Utiliser Gestion des privilèges de points de terminaison avec Microsoft Intune

Avec Microsoft Intune Gestion des privilèges de points de terminaison (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches qui nécessitent des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

Gestion des privilèges de points de terminaison prend en charge votre parcours Confiance nulle en aidant votre organization à atteindre une large base d’utilisateurs s’exécutant avec les privilèges minimum, tout en élevant les tâches sélectionnées si nécessaire pour rester productif. Pour plus d’informations, consultez Confiance nulle avec Microsoft Intune.

Cette vue d’ensemble fournit des informations sur EPM, notamment sur les avantages, son fonctionnement et la prise en main.

S’applique à :

• Windows

Fonctionnalités et avantages clés

✅ Découvrir les principales fonctionnalités et avantages d’EPM

• Standard Utilisateurs par défaut. Les utilisateurs peuvent effectuer leurs tâches sans droits d’administrateur local.
• Prise en charge de l’élévation juste-à-temps. Les utilisateurs peuvent déclencher des fichiers binaires ou des scripts approuvés par le service informatique spécifiques à élever temporairement.
• Contrôle basé sur des stratégies. Les administrateurs définissent des paramètres et des règles pour contrôler les conditions d’élévation et le comportement, avec des fonctionnalités de création de règles granulaires pour répondre aux besoins de l’organisation.
• Auditer la journalisation et la création de rapports. Intune journalise chaque élévation avec des métadonnées détaillées.
• L’alignement sur Confiance nulle principes en activant l’accès au privilège minimum et en minimisant les risques de mouvement latéral.

Principes de base d’EPM

✅ Découvrir le fonctionnement d’EPM

L’élévation EPM peut être déclenchée à l’aide de deux méthodes :

• Automatiquement, ou ;
• Lancé par l’utilisateur.

EPM peut être configuré à l’aide de deux types de stratégies, qui peuvent être ciblées sur des groupes d’utilisateurs ou d’appareils :

• Stratégie de paramètres d’élévation : contrôle le client EPM, le niveau de création de rapports et la fonctionnalité d’élévation par défaut.
• Stratégie de règles d’élévation : définit le comportement d’élévation pour les fichiers binaires ou les scripts en fonction de critères.

Pour effectuer l’élévation sur l’appareil, le service EPM utilise un compte virtuel pour la plupart des types d’élévation, qui est isolé du compte des utilisateurs connectés. Aucun de ces comptes n’est ajouté au groupe Administrateurs local. Une exception à l’utilisation du compte virtuel est le type d’élévation Elevate en tant qu’utilisateur actuel , qui est expliqué plus en détail dans la section suivante.

Le client EPM est installé automatiquement lorsqu’une stratégie de paramètres d’élévation est affectée à des appareils ou des utilisateurs. Le client EPM utilise le service « Microsoft EPM Agent Service » et stocke ses fichiers binaires dans l’annuaire "C:\Program Files\Microsoft EPM Agent" .

Ce diagramme montre une architecture de haut niveau de la façon dont le client EPM est déclenché, vérifie les règles, puis facilite l’élévation :

Types d’élévation

✅ Contrôler la façon dont EPM élève les fichiers

EPM permet aux utilisateurs sans privilèges administratifs d’exécuter des processus dans le contexte administratif. Lorsque vous créez une règle d’élévation, cette règle permet à EPM de proxyer la cible de cette règle pour qu’elle s’exécute avec des privilèges d’administrateur sur l’appareil. Le résultat est que l’application dispose de toutes les fonctionnalités d’administration sur l’appareil.

À l’exception de Elevate comme type d’utilisateur actuel , EPM utilise un compte virtuel pour élever les processus. L’utilisation du compte virtuel isole les actions avec élévation de privilèges du profil de l’utilisateur, ce qui réduit l’exposition aux données spécifiques à l’utilisateur et réduit le risque d’escalade de privilèges.

Lorsque vous utilisez Gestion des privilèges de points de terminaison, il existe plusieurs options pour le comportement d’élévation :

• Automatique : pour les règles d’élévation automatique, EPM élève automatiquement ces applications sans entrée de l’utilisateur. Les règles générales de cette catégorie peuvent avoir un impact généralisé sur la posture de sécurité du organization.

• Utilisateur confirmé : avec les règles confirmées par l’utilisateur, les utilisateurs finaux utilisent un nouveau menu contextuel avec clic droit Exécuter avec un accès élevé. Les administrateurs peuvent demander à l’utilisateur d’effectuer une validation supplémentaire à l’aide d’une invite d’authentification, d’une justification métier ou des deux.

  

• Élever en tant qu’utilisateur actuel : utilisez ce type d’élévation pour les applications qui nécessitent l’accès à des ressources spécifiques à l’utilisateur pour fonctionner correctement, comme les chemins de profil, les variables d’environnement ou les préférences d’exécution. Contrairement aux élévations qui utilisent un compte virtuel, ce mode exécute le processus avec élévation de privilèges sous le propre compte de l’utilisateur connecté, ce qui préserve la compatibilité avec les outils et les programmes d’installation qui s’appuient sur le profil utilisateur actif. En conservant la même identité utilisateur avant et après l’élévation, cette approche garantit des pistes d’audit cohérentes et précises. Il prend également en charge l’authentification Windows, ce qui oblige l’utilisateur à se réauthentifier avec des informations d’identification valides avant que l’élévation ne se produise.

  Toutefois, étant donné que le processus élevé hérite du contexte complet de l’utilisateur, ce mode introduit une surface d’attaque plus large et réduit l’isolement par rapport aux données utilisateur.

  Considérations clés :

  • Besoin de compatibilité : utilisez ce mode uniquement lorsque l’élévation de compte virtuel provoque des échecs d’application.
  • Étendue étroite : limitez les règles d’élévation aux fichiers binaires et aux chemins d’accès approuvés pour réduire les risques.
  • Compromis de sécurité : comprenez que ce mode augmente l’exposition aux données spécifiques de l’utilisateur.

  Conseil

  Lorsque la compatibilité n’est pas un problème, préférez une méthode qui utilise l’élévation de compte virtuel pour renforcer la sécurité.

• Support approuvé : pour les règles approuvées par le support, les utilisateurs finaux doivent envoyer une demande d’exécution d’une application avec des autorisations élevées. Une fois la demande envoyée, un administrateur peut approuver la demande. Une fois la demande approuvée, l’utilisateur final est averti qu’il peut réessayer l’élévation sur l’appareil. Pour plus d’informations sur l’utilisation de ce type de règle, consultez Prise en charge des demandes d’élévation approuvées.

  

• Refuser : une règle de refus identifie un fichier qu’EPM empêche de s’exécuter dans un contexte élevé. Dans certains scénarios, les règles de refus peuvent garantir que les fichiers connus ou les logiciels potentiellement malveillants ne peuvent pas être exécutés dans un contexte élevé.

Le client EPM peut être configuré avec une réponse d’élévation par défaut ou avec des règles spécifiques qui autorisent la réponse d’élévation spécifiée.

Fonctionnalités de règle

✅ Ciblage granulaire des fichiers pour l’élévation

Les règles d’élévation EPM peuvent être créées en fonction d’un ou de plusieurs attributs, notamment le nom de fichier, le chemin d’accès, etc. Voici quelques exemples de fonctionnalités de règle :

• Contrôles de processus enfants : lorsque les processus sont élevés par EPM, vous pouvez contrôler la façon dont la création de processus enfants est régie par EPM, ce qui vous permet d’avoir un contrôle granulaire sur tous les sous-processus qui peuvent être créés par votre application avec élévation de privilèges.

• Prise en charge des arguments : autorise uniquement certains paramètres pour les applications à être élevés.

• Prise en charge du hachage de fichier : correspond à l’application en fonction du hachage du fichier.

• Prise en charge des certificats d’éditeur : créez des règles basées sur l’approbation du certificat d’éditeur de l’application avec d’autres attributs.

Types de fichiers pris en charge

EPM prend en charge l’élévation de ces types de fichiers :

• Fichiers exécutables avec une .exe extension.
• Fichiers Windows Installer avec une .msi extension.
• Scripts PowerShell avec l’extension .ps1 .

Reporting

✅ Suivre les élévations dans votre environnement

EPM inclut des rapports pour vous aider à préparer, surveiller et utiliser le service. Des rapports sont fournis pour les élévations non managées et gérées :

• Élévation non managée : toutes les élévations de fichiers qui se produisent sans utilisation de Gestion des privilèges de points de terminaison. Ces élévations peuvent se produire lorsqu’un utilisateur disposant de droits d’administration utilise l’action Windows par défaut Exécuter en tant qu’administrateur.

• Élévation managée : toute élévation que Gestion des privilèges de points de terminaison facilite. Les élévations managées incluent toutes les élévations qu’EPM finit par faciliter pour l’utilisateur standard. Ces élévations gérées peuvent inclure des élévations qui se produisent à la suite d’une règle d’élévation ou dans le cadre d’une action d’élévation par défaut.

Bien démarrer avec Gestion des privilèges de points de terminaison

✅ Commencer à utiliser EPM

Gestion des privilèges de points de terminaison (EPM) est administré à partir du Centre Microsoft Intune Administration. Lorsque les organisations commencent à utiliser EPM, elles utilisent le processus général suivant :

• Licence EPM et plan

  • Licence EPM : avant de pouvoir utiliser des stratégies de Gestion des privilèges de points de terminaison, vous devez utiliser une licence EPM dans votre locataire en tant que module complémentaire Intune. Pour plus d’informations sur les licences, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.
  • Planifier EPM : avant de commencer à utiliser EPM, vous devez prendre en compte certaines exigences et concepts clés. Pour plus d’informations, consultez Planifier EPM.

• Déployer EPM : pour déployer EPM, activez l’audit, créez des règles et surveillez le déploiement. Pour plus d’informations, consultez Déployer EPM.

• Gérer EPM : après avoir déployé EPM, vous pouvez surveiller les demandes et les élévations approuvées de support. Vous pouvez gérer et mettre à jour vos règles et passer en revue les privilèges utilisateur.