Création de règles d’élévation avec Gestion des privilèges de points de terminaison

Avec Microsoft Intune Gestion des privilèges de points de terminaison (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches nécessitant des privilèges élevés. Pour plus d’informations, consultez Vue d’ensemble d’EPM.

S’applique à :

• Windows

Les stratégies de règles d’élévation permettent Gestion des privilèges de points de terminaison (EPM) d’identifier des fichiers et des scripts spécifiques et d’effectuer l’action d’élévation associée. Pour que les règles d’élévation prennent effet, les appareils doivent avoir une stratégie de paramètres d’élévation ciblée qui active EPM. Pour plus d’informations, consultez Paramètres d’élévation EPM.

En plus des informations contenues dans cet article, tenez compte des recommandations de sécurité importantes lors de la gestion des règles d’élévation.

À propos de la stratégie de règles d’élévation

Une stratégie de règles d’élévation est utilisée pour gérer l’identification de fichiers spécifiques et la façon dont les demandes d’élévation pour ces fichiers sont gérées. Chaque stratégie de règle d’élévation comprend une ou plusieurs règles d’élévation. C’est avec des règles d’élévation que vous configurez les détails sur le fichier en cours de gestion et la configuration requise pour qu’il soit élevé.

Les types de fichiers suivants sont pris en charge :

• Fichiers exécutables avec l’extension .exe ou .msi .
• Scripts PowerShell avec l’extension .ps1 .

Chaque règle d’élévation indique à EPM comment :

• Identifiez le fichier à l’aide de :

  • Nom de fichier (extension comprise). La règle prend également en charge des conditions facultatives telles qu’une version de build minimale, un nom de produit ou un nom interne. Des conditions facultatives sont utilisées pour valider davantage le fichier lors d’une tentative d’élévation. Le nom de fichier (à l’exception des extensions) peut inclure l’utilisation de variables pour des caractères uniques via l’utilisation d’un point ? d’interrogation ou de chaînes via l’utilisation d’un astérisque *.
  • Certificat. Les certificats peuvent être ajoutés directement à une règle ou à l’aide d’un groupe de paramètres réutilisables. Les certificats doivent être approuvés et valides. Nous vous recommandons d’utiliser des groupes de paramètres réutilisables, car ils peuvent être plus efficaces et simplifier une modification ultérieure du certificat. Pour plus d’informations, consultez Groupes de paramètres réutilisables.

• Validez le fichier :

  • Hachage de fichier. Un hachage de fichier est requis pour les règles automatiques. Pour les règles avec un type d’élévation Utilisateur confirmé ou Élévation en tant qu’utilisateur actuel, vous pouvez choisir d’utiliser un certificat ou un hachage de fichier, auquel cas le hachage de fichier devient facultatif.
  • Certificat. Les propriétés du fichier peuvent être validées en même temps que le certificat d’éditeur utilisé pour signer le fichier. Les certificats sont validés à l’aide d’API Windows qui case activée attributs tels que l’approbation, l’expiration du certificat et la révocation status.
  • Propriétés du fichier. Toutes les autres propriétés spécifiées dans les règles doivent correspondre.

• Configurez le type d’élévation de fichiers. Le type d’élévation identifie ce qui se passe lorsqu’une demande d’élévation est effectuée pour le fichier. Par défaut, cette option est définie sur Utilisateur confirmé. À l’exception de Elevate en tant qu’utilisateur actuel, EPM utilise un compte virtuel pour élever les processus. Cela isole les actions élevées du profil de l’utilisateur, ce qui réduit l’exposition aux données spécifiques de l’utilisateur et le risque d’escalade des privilèges.

  • Refuser : les règles de refus empêchent l’exécution du fichier identifié dans un contexte élevé.

  • Support approuvé : un administrateur doit approuver la demande d’élévation requise pour que l’application soit autorisée à s’exécuter avec des privilèges élevés.

  • Utilisateur confirmé : une élévation confirmée par l’utilisateur nécessite toujours que l’utilisateur sélectionne une invite de confirmation pour exécuter le fichier. La confirmation peut uniquement être configurée pour exiger une authentification utilisateur, une justification métier (visible dans les rapports), ou les deux.

  • Élever en tant qu’utilisateur actuel : ce type d’élévation exécute le processus avec élévation de privilèges sous le propre compte de l’utilisateur connecté, ce qui préserve la compatibilité avec les outils et les programmes d’installation qui s’appuient sur le profil utilisateur actif. Cela nécessite que l’utilisateur entre ses informations d’identification pour l’authentification Windows. Cela permet de conserver les chemins de profil de l’utilisateur, les variables d’environnement et les paramètres personnalisés. Étant donné que le processus avec élévation de privilèges conserve la même identité utilisateur avant et après l’élévation, les pistes d’audit restent cohérentes et précises.

    Toutefois, étant donné que le processus élevé hérite du contexte complet de l’utilisateur, ce mode introduit une surface d’attaque plus large et réduit l’isolement par rapport aux données utilisateur.

    Considérations clés :

    • Besoin de compatibilité : utilisez ce mode uniquement lorsque l’élévation de compte virtuel provoque des échecs d’application.
    • Étendue étroite : limitez les règles d’élévation aux fichiers binaires et aux chemins d’accès approuvés pour réduire les risques.
    • Compromis de sécurité : comprenez que ce mode augmente l’exposition aux données spécifiques de l’utilisateur.

    Conseil

    Lorsque la compatibilité n’est pas un problème, préférez une méthode qui utilise l’élévation de compte virtuel pour renforcer la sécurité.

  • Automatique : une élévation automatique se produit de manière invisible pour l’utilisateur. Il n’y a pas d’invite et aucune indication que le fichier s’exécute dans un contexte élevé.

• Gérer le comportement des processus enfants. Vous pouvez définir le comportement d’élévation qui s’applique à tous les processus enfants créés par le processus avec élévation de privilèges.

  • Exiger une règle à élever : configurez un processus enfant pour exiger sa propre règle avant que ce processus enfant puisse s’exécuter dans un contexte élevé.
  • Refuser tout : tous les processus enfants sont lancés sans contexte élevé.
  • Autoriser les processus enfants à s’exécuter avec élévation de privilèges : configurez un processus enfant pour qu’il s’exécute toujours avec élévation de privilèges.

Définition de règles à utiliser avec Gestion des privilèges de points de terminaison

Gestion des privilèges de points de terminaison règles se composent de deux éléments fondamentaux : une détection et une action d’élévation.

Les détections sont définies comme l’ensemble d’attributs utilisés pour identifier une application ou un fichier binaire. Ces attributs incluent le nom de fichier, la version du fichier et les propriétés de signature.

Les actions d’élévation sont l’élévation résultante qui se produit après la détection d’une application ou d’un fichier binaire.

Lors de la définition des détections , il est important qu’elles soient définies pour être aussi descriptives que possible. Pour être descriptif, utilisez des attributs forts ou plusieurs attributs pour augmenter la force de la détection. L’objectif lors de la définition des détections doit être d’éliminer la possibilité pour plusieurs fichiers de tomber dans la même règle, sauf s’il s’agit explicitement de l’intention.

Règles de hachage de fichier

Les règles de hachage de fichier sont les règles les plus fortes qui peuvent être créées avec Gestion des privilèges de points de terminaison. Ces règles sont fortement recommandées pour vous assurer que le fichier que vous souhaitez élever est le fichier élevé.

Le hachage de fichier peut être collecté à partir du fichier binaire direct à l’aide de la méthode PowerShell Get-Filehash ou directement à partir des rapports pour Gestion des privilèges de points de terminaison.

Règles de certificat

Les règles de certificat sont un type fort d’attribut et doivent être associées à d’autres attributs. L’association d’un certificat avec des attributs tels que le nom du produit, le nom interne et la description améliore considérablement la sécurité de la règle. Ces attributs sont protégés par une signature de fichier et indiquent souvent des spécificités sur le fichier signé.

Règles contenant le nom de fichier

Le nom de fichier est un attribut qui peut être utilisé pour détecter une application qui doit être élevée. Toutefois, les noms de fichiers sont facilement modifiés et ne font pas partie du hachage ou des attributs signés par le certificat d’éditeur.

Cela signifie que les noms de fichiers sont très susceptibles d’être modifiés. Les fichiers que vous ne ciblez pas intentionnellement signés par un certificat que vous approuvez peuvent être renommés pour être détectés et élevés.

Règles basées sur les attributs collectés par PowerShell

Pour vous aider à créer des règles de détection de fichiers plus précises, vous pouvez utiliser l’applet de commande PowerShell Get-FileAttributes . Disponible à partir du module PowerShell EpmTools, Get-FileAttributes peut récupérer les attributs de fichier et le matériel de chaîne de certificats d’un fichier, et vous pouvez utiliser la sortie pour remplir les propriétés de règle d’élévation pour une application particulière.

Exemple d’étapes d’importation de module et de sortie de Get-FileAttributes exécutées sur msinfo32.exe sur Windows 11 version 10.0.22621.2506 :

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Pour plus d’informations, consultez Module PowerShell EpmTools.

Contrôle du comportement des processus enfants

Le comportement de processus enfant vous permet de contrôler le contexte lorsqu’un processus élevé avec EPM crée un processus enfant. Ce comportement vous permet de contrôler les processus qui seraient automatiquement délégués au contexte de son processus parent.

Windows délègue automatiquement le contexte d’un parent à un enfant. Veillez donc à contrôler le comportement de vos applications autorisées. Veillez à évaluer ce qui est nécessaire lorsque vous créez des règles d’élévation et implémentez le principe du privilège minimum.

Déploiement de règles créées avec Gestion des privilèges de points de terminaison

Gestion des privilèges de points de terminaison règles sont déployées comme toute autre stratégie dans Microsoft Intune. Cela signifie que les règles peuvent être déployées sur des utilisateurs ou des appareils, et que les règles sont fusionnées côté client et sélectionnées au moment de l’exécution. Tous les conflits sont résolus en fonction du comportement de conflit de stratégie.

Les règles déployées sur un appareil s’appliquent à chaque utilisateur qui utilise cet appareil. Les règles déployées sur un utilisateur s’appliquent uniquement à cet utilisateur sur chaque appareil qu’il utilise. Lorsqu’une action d’élévation se produit, les règles déployées sur l’utilisateur sont prioritaires par rapport aux règles déployées sur un appareil. Ce comportement vous permet de déployer un ensemble de règles sur tous les utilisateurs d’un appareil, et un ensemble plus permissif de règles pour un utilisateur spécifique (par exemple, un administrateur de support). Cela permettrait à l’administrateur du support technique d’élever un ensemble plus large d’applications lorsqu’il se connecte à l’appareil.

Le comportement d’élévation par défaut est utilisé uniquement lorsqu’aucune correspondance de règle n’est trouvée. Le comportement d’élévation par défaut s’applique uniquement lorsqu’une élévation est déclenchée avec le menu contextuel Exécuter avec accès élevé .

Créer une stratégie de règles d’élévation

Déployez une stratégie de règles d’élévation sur des utilisateurs ou des appareils afin de déployer une ou plusieurs règles pour les fichiers gérés pour l’élévation par Gestion des privilèges de points de terminaison. Chaque règle que vous ajoutez à cette stratégie :

• Identifie un fichier par nom de fichier et extension de fichier pour lequel vous souhaitez gérer les demandes d’élévation.
• Peut inclure un certificat pour vous aider à valider l’intégrité du fichier. Vous pouvez également ajouter un groupe réutilisable qui contient un certificat que vous utilisez ensuite avec une ou plusieurs règles ou stratégies.
• Peut inclure un ou plusieurs arguments de fichier ou commutateurs de ligne de commande ajoutés manuellement. Lorsque des arguments de fichier sont ajoutés à une règle, EPM autorise uniquement l’élévation de fichier des requêtes qui incluent l’une des lignes de commande définies. Si une ligne de commande définie ne fait pas partie de la demande d’élévation de fichier, EPM refuse cette demande.
• Spécifie si le type d’élévation du fichier est automatique (en mode silencieux) ou s’il nécessite une confirmation de l’utilisateur. Avec la confirmation de l’utilisateur, vous pouvez exiger une validation avec une invite d’informations d’identification, ou une justification métier, ou les deux.

Utilisez l’une des méthodes suivantes pour créer des règles d’élévation, qui sont ajoutées à la stratégie de règles d’élévation :

• Configurer automatiquement des règles d’élévation : utilisez cette méthode pour gagner du temps lors de la création d’une règle d’élévation en ajoutant les détails des fichiers à partir des rapports. Les règles peuvent être créées à l’aide du rapport d’élévation ou à partir d’un enregistrement de demandes d’élévation approuvé par le support .

  Avec cette méthode, vous :

  • Sélectionnez le fichier pour lequel vous souhaitez créer une règle d’élévation à partir du rapport d’élévation ou de la demande d’élévation approuvée .
  • Choisissez d’ajouter la nouvelle règle d’élévation à une stratégie de règles d’élévation existante ou de créer une stratégie de règles d’élévation qui inclut la nouvelle règle.
    • Lorsqu’elle est ajoutée à une stratégie existante, la nouvelle règle est immédiatement disponible pour cette liste de stratégies de groupes attribués.
    • Lorsqu’une stratégie est créée, vous devez modifier cette stratégie pour affecter des groupes avant qu’elle ne soit disponible pour utilisation.

• Configurer manuellement des règles d’élévation : cette méthode vous oblige à identifier les détails du fichier que vous souhaitez utiliser pour la détection et à les entrer manuellement dans le cadre du flux de travail de création de règle. Pour plus d’informations sur les critères de détection, consultez Définition de règles à utiliser avec Gestion des privilèges de points de terminaison.

  Avec cette méthode, vous :

  • Déterminez manuellement les détails du fichier à utiliser, puis ajoutez-les à la règle d’élévation pour l’identification du fichier.
  • Configurez tous les aspects de la stratégie lors de la création de la stratégie, y compris l’attribution de la stratégie à des groupes pour l’utiliser.
  • Peut ajouter un ou plusieurs arguments de fichier qui doivent faire partie de la demande d’élévation avant qu’EPM autorise l’élévation de fichier.

Configurer automatiquement des règles d’élévation pour la stratégie des règles d’élévation Windows

1. Connectez-vous au Centre d’administration Microsoft Intune et accédez à Sécurité> des points de terminaison Gestion des privilèges de points de terminaison. Pour sélectionner un fichier à utiliser pour une règle d’élévation, choisissez l’un des chemins de départ suivants :

   Démarrer à partir d’un rapport :

   1. Sélectionnez l’onglet Rapports , puis la vignette Rapport d’élévation . Recherchez le fichier pour lequel vous souhaitez créer une règle dans la colonne Fichier .
   2. Sélectionnez le nom lié du fichier pour ouvrir ce volet de détails Élévation .

   Commencez à partir d’une demande d’élévation approuvée par le support :

   1. Sélectionnez l’onglet Demande d’élévation .

   2. Dans la colonne Fichier , sélectionnez le fichier que vous souhaitez utiliser pour la règle d’élévation, ce qui ouvre ce volet de détails Élévation .

      La status de la demande d’élévation n’a pas d’importance. Vous pouvez utiliser une demande en attente ou une demande qui a été précédemment approuvée ou refusée.

2. Dans le volet Détails de l’élévation , passez en revue les détails du fichier. Ces informations sont utilisées par la règle d’élévation pour identifier le fichier correct. Lorsque vous êtes prêt, sélectionnez Créer une règle avec ces détails de fichier.

   

3. Sélectionnez une option de stratégie pour la nouvelle règle d’élévation que vous créez :

   Créez une stratégie : Cette option crée une stratégie qui inclut une règle d’élévation pour le fichier que vous avez sélectionné.

   1. Pour la règle, configurez le comportement de processusType et Enfant, puis sélectionnez OK pour créer la stratégie.
   2. Lorsque vous y êtes invité, indiquez un nom de stratégie pour la nouvelle stratégie et confirmez sa création.
   3. Une fois la stratégie créée, vous pouvez modifier la stratégie pour l’affecter et apporter d’autres modifications.

   Ajouter à une stratégie existante : Avec cette option, utilisez la liste déroulante et sélectionnez une stratégie d’élévation existante à laquelle la nouvelle règle d’élévation est ajoutée.

   1. Pour la règle, configurez le comportement du processus Type d’élévation et Enfant, puis sélectionnez OK. La stratégie est mise à jour avec la nouvelle règle.
   2. Une fois la règle ajoutée à la stratégie, vous pouvez la modifier pour accéder à la règle, puis la modifier pour effectuer des configurations supplémentaires si nécessaire.

   Exiger le même chemin de fichier que cette élévation : Lorsque vous activez cette case à cocher, le champ Chemin d’accès au fichier dans la règle est défini sur le chemin d’accès du fichier, comme indiqué dans le rapport. Si la case à cocher n’est pas cochée, le chemin d’accès reste vide.

   Conseil

   Bien que facultatif, nous vous recommandons d’utiliser un chemin d’accès de fichier qui pointe vers un emplacement que les utilisateurs standard ne peuvent pas modifier.

   

Configurer manuellement des règles d’élévation pour la stratégie des règles d’élévation Windows

1. Connectez-vous au Centre d’administration Microsoft Intune et accédez à Sécurité> du point de terminaison Gestion des privilèges de points de terminaison> sélectionnez l’onglet >Stratégies, puis sélectionnez Créer une stratégie. Définissez la stratégie Plateforme sur Windows, Profil sur Règles d’élévation Windows, puis sélectionnez Créer.

2. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommez les profils afin que vous puissiez facilement les identifier ultérieurement.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

3. Dans Paramètres de configuration, ajoutez une règle pour chaque fichier que cette stratégie gère. Lorsque vous créez une stratégie, la stratégie commence comprend une règle vide avec un type d’élévation Utilisateur confirmé et aucun nom de règle. Commencez par configurer cette règle, puis sélectionnez Ajouter pour ajouter d’autres règles à cette stratégie. Chaque nouvelle règle que vous ajoutez a un type d’élévation Utilisateur confirmé, qui peut être modifié lorsque vous configurez la règle.

   

   Pour configurer une règle, sélectionnez Modifier instance pour ouvrir sa page propriétés de règle, puis configurez les éléments suivants :

   

   • Nom de la règle : spécifiez un nom descriptif pour la règle. Nommez vos règles afin de pouvoir les identifier facilement ultérieurement.
   • Description (facultatif) : entrez une description pour le profil.

   Les conditions d’élévation sont des conditions qui définissent la façon dont un fichier s’exécute et les validations utilisateur qui doivent être remplies avant que le fichier auquel cette règle s’applique puisse être exécuté.

   • Type d’élévation : par défaut, cette option est définie sur Utilisateur confirmé, qui est le type d’élévation le plus couramment utilisé, car il autorise l’élévation, mais nécessite un accusé de réception de l’utilisateur.

     • Refuser : une règle de refus empêche l’exécution du fichier identifié dans un contexte élevé. Les comportements suivants s’appliquent :

       • Les règles de refus prennent en charge les mêmes options de configuration que les autres types d’élévation, à l’exception des options de processus enfant. Les options de processus enfants ne sont pas utilisées à partir de cette règle, même si elles sont configurées.
       • Lorsqu’un utilisateur tente d’élever un fichier qui correspond à une règle de refus, l’élévation échoue. EPM affiche un message indiquant que l’application ne peut pas être exécutée en tant qu’administrateur. Si une règle autorisant l’élévation de ce même fichier est également affectée à cet utilisateur, la règle de refus est prioritaire.
       • Les élévations refusées apparaissent dans le rapport d’élévation comme refusées, comme une demande approuvée de support rejetée.
       • Actuellement, EPM ne prend pas en charge la configuration automatique d’une règle de refus à partir du rapport d’évaluation.

     • Prise en charge approuvée : ce type d’élévation nécessite qu’un administrateur approuve une demande d’élévation. Pour plus d’informations, consultez Prise en charge des demandes d’élévation approuvées.

       Importante

       L’utilisation de l’élévation approuvée par la prise en charge pour les fichiers nécessite que les administrateurs disposant d’autorisations supplémentaires examinent et approuvent chaque demande d’élévation de fichier avant ce fichier sur l’appareil disposant d’autorisations d’administrateur. Pour plus d’informations sur l’utilisation du type d’élévation approuvé par prise en charge, consultez Prise en charge des élévations de fichiers approuvées pour Gestion des privilèges de points de terminaison.

     • Utilisateur confirmé : le plus souvent utilisé pour les fichiers avec des règles qui nécessitent une élévation, car elle autorise l’élévation, mais nécessite un accusé de réception de l’utilisateur. Lorsqu’un fichier est exécuté, l’utilisateur reçoit une simple invite pour confirmer son intention d’exécuter le fichier. La règle peut également inclure d’autres invites disponibles dans la liste déroulante Validation :

       • Justification métier : demandez à l’utilisateur d’entrer une justification pour l’exécution du fichier. Il n’existe aucun format requis pour l’entrée. L’entrée utilisateur est enregistrée et peut être examinée par le biais de journaux si l’étendue de création de rapports inclut la collection d’élévations de point de terminaison.
       • Authentification Windows : cette option nécessite que l’utilisateur s’authentifie à l’aide de ses informations d’identification organization.

     • Automatique : ce type d’élévation exécute automatiquement le fichier avec des autorisations élevées. L’élévation automatique est transparente pour l’utilisateur, sans demander de confirmation ni exiger une justification ou une authentification de la part de l’utilisateur.

       Attention

       Utilisez uniquement l’élévation automatique par exception et pour les fichiers que vous approuvez. Ces fichiers sont automatiquement élevés sans interaction de l’utilisateur. Les règles qui ne sont pas bien définies peuvent permettre aux applications non approuvées de s’élever. Pour plus d’informations sur la création de règles fortes, consultez les instructions relatives à la création de règles.

   • Comportement du processus enfant : par défaut, cette option est définie sur Exiger la règle à élever, ce qui nécessite que le processus enfant corresponde à la même règle que le processus qui le crée. Les autres options incluent notamment :

     • Autoriser tous les processus enfants à s’exécuter avec élévation de privilèges : cette option doit être utilisée avec précaution, car elle permet aux applications de créer des processus enfants de manière inconditionnelle.
     • Refuser tout : cette configuration empêche la création d’un processus enfant.

   Les informations sur les fichiers sont l’endroit où vous spécifiez les détails qui identifient un fichier auquel cette règle s’applique.

   • Nom de fichier : spécifiez le nom de fichier et son extension. Par exemple : myapplication.exe. Vous pouvez également utiliser une variable dans le nom de fichier.

   • Chemin d’accès au fichier (facultatif) : spécifiez l’emplacement du fichier. Si le fichier peut être exécuté à partir de n’importe quel emplacement ou est inconnu, vous pouvez laisser ce champ vide. Vous pouvez également utiliser une variable.

     Conseil

     Bien que facultatif, nous vous recommandons d’utiliser un chemin d’accès de fichier qui pointe vers un emplacement que les utilisateurs standard ne peuvent pas modifier.

   • Source de signature : choisissez l’une des options suivantes :

     • Utiliser un fichier de certificat dans les paramètres réutilisables (par défaut) : cette option utilise un fichier de certificat précédemment ajouté à un groupe de paramètres réutilisables pour Gestion des privilèges de points de terminaison. Vous devez créer un groupe de paramètres réutilisables avant de pouvoir utiliser cette option.

       Pour identifier le certificat, sélectionnez Ajouter ou supprimer un certificat, puis sélectionnez le groupe réutilisable qui contient le certificat correct. Ensuite, spécifiez le type de certificat du serveur de publication ou de l’autorité de certification.

     • Charger un fichier de certificat : ajoutez un fichier de certificat directement à la règle d’élévation. Pour Chargement de fichier, spécifiez un fichier .cer qui peut valider l’intégrité du fichier auquel cette règle s’applique. Ensuite, spécifiez le type de certificat du serveur de publication ou de l’autorité de certification.

     • Non configuré : utilisez cette option lorsque vous ne souhaitez pas utiliser de certificat pour valider l’intégrité du fichier. Lorsqu’aucun certificat n’est utilisé, vous devez fournir un hachage de fichier.

   • Hachage de fichier : le hachage de fichier est requis lorsque la source de signature est définie sur Non configuré et facultatif lorsqu’il est défini pour utiliser un certificat.

   • Version minimale : (Facultatif) Utilisez le format x.x.x.x pour spécifier une version minimale du fichier pris en charge par cette règle.

   • Description du fichier : (Facultatif) Fournissez une description du fichier.

   • Nom du produit : (Facultatif) Spécifiez le nom du produit dont provient le fichier.

   • Nom interne : (Facultatif) Spécifiez le nom interne du fichier.

   Sélectionnez Enregistrer pour enregistrer la configuration de la règle. Vous pouvez ensuite ajouter d’autres règles. Après avoir ajouté toutes les règles requises par cette stratégie, sélectionnez Suivant pour continuer.

4. Dans la page Balises d’étendue, sélectionnez les balises d’étendue souhaitées à appliquer, puis sélectionnez Suivant.

5. Pour Affectations, sélectionnez les groupes qui reçoivent la stratégie. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil. Sélectionnez Suivant.

6. Dans Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie est également affichée dans la liste des stratégies.

Utiliser des variables dans les règles d’élévation

Lorsque vous configurez manuellement des règles d’élévation de fichier, vous pouvez utiliser des caractères génériques pour les configurations suivantes disponibles dans la page propriétés de règle d’une stratégie de règle d’élévation :

• Nom de fichier : les caractères génériques sont pris en charge dans le cadre d’un nom de fichier lors de la configuration du champ Nom de fichier .
• Chemin d’accès du dossier : les caractères génériques sont pris en charge dans le cadre d’un chemin d’accès de dossier lors de la configuration du champ Chemin du dossier .

L’utilisation de caractères génériques offre une flexibilité dans vos règles pour prendre en charge les fichiers approuvés qui ont des noms susceptibles de changer fréquemment avec des révisions ultérieures, ou pour lesquels le chemin d’accès au fichier peut également changer.

Les caractères génériques suivants sont pris en charge :

• Point d’interrogation ? : les points d’interrogation remplacent des caractères individuels dans un nom de fichier.
• Astérisque * : un astérisque remplace une chaîne de caractères dans un nom de fichier.

Voici des exemples d’utilisation de caractères génériques prises en charge :

• Nom de fichier pour un fichier d’installation de Visual Studio appelé VSCodeSetup-arm64-1.99.2.exe:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Chemin d’accès du même fichier, généralement trouvé dans C:\Users\<username>\Downloads\:

  • C:\Users\*\Downloads\

Utiliser des arguments de fichier pour les règles d’élévation

Les règles d’élévation de fichier peuvent également être limitées pour autoriser l’élévation avec des arguments spécifiques.

Par exemple, dsregcmd peut être utile pour examiner l’état d’un appareil dans Microsoft Entra ID, mais nécessite une élévation. Pour faciliter l’utilisation de ces fichiers à des fins d’investigation, vous pouvez configurer la règle avec une liste d’arguments pour dsregcmd qui inclut les commutateurs pour /status, /listaccounts, etc. Toutefois, pour empêcher une action destructrice telle que la désinscription d’un appareil, vous excluez des arguments comme /leave. Avec cette configuration, la règle autorise l’élévation uniquement si les arguments /status ou /listaccounts sont utilisés. dsregcmd avec le commutateur /leave, qui supprime l’appareil de Microsoft Entra ID, serait refusé.

Pour ajouter un ou plusieurs arguments à une règle d’élévation, définissez Restreindre les arguments sur Liste verte. Sélectionnez Ajouter et configurez les options de ligne de commande autorisées. En ajoutant plusieurs arguments, vous fournissez plusieurs lignes de commande prises en charge par les demandes d’élévation.

Groupes de paramètres réutilisables

Gestion des privilèges de points de terminaison utilise des groupes de paramètres réutilisables pour gérer les certificats qui valident les fichiers que vous gérez avec Gestion des privilèges de points de terminaison règles d’élévation. Comme tous les groupes de paramètres réutilisables pour Intune, les modifications apportées à un groupe réutilisable sont automatiquement passées aux stratégies qui référencent le groupe. Si vous devez mettre à jour le certificat que vous utilisez pour la validation de fichier, vous n’avez besoin de le mettre à jour qu’une seule fois dans le groupe de paramètres réutilisables. Intune applique le certificat mis à jour à toutes vos règles d’élévation qui utilisent ce groupe.

Pour créer le groupe de paramètres réutilisables pour Gestion des privilèges de points de terminaison :

1. Connectez-vous au Centre d’administration Microsoft Intune et accédez à Sécurité> du point de terminaison Gestion des privilèges de points de terminaison> sélectionnez l’onglet >Paramètres réutilisables (préversion), puis sélectionnez Ajouter.

   

2. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le groupe réutilisable. Nommez les groupes afin que vous puissiez facilement les identifier par la suite.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

3. Dans Paramètres de configuration, sélectionnez l’icône de dossier pour Fichier de certificat, puis accédez à un . Fichier CER pour l’ajouter à ce groupe réutilisable. Le champ Valeur de base 64 est renseigné en fonction du certificat sélectionné.

   

4. Dans Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Ajouter. Lorsque vous sélectionnez Ajouter, votre configuration est enregistrée, puis group est affiché dans la liste des groupes de paramètres réutilisables pour Gestion des privilèges de points de terminaison.

Étapes suivantes