Freigeben über

Verwalten von Höheneinstellungen mit Endpoint Privilege Management

Mit Microsoft Intune Endpoint Privilege Management (EPM) können Die Benutzer Ihrer organization als Standardbenutzer (ohne Administratorrechte) ausführen und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Weitere Informationen finden Sie unter ÜBERSICHT ÜBER EPM.

Gilt für:

  • Windows

Stellen Sie zum Konfigurieren der Endpunktberechtigungsverwaltung (Endpoint Privilege Management, EPM) auf Geräten die Windows-Richtlinie für Rechteerweiterungen für Benutzer oder Geräte bereit:

  • Aktivieren oder deaktivieren Sie EPM auf einem Gerät.
  • Legen Sie Standardregeln für Rechteerweiterungsanforderungen für alle Dateien fest, die keiner Rechteerweiterungsregel entsprechen.
  • Konfigurieren Sie, welche Informationen EPM an Intune zurück meldet.

Wenn EPM aktiviert ist, wird der C:\Program Files\Microsoft EPM Agent Ordner zusammen mit dem Dienst "Microsoft EPM Agent Service" erstellt, der für die Verarbeitung der EPM-Richtlinien zuständig ist.

Informationen zur Einstellungsrichtlinie für Rechteerweiterungen in Windows

Verwenden Sie die Windows-Richtlinie für Rechteerweiterungseinstellungen , wenn Sie Folgendes ausführen möchten:

  • Aktivieren oder deaktivieren Sie die Verwaltung von Endpunktberechtigungen auf Geräten. Bei der ersten Aktivierung für EPM werden die EPM-Komponenten installiert.

    Wenn EPM auf einem Gerät deaktiviert ist, werden die Clientkomponenten bei der nächsten Richtliniensynchronisierung deaktiviert. Es gibt eine Verzögerung von sieben Tagen, bevor die EPM-Komponenten entfernt werden. Die Verzögerung trägt dazu bei, die Zeit zu verkürzen, die zum Wiederherstellen von EPM benötigt wird, wenn epm auf einem Gerät versehentlich deaktiviert oder die Richtlinie für Rechteerweiterungseinstellungen nicht zugewiesen wurde.

  • Festlegen einer Standardantwort für Rechteerweiterungen : Legen Sie eine Standardantwort für eine Rechteerweiterungsanforderung für jede Datei fest, die nicht von einer Windows-Richtlinie für Rechteerweiterungsregel verwaltet wird. Damit diese Einstellung wirksam wird, kann keine Regel für die Anwendung vorhanden sein, UND ein Endbenutzer muss die Rechteerweiterung explizit über das Kontextmenü Ausführen mit erhöhtem Zugriffanfordern. Standardmäßig ist diese Option auf Nicht konfiguriert festgelegt. Wenn keine Einstellung konfiguriert ist, greifen die EPM-Komponenten auf ihren integrierten Standardwert zurück, der darin besteht, alle Anforderungen zu verweigern.

    Tipp

    Es wird empfohlen, die Option Supportgenehmigung anfordern oder Alle Anforderungen ablehnen als Standardantwort für Rechteerweiterungen zu verwenden.

    Die folgenden Optionen stehen zur Verfügung:

    • Alle Anforderungen ablehnen (empfohlen): Mit dieser Option wird die Anforderungsaktion für Erhöhte Rechte für Dateien blockiert, die nicht in einer Windows-Richtlinie für Rechteerweiterungsregeln definiert sind.

    • Supportgenehmigung anfordern (empfohlen): Wenn eine Supportgenehmigung erforderlich ist, muss ein Administrator Anforderungen zur Erhöhung überprüfen, bevor die Rechteerweiterung zulässig ist.

    • Benutzerbestätigung erforderlich : Wenn eine Benutzerbestätigung erforderlich ist, können Sie aus den gleichen Validierungsoptionen wählen, die für die Windows-Richtlinie für Rechteerweiterungsregeln gefunden wurden.

      • Validierungsoptionen : Legen Sie Validierungsoptionen fest, wenn die Standardantwort für erhöhte Rechte als Benutzerbestätigung erforderlich definiert ist. Die folgenden Optionen stehen zur Verfügung:

        • Geschäftliche Begründung : Diese Option erfordert, dass der Endbenutzer eine Begründung angibt, bevor eine Erhöhung abgeschlossen wird, die durch die Standardmäßige Antwort auf Rechteerweiterungen ermöglicht wird.
        • Windows-Authentifizierung: Diese Option erfordert, dass sich der Endbenutzer authentifiziert, bevor eine Erhöhung abgeschlossen wird, die durch die Standardantwort für erhöhte Rechte ermöglicht wird.

        Hinweis

        Es können mehrere Validierungsoptionen ausgewählt werden, um die Anforderungen des organization zu erfüllen. Wenn keine Optionen ausgewählt sind, muss der Benutzer nur Weiter auswählen, um die Rechteerweiterung abzuschließen.

    Achtung

    Die Standardantwort für erhöhte Rechte gilt für alle Dateien, die nicht mit einer Rechteerweiterungsregel übereinstimmen. Daher ermöglicht die Einstellung Benutzerbestätigung erforderlich , dass alle Dateien standardmäßig mit erhöhten Rechten versehen werden. Wenn Sie keine geschäftlichen Begründungen oder Anmeldeinformationen für Rechteerweiterungen benötigen, empfehlen wir die Verwendung von Alle Anforderungen verweigern oder Supportgenehmigung anfordern.

  • Senden von Höhendaten für die Berichterstellung : Diese Einstellung steuert, ob Ihr Gerät Diagnose- und Nutzungsdaten für Microsoft freigibt. Verwenden Sie die Einstellung Berichtsbereich , um die gesammelten Daten zu steuern.

    Diagnosedaten werden von Microsoft verwendet, um die Integrität der EPM-Clientkomponenten zu messen. Nutzungsdaten werden verwendet, um Erhöhungen anzuzeigen, die innerhalb Ihres Mandanten auftreten. Weitere Informationen zu den Datentypen und deren Speicherung finden Sie unter Datensammlung und Datenschutz für Endpoint Privilege Management.

    Die folgenden Optionen stehen zur Verfügung:

    • Ja : Diese Option sendet Daten basierend auf der Einstellung Berichtsbereich an Microsoft.
    • Nein : Mit dieser Option werden keine Daten an Microsoft gesendet.

  • Berichtsbereich : Diese Einstellung steuert die Menge der Daten, die an Microsoft gesendet werden, wenn Rechteerweiterungsdaten für Berichterstellung senden auf Ja festgelegt ist. Standardmäßig sind *Diagnosedaten und alle Endpunkterweiterungen ausgewählt.

    Die folgenden Optionen stehen zur Verfügung:

    • Nur Diagnosedaten und verwaltete Rechteerweiterungen : Diese Option sendet Diagnosedaten über die Integrität der Clientkomponenten und Daten zu Erhöhungen, die von Endpoint Privilege Management unterstützt werden.
    • Diagnosedaten und alle Endpunkterweiterungen : Diese Option sendet Diagnosedaten über die Integrität der Clientkomponenten UND Daten zu allen am Endpunkt stattfindenden Erhöhungen an Microsoft.
    • Nur Diagnosedaten : Diese Option sendet nur die Diagnosedaten zur Integrität der Clientkomponenten an Microsoft.

Erstellen einer Windows-Richtlinie für Rechteerweiterungen

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpunktrechteverwaltung> wählen Sie die Registerkarte >Richtlinien und dann Richtlinie erstellen aus. Legen Sie die Richtlinie Plattform auf Windows, Profil auf Windows-Rechteeinstellungen fest, und wählen Sie dann Erstellen aus.

  2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Profile, damit Sie sie später leicht identifizieren können.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  3. Konfigurieren Sie unter Konfigurationseinstellungen Folgendes, um Standardverhalten für Anforderungen zur Erhöhung auf einem Gerät zu definieren:

    Abbildung der Konfigurationsseite der Auswertungseinstellungen.

    • Verwaltung von Endpunktberechtigungen: Auf Aktiviert (Standard) festgelegt. Wenn aktiviert, verwendet ein Gerät Endpoint Privilege Management. Wenn diese Einstellung auf Deaktiviert festgelegt ist, verwendet das Gerät keine Endpunktberechtigungsverwaltung und deaktiviert EPM sofort, wenn es zuvor aktiviert wurde. Nach sieben Tagen stellt das Gerät die Bereitstellung der Komponenten für endpoint Privilege Management auf.

    • Standardantwort für Rechteerweiterungen: Konfigurieren Sie, wie dieses Gerät Rechteerweiterungsanforderungen für Dateien verwaltet, die keiner Regel entsprechen:

      • Nicht konfiguriert: Diese Option funktioniert genauso wie Alle Anforderungen verweigern.

      • Alle Anforderungen ablehnen: EPM erleichtert nicht die Erhöhung von Dateien, und dem Benutzer wird ein Popupfenster mit Informationen zur Verweigerung angezeigt. Diese Konfiguration verhindert nicht, dass Benutzer mit Administratorberechtigungen Als Administrator ausführen verwenden, um nicht verwaltete Dateien auszuführen.

      • Supportgenehmigung anfordern: Dieses Verhalten weist EPM an, den Benutzer aufzufordern, eine vom Support genehmigte Anfrage zu übermitteln.

      • Benutzerbestätigung erforderlich: Der Benutzer erhält eine einfache Aufforderung, um seine Absicht zu bestätigen, die Datei auszuführen. Sie können auch weitere Eingabeaufforderungen anfordern, die in der Dropdownliste Überprüfung verfügbar sind:

        • Geschäftliche Begründung: Der Benutzer muss eine Begründung für die Ausführung der Datei eingeben. Für diese Begründung ist kein Format erforderlich. Benutzereingaben werden gespeichert und können über Protokolle überprüft werden, wenn der Berichterstellungsbereich eine Sammlung von Endpunkterweiterungen umfasst.
        • Windows-Authentifizierung: Bei dieser Option muss sich der Benutzer mit seinen organization Anmeldeinformationen authentifizieren.

        Achtung

        Die Standardantwort für erhöhte Rechte gilt für alle Dateien, die nicht mit einer Rechteerweiterungsregel übereinstimmen. Daher ermöglicht die Einstellung Benutzerbestätigung erforderlich , dass alle Dateien standardmäßig mit erhöhten Rechten versehen werden. Wenn Sie keine zusätzlichen Überwachungs- oder Anmeldeinformationen anfordern möchten, empfehlen wir die Verwendung von Alle Anforderungen verweigern oder Supportgenehmigung anfordern.

    • Senden von Höhendaten für die Berichterstellung: Standardmäßig ist dieses Verhalten auf Ja festgelegt. Wenn sie auf Ja festgelegt ist, können Sie dann einen Berichterstellungsbereich konfigurieren. Bei Festlegung auf Nein meldet ein Gerät keine Diagnosedaten oder Informationen zu Dateierweiterungen an Intune.

    • Berichtsbereich: Wählen Sie aus, welche Art von Informationen ein Gerät an Intune meldet:

      • Diagnosedaten und alle Endpunkterweiterungen (Standard): Das Gerät meldet Diagnosedaten und Details zu allen Dateierweiterungen, die EPM ermöglicht.

        Diese Ebene von Informationen kann Ihnen helfen, andere Dateien zu identifizieren, die noch nicht von einer Rechteerweiterungsregel verwaltet werden, die Benutzer in einem Kontext mit erhöhten Rechten ausführen möchten.

      • Nur Diagnosedaten und verwaltete Rechteerweiterungen: Das Gerät meldet Diagnosedaten und Details zu Dateierweiterungen, die von EPM gesteuert werden. EPM-Rechteerweiterungen umfassen Rechteerweiterungen, die einer Höhenregel entsprechen oder durch das Kontextmenü Mit erhöhtem Zugriff ausführen initiiert werden. Dateianforderungen für nicht verwaltete Dateien und Dateien, die über die Windows-Standardaktion Als Administrator ausführen erhöhte Rechte erhalten, werden nicht als verwaltete Rechte gemeldet.

      • Nur Diagnosedaten: Nur Diagnosedaten für den Betrieb von Endpoint Privilege Management werden gesammelt. Informationen zu Dateierweiterungen werden nicht an Intune gemeldet.

    Klicken Sie auf Weiter, um fortzufahren.

  4. Wählen Sie auf der Seite Bereichsmarkierungen alle anzuwendenden Bereichsmarkierungen und dann Weiter aus.

  5. Wählen Sie unter Zuweisungen die Gruppen aus, die die Richtlinie erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

  6. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Richtlinienliste angezeigt.

Nächste Schritte

Weiter: Erstellen einer Richtlinie für Rechteerweiterungsregeln >

  • Last updated on