Partager via

Gestion des paramètres d’élévation avec Endpoint Privilege Management

Avec Microsoft Intune Endpoint Privilege Management (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches qui nécessitent des privilèges élevés. Pour plus d’informations, consultez Vue d’ensemble d’EPM.

S’applique à :

  • Windows

Pour configurer Endpoint Privilege Management (EPM) sur les appareils, déployez la stratégie des paramètres d’élévation Windows sur les utilisateurs ou les appareils :

  • Activer ou désactiver EPM sur un appareil.
  • Définissez des règles par défaut pour les demandes d’élévation pour tous les fichiers qui ne correspondent pas à une règle d’élévation.
  • Configurez les informations qu’EPM renvoie à Intune.

Quand EPM est activé, le C:\Program Files\Microsoft EPM Agent dossier est créé en même temps que le service « Microsoft EPM Agent Service », qui est responsable du traitement des stratégies EPM.

À propos de la stratégie des paramètres d’élévation Windows

Utilisez la stratégie des paramètres d’élévation Windows lorsque vous souhaitez :

  • Activez ou désactivez Endpoint Privilege Management sur les appareils. Lorsqu’il est activé pour la première fois pour EPM, les composants EPM sont installés.

    Si EPM est désactivé sur un appareil, les composants clients sont désactivés lors de la synchronisation de stratégie suivante. Il y a un délai de sept jours avant la suppression des composants EPM. Le délai permet de réduire le temps nécessaire à la restauration d’EPM si un appareil a accidentellement désactivé EPM ou si sa stratégie de paramètres d’élévation n’est pas attribuée.

  • Définir une réponse d’élévation par défaut : définissez une réponse par défaut pour une demande d’élévation d’un fichier qui n’est pas géré par une stratégie de règle d’élévation Windows. Pour que ce paramètre ait un effet, aucune règle ne peut exister pour l’application et un utilisateur final doit demander explicitement une élévation via le menu contextuel Exécuter avec accès élevé . Par défaut, cette option est définie sur Non configuré. Si aucun paramètre n’est configuré, les composants EPM reviennent à leur valeur par défaut intégrée, qui consiste à refuser toutes les demandes.

    Conseil

    Nous vous recommandons d’utiliser Exiger l’approbation du support ou Refuser toutes les demandes comme réponse d’élévation par défaut.

    Les options suivantes sont disponibles :

    • Refuser toutes les demandes (recommandé) : cette option bloque l’action de demande d’élévation de privilèges pour les fichiers qui ne sont pas définis dans une stratégie de règles d’élévation Windows.

    • Exiger l’approbation du support (recommandé) : lorsque l’approbation du support est requise, un administrateur doit examiner les demandes d’élévation avant que l’élévation ne soit autorisée.

    • Exiger la confirmation de l’utilisateur : lorsque la confirmation de l’utilisateur est requise, vous pouvez choisir parmi les mêmes options de validation que pour la stratégie de règles d’élévation Windows.

      • Options de validation : définissez les options de validation lorsque la réponse d’élévation par défaut est définie comme Exiger la confirmation de l’utilisateur. Les options suivantes sont disponibles :

        • Justification métier : cette option nécessite que l’utilisateur final fournisse une justification avant d’effectuer une élévation facilitée par la réponse d’élévation par défaut.
        • Authentification Windows : cette option nécessite que l’utilisateur final s’authentifie avant d’effectuer une élévation facilitée par la réponse d’élévation par défaut.

        Remarque

        Plusieurs options de validation peuvent être sélectionnées pour répondre aux besoins du organization. Si aucune option n’est sélectionnée, l’utilisateur doit uniquement sélectionner Continuer pour terminer l’élévation.

    Attention

    La réponse d’élévation par défaut s’applique à tous les fichiers qui ne correspondent pas à une règle d’élévation. Par conséquent, le paramètre Exiger la confirmation de l’utilisateur permet à tous les fichiers d’être élevés par défaut. Si vous ne recherchez pas de justifications professionnelles ou d’invites d’informations d’identification pour les élévations, nous vous recommandons d’utiliser Refuser toutes les demandes ou Exiger l’approbation du support.

  • Envoyer des données d’élévation pour la création de rapports : ce paramètre contrôle si votre appareil partage les données de diagnostic et d’utilisation avec Microsoft. Utilisez le paramètre Étendue du rapport pour contrôler les données collectées.

    Les données de diagnostic sont utilisées par Microsoft pour mesurer l’intégrité des composants du client EPM. Les données d’utilisation sont utilisées pour vous montrer les élévations qui se produisent au sein de votre locataire. Pour plus d’informations sur les types de données et leur mode de stockage, consultez Collecte et confidentialité des données pour Endpoint Privilege Management.

    Les options suivantes sont disponibles :

    • Oui : cette option envoie des données à Microsoft en fonction du paramètre Étendue du rapport .
    • Non : cette option n’envoie pas de données à Microsoft.

  • Étendue du rapport : ce paramètre contrôle la quantité de données envoyées à Microsoft lorsque l’option Envoyer des données d’élévation pour la création de rapports est définie sur Oui. Par défaut, *Les données de diagnostic et toutes les élévations de point de terminaison sont sélectionnées.

    Les options suivantes sont disponibles :

    • Données de diagnostic et élévations managées uniquement : cette option envoie des données de diagnostic à Microsoft sur l’intégrité des composants clients ET des données sur les élévations facilitées par Endpoint Privilege Management.
    • Données de diagnostic et toutes les élévations de point de terminaison : cette option envoie des données de diagnostic à Microsoft sur l’intégrité des composants clients ET des données sur toutes les élévations qui se produisent sur le point de terminaison.
    • Données de diagnostic uniquement : cette option envoie uniquement les données de diagnostic à Microsoft concernant l’intégrité des composants clients.

Créer une stratégie de paramètres d’élévation Windows

  1. Connectez-vous au Centre d’administration Microsoft Intune et accédez àGestion des privilèges de point de terminaison sécurité> des > points de terminaison, sélectionnez l’onglet >Stratégies, puis sélectionnez Créer une stratégie. Définissez la stratégie Plateforme sur Windows, Profil sur Paramètres d’élévation Windows, puis sélectionnez Créer.

  2. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le profil. Nommez les profils afin que vous puissiez facilement les identifier ultérieurement.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

  3. Dans Paramètres de configuration, configurez les éléments suivants pour définir les comportements par défaut pour les demandes d’élévation sur un appareil :

    Image de la page de configuration des paramètres d’évaluation.

    • Gestion des privilèges de point de terminaison : défini sur Activé (par défaut). Lorsqu’il est activé, un appareil utilise Endpoint Privilege Management. Lorsqu’il est défini sur Désactivé, l’appareil n’utilise pas Endpoint Privilege Management et désactive immédiatement EPM s’il a été activé précédemment. Après sept jours, l’appareil déprovisionne les composants pour Endpoint Privilege Management.

    • Réponse d’élévation par défaut : configurez la façon dont cet appareil gère les demandes d’élévation pour les fichiers qui ne correspondent pas à une règle :

      • Non configuré : cette option fonctionne de la même façon que Refuser toutes les requêtes.

      • Refuser toutes les demandes : EPM ne facilite pas l’élévation des fichiers et l’utilisateur voit apparaître une fenêtre contextuelle contenant des informations sur le refus. Cette configuration n’empêche pas les utilisateurs disposant d’autorisations d’administration d’utiliser Exécuter en tant qu’administrateur pour exécuter des fichiers non managés.

      • Exiger l’approbation du support : ce comportement indique à EPM d’inviter l’utilisateur à envoyer une demande approuvée par le support.

      • Exiger la confirmation de l’utilisateur : l’utilisateur reçoit une simple invite pour confirmer son intention d’exécuter le fichier. Vous pouvez également exiger d’autres invites disponibles dans la liste déroulante Validation :

        • Justification métier : demandez à l’utilisateur d’entrer une justification pour l’exécution du fichier. Il n’existe aucun format requis pour cette justification. Les entrées utilisateur sont enregistrées et peuvent être examinées par le biais de journaux si l’étendue de création de rapports inclut la collection d’élévations de point de terminaison.
        • Authentification Windows : cette option nécessite que l’utilisateur s’authentifie à l’aide de ses informations d’identification organization.

        Attention

        La réponse d’élévation par défaut s’applique à tous les fichiers qui ne correspondent pas à une règle d’élévation. Par conséquent, le paramètre Exiger la confirmation de l’utilisateur permet à tous les fichiers d’être élevés par défaut. Si vous ne recherchez pas d’invites d’audit ou d’informations d’identification supplémentaires, nous vous recommandons d’utiliser Refuser toutes les demandes ou Exiger l’approbation du support.

    • Envoyer des données d’élévation pour la création de rapports : par défaut, ce comportement est défini sur Oui. Lorsque la valeur est oui, vous pouvez configurer une étendue de création de rapports. Lorsqu’il est défini sur Non, un appareil ne signale pas de données de diagnostic ou d’informations sur les élévations de fichiers à Intune.

    • Étendue du rapport : choisissez le type d’informations qu’un appareil signale à Intune :

      • Données de diagnostic et toutes les élévations de point de terminaison (par défaut) : l’appareil signale les données de diagnostic et les détails sur toutes les élévations de fichiers qu’EPM facilite.

        Ce niveau d’informations peut vous aider à identifier d’autres fichiers qui ne sont pas encore gérés par une règle d’élévation que les utilisateurs cherchent à exécuter dans un contexte élevé.

      • Données de diagnostic et élévations managées uniquement : l’appareil signale des données de diagnostic et des détails sur les élévations de fichiers contrôlées par EPM. Les élévations EPM incluent des élévations qui correspondent à une règle d’élévation ou qui sont lancées par le menu contextuel Exécuter avec un accès élevé . Les demandes de fichiers pour les fichiers non managés et les fichiers élevés par le biais de l’action Windows par défaut Exécuter en tant qu’administrateur ne sont pas signalées en tant qu’élévations managées.

      • Données de diagnostic uniquement : seules les données de diagnostic pour le fonctionnement de Endpoint Privilege Management sont collectées. Les informations sur les élévations de fichiers ne sont pas communiquées à Intune.

    Quand vous êtes prêt, sélectionnez Suivant pour continuer.

  4. Dans la page Balises d’étendue, sélectionnez les balises d’étendue souhaitées à appliquer, puis sélectionnez Suivant.

  5. Pour Affectations, sélectionnez les groupes qui reçoivent la stratégie. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil. Sélectionnez Suivant.

  6. Pour Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie est également affichée dans la liste des stratégies.

Étapes suivantes

Suivant : Créer une stratégie de règles d’élévation >

  • Last updated on