必要條件

授權

端點許可權管理需要超出 Microsoft Intune 方案 1 授權的額外授權。 您可以選擇只新增 EPM 的獨立授權,或將 EPM 授權作為 Microsoft Intune Suite 的一部分。 如需詳細資訊,請參閱使用 Intune Suite 附加元件功能

需求

端點許可權管理有下列需求:

  • Microsoft Entra 加入 Microsoft Entra 混合式加入
  • Microsoft Intune 註冊 Microsoft Configuration Manager 共同管理的裝置 (沒有工作負載需求)
  • 支援的作業系統
  • 清除 (視線,而不需要對必要端點進行 SSL 檢查)

注意事項

  • Windows 365 (支援使用支援的操作系統版本來支援 CloudPC)
  • 端點許可權管理不支援加入工作場所的裝置
  • 端點許可權管理不支援 Azure 虛擬桌面

端點許可權管理支援下列作業系統:

  • Windows 11 版本 23H2 (22631.2506 或更新版本) 與 KB5031455
  • Windows 11 版本 22H2 (22621.2215 或更新版本 ) KB5029351
  • Windows 11 版本 21H2 (22000.2713 或更新版本 ) KB5034121
  • Windows 10 版本 22H2 (19045.3393 或更新版本,) KB5030211
  • Windows 10 版本 21H2 (19044.3393 或更新版本,) KB5030211

重要事項

  • 提高許可權設定原則會顯示為不適用於未執行支援操作系統版本的裝置。
  • 端點許可權管理有一些新的網路需求,請參閱適用於 Intune 的網路端點

開始使用端點許可權管理

端點許可權管理 (EPM) 內建在 Microsoft Intune 中,這表示所有設定都會在 Microsoft Intune 管理員 中心內完成。 當組織開始使用 EPM 時,他們會使用下列高階程式:

  • 授權端點許可權管理 - 您必須先將租使用者中的 EPM 授權為 Intune 附加元件,才能使用端點許可權管理原則。 如需授權資訊,請參閱使用 Intune Suite 附加元件功能

  • 部署 提高許可權設定 原則 - 提高許可權設定原則 會在 用戶端裝置上啟用 EPM。 此原則也可讓您設定用戶端特定的設定,但不一定與個別應用程式或工作的提升相關。

  • 部署 提高許可權規則 原則 - 提高許可權規則原則會將應用程式或工作 連結 至提高許可權動作。 使用此原則來設定當應用程式在裝置上執行時,貴組織允許的應用程式提高許可權行為。

端點許可權管理的重要概念

當您設定先前提到的 提高許可權設定提高許可權規則原則 時,有一些重要概念需要瞭解,以確保您設定 EPM 以符合組織的需求。 在您廣泛部署 EPM 之前,應該先充分瞭解下列概念,以及它們對您環境的影響:

  • 以提高的存取權 執行 - 在裝置上啟用 EPM 時,會出現滑鼠右鍵操作選單選項。 使用此選項時,系統會檢查裝置提高許可權規則原則是否有相符專案,以判斷該檔案是否可以提高許可權,以便在系統管理內容中執行。 如果沒有適用的提升許可權規則,則裝置會使用提高許可權設定原則所定義的預設提高許可權設定。

  • 檔案提升和提高許可權類型 – EPM 可讓沒有系統管理許可權的使用者在系統管理內容中執行程式。 當您建立提高許可權規則時,該規則可讓 EPM 將該規則的目標 Proxy,以在裝置上以系統管理員許可權執行。 結果是應用程式在裝置上具有 完整的系統管理 功能。

    當您使用端點許可權管理時,提高許可權行為有幾個選項:

    • 針對自動提高許可權規則,EPM 會 自動 提高這些應用程式,而不需要使用者輸入。 此類別中的廣泛規則可能會對組織的安全性狀態造成廣泛影響。
    • 針對使用者確認的規則,終端使用者會使用新的滑鼠右鍵操作功能表 [ 以提升的存取權執行]。 使用者確認的規則需要使用者在允許提高應用程式之前,先完成一些額外的需求。 這些需求提供額外的保護層級,方法是讓使用者確認應用程式會在提高許可權的內容中執行,再進行提高許可權。
    • 針對支援核准的規則,用戶必須提交核准應用程式的要求。 提交要求之後,系統管理員就可以核准要求。 一旦核准要求,終端使用者就會收到通知,告知他們可以完成裝置上的提高許可權。 如需使用此規則類型的詳細資訊,請參閱 支援已核准的提高許可權要求

    注意事項

    每個提高許可權規則也可以為提升許可權的進程所建立的子進程設定提高許可權行為。

  • 子進程控制任何 可能由提升許可權的應用程式所建立的子進程。

  • 用戶端元件 – 若要使用端點許可權管理,Intune 在裝置上布建一小組元件,以接收提高許可權原則並強制執行這些元件。 Intune 只有在收到提高許可權設定原則,且原則表示用端點許可權管理的意圖時,才會布建元件。

  • 停用和取消布建 – 作為安裝在裝置上的元件,可以從提高許可權設定原則內停用端點許可權管理。 需要使用提高許可權設定原則,才能從裝置移除端點許可權管理。

    一旦裝置具有需要停用 EPM 的提高許可權設定原則,Intune 會立即停用用戶端元件。 EPM 會在七天后移除 EPM 元件。 延遲是確保原則或指派的暫時性或意外變更不會導致大量取消/布建重新布建事件,而對商務營運有重大影響。

  • 受控提高許可權與非受控提高許可權 – 這些詞彙可能用於我們的報表和使用量數據。 這些詞彙參照下列描述:

    • Managed 提高許可權:端點許可權管理所促進的任何提高許可權。 受控提高許可權包含 EPM 最終會為標準用戶促進的所有提高許可權。 這些 Managed 提高許可權可能包括提高許可權規則或作為預設提高許可權動作一部分而發生的提高許可權。
    • 非受控提高許可權:不使用端點許可權管理而發生的所有檔案提升。 當具有系統管理許可權的使用者使用以系統管理員身分執行的 Windows 預設動作時,可能會發生這些提高 許可權

端點許可權管理的角色型訪問控制

若要管理端點許可權管理,您的帳戶必須獲指派 Intune 角色型訪問控制 (RBAC) 角色,其中包含下列許可權,且有足夠的許可權可完成所需的工作:

  • 端點許可權管理原則撰寫 – 需要此許可權才能使用端點許可權管理的原則或數據和報表,並支援下列許可權:

    • 檢視報表
    • 讀取
    • 建立
    • Update
    • 刪除
    • Assign

  • 端點許可權管理提高許可權要求 - 需要此許可權才能處理使用者提交以供核准的提升許可權要求,並支援下列許可權:

    • 檢視提高許可權要求
    • 修改提高許可權要求

您可以將此權限與一或多個權限新增至您自己的自訂 RBAC 角色,或使用專供管理端點許可權管理的內建 RBAC 角色:

  • 端點許可權管理員 – 此內建角色專門用來管理 Intune 控制台中的端點許可權管理。 此角色包含 端點許可權管理原則撰寫端點許可權管理提高許可權要求的所有許可權。

  • 端點許可權讀取者 - 使用此內建角色在 Intune 控制台中檢視端點許可權管理原則,包括報表。 此角色包含下列權限:

    • 檢視報表
    • 讀取
    • 檢視提高許可權要求

除了專用角色之外,下列適用於 Intune的內建角色也包含端點許可權管理原則撰寫許可權:

  • 端點安全性管理員 - 此角色包含 端點許可權管理原則撰寫端點許可權管理提高許可權要求的所有許可權。

  • 唯讀運算子 - 此角色包含下列權限:

    • 檢視報表
    • 讀取
    • 檢視提高許可權要求

如需詳細資訊,請參閱 Microsoft Intune 的角色型訪問控制

EpmTools PowerShell 模組

每個接收端點許可權管理原則的裝置都會安裝 EPM Microsoft Agent 來管理這些原則。 代理程式包含 EpmTools PowerShell 模組,這是一組可匯入裝置的 Cmdlet。 您可以使用 EpmTools 中的 Cmdlet 來執行下列動作:

  • 診斷端點許可權管理的問題並進行疑難解答。
  • 直接從您要建置偵測規則的檔案或應用程式取得檔案屬性。

安裝 EpmTools PowerShell 模組

EPM 工具 PowerShell 模組可從任何已收到 EPM 原則的裝置取得。 若要匯入 EpmTools PowerShell 模組:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

以下是可用的 Cmdlet:

  • Get-Policies:擷取 Epm 代理程式針對指定 PolicyType 所接收的所有原則清單, (ElevationRules、ClientSettings) 。
  • Get-DeclaredConfiguration:擷取 WinDC 檔案清單,以識別裝置的目標原則。
  • Get-DeclaredConfigurationAnalysis:擷取 MSFTPolicies 類型的 WinDC 檔案清單,並檢查原則是否已存在於 Epm 代理程式 (已處理的數據行) 中。
  • Get-ElevationRules:查詢 EpmAgent 查閱功能,並擷取指定查閱和目標的規則。 FileName 和 CertificatePayload 支援查閱。
  • Get-ClientSettings:處理所有現有的用戶端設定原則,以顯示 EPM 代理程式所使用的有效客戶端設定。
  • Get-FileAttributes:擷取 .exe 檔案的檔屬性,並將其發行者和 CA 憑證擷取至集合位置,可用來填入特定應用程式的提高許可權規則屬性。

如需每個 Cmdlet 的詳細資訊,請檢閱裝置上 EpmTools 資料夾中 readme.txt 檔案。

後續步驟