次の方法で共有

エンドポイント特権管理を使用した昇格ルールの作成

注:

この機能は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

Microsoft Intune エンドポイント特権管理 (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 詳細については、「 EPM の概要」を参照してください。

適用対象:

  • Windows

昇格ルール ポリシーを使用すると、エンドポイント特権管理 (EPM) が特定のファイルとスクリプトを識別し、関連付けられている昇格アクションを実行できます。 昇格ルールを有効にするには、EPM を有効にする 昇格設定ポリシー がデバイスに必要です。 詳細については、「 EPM 昇格設定」を参照してください。

この記事の情報に加えて、昇格ルールを管理する際の重要な セキュリティに関する推奨事項 を引き続き認識してください。

昇格ルール ポリシーについて

昇格ルール ポリシーは、特定のファイルの識別と、それらのファイルの昇格要求の処理方法を管理するために使用されます。 各 昇格ルール ポリシー には、1 つ以上の 昇格ルールが含まれています。 昇格規則を使用して、管理されているファイルに関する詳細と、管理者特権を持つファイルの要件を構成します。

次の種類のファイルがサポートされています。

  • .exeまたは.msi拡張子を持つ実行可能ファイル。
  • .ps1拡張機能を含む PowerShell スクリプト。

各昇格ルールは、次の方法について EPM に指示します。

  • 次を使用してファイルを識別します

    • ファイル名 (拡張子を含む)。 この規則では、最小ビルド バージョン、製品名、内部名などのオプションの条件もサポートされています。 省略可能な条件は、昇格が試行されたときにファイルをさらに検証するために使用されます。 ファイル名 (拡張子を除く) には、アスタリスク *を使用して疑問符?または文字列を使用して、1 文字の変数を使用できます。
    • 証書。 証明書は、ルールに直接追加することも、再利用可能な設定グループを使用して追加することもできます。 証明書は信頼され、有効である必要があります。 再利用可能な設定グループは、より効率的で、将来の証明書の変更を簡略化できるため、使用することをお勧めします。 詳細については、「 再利用可能な設定グループ」を参照してください。

  • ファイルを検証します

    • ファイル ハッシュ。 自動ルールにはファイル ハッシュが必要です。 昇格の種類が [ユーザーの確認済み ] または [ Elevate as current user]\(現在のユーザーとして昇格\) のルールの場合は、証明書またはファイル ハッシュを使用できます。この場合、ファイル ハッシュは省略可能になります。
    • 証書。 ファイルのプロパティは、ファイルの署名に使用される発行元証明書と共に検証できます。 証明書は、信頼、証明書の有効期限、失効状態などの属性をチェックする Windows API を使用して検証されます。
    • ファイルのプロパティ。 ルールで指定されているその他のプロパティは一致する必要があります。

  • ファイルの昇格の種類を構成します。 昇格の種類は、ファイルに対して昇格要求が行われた場合の動作を識別します。 既定では、このオプションは [ユーザーが確認済み] に設定されています。 現在のユーザーとしての昇格を除き、EPM は仮想アカウントを使用してプロセスを昇格します。 これにより、昇格されたアクションをユーザーのプロファイルから分離し、ユーザー固有のデータへの露出を減らし、特権エスカレーションのリスクを軽減します。

    • 拒否: 拒否規則により、識別されたファイルが昇格されたコンテキストで実行されるのを防ぎます。

    • サポートが承認されました: 管理者特権でアプリケーションの実行を許可する前に、管理者が サポートが必要な昇格要求 を承認する必要があります。

    • ユーザーの確認: ユーザーが昇格を確認した場合、ファイルを実行するには、常に確認プロンプトでユーザーを選択する必要があります。 確認は、ユーザー認証、ビジネス上の正当な理由 (レポートに表示)、またはその両方を要求するようにのみ構成できます。

    • 現在のユーザーとして昇格する: この種類の昇格では、サインインしているユーザー自身のアカウントで昇格されたプロセスが実行され、アクティブなユーザー プロファイルに依存するツールやインストーラーとの互換性が維持されます。 これにより、ユーザーは Windows 認証の資格情報を入力する必要があります。 これにより、ユーザーのプロファイル パス、環境変数、および個人用設定が保持されます。 昇格されたプロセスでは昇格の前後で同じユーザー ID が維持されるため、監査証跡は一貫性があり正確なままになります。

      ただし、昇格されたプロセスはユーザーの完全なコンテキストを継承するため、このモードではより広範な攻撃面が導入され、ユーザー データからの分離が軽減されます。

      主な考慮事項:

      • 互換性が必要: このモードは、仮想アカウントの昇格によってアプリケーションエラーが発生する場合にのみ使用します。
      • スコープを厳密に設定する: 昇格ルールを信頼されたバイナリとパスに制限して、リスクを軽減します。
      • セキュリティのトレードオフ: このモードでは、ユーザー固有のデータへの露出が増加することを理解します。

      ヒント

      互換性が問題でない場合は、より強力なセキュリティのために仮想アカウントの昇格を使用する方法を選択します。

    • 自動: 自動昇格は、ユーザーに目に見えない形で行われます。 プロンプトはなく、管理者特権のコンテキストでファイルが実行されていることを示すメッセージもありません。

  • 子プロセスの動作を管理します。 昇格されたプロセスによって作成されるすべての子プロセスに適用される昇格動作を設定できます。

    • 昇格するルールを要求する - 子プロセスが昇格されたコンテキストで実行される前に、子プロセスが独自のルールを必要とするように構成します。
    • すべて拒否 - すべての子プロセスが、昇格されたコンテキストなしで起動します。
    • 子プロセスで管理者特権での実行を許可する - 常に管理者特権で実行するように子プロセスを構成します。

注:

強力なルールの作成の詳細については、「エンドポイント特権管理で使用するルールの定義」を参照してください。

また、EpmTools PowerShell モジュールから Get-FileAttributes PowerShell コマンドレットを使用することもできます。 このコマンドレットは、.exe ファイルのファイル属性を取得し、その Publisher 証明書と CA 証明書を、特定のアプリケーションの昇格規則プロパティの設定に使用できる設定された場所に抽出できます。

注意

自動昇格は控えめに使用し、ビジネス クリティカルな信頼されたファイルにのみ使用することをお勧めします。 エンド ユーザーは、そのアプリケーションを起動 するたびに 、これらのアプリケーションを自動的に昇格させます。

エンドポイント特権管理で使用するルールの定義

エンドポイント特権管理ルールは、検出昇格アクションという 2 つの基本的な要素で構成されます。

検出 は、アプリケーションまたはバイナリを識別するために使用される属性のセットとして定義されます。 これらの属性には、ファイル名、ファイル バージョン、署名プロパティが含まれます。

昇格アクション は、アプリケーションまたはバイナリが検出された後に発生する結果の昇格です。

可能な限りわかりやすいように定義されている検出を定義する場合は、重要です。 わかりやすい場合は、強力な属性または複数の属性を使用して検出の強度を高めます。 検出を定義する際の目標は、明示的に意図されていない限り、複数のファイルが同じルールに分類される機能を排除することです。

ファイル ハッシュ規則

ファイル ハッシュ 規則は、エンドポイント特権管理で作成できる最も強力な規則です。 これらの規則は、昇格するファイルが管理者特権のファイルであることを確認することを 強くお勧めします

ファイル ハッシュは、Get-Filehash PowerShell メソッドを使用して直接バイナリから収集することも、エンドポイント特権管理のレポートから直接収集することもできます。

証明書ルール

証明書ルールは強力な種類の属性であり、他の属性とペアにする必要があります。 証明書と製品名、内部名、説明などの属性をペアリングすると、規則のセキュリティが大幅に向上します。 これらの属性はファイル署名によって保護され、多くの場合、署名されたファイルに関する詳細を示します。

注意

証明書とファイル名のみを使用してファイルを識別することはお勧めしません。 ファイルが存在するディレクトリにアクセスできる 標準ユーザー は、ファイル名を変更できます。 この問題は、書き込み保護されたディレクトリに存在するファイルの問題ではない可能性があります。

ファイル名を含む規則

ファイル名は、昇格する必要があるアプリケーションを検出するために使用できる属性です。 ただし、ファイル名は簡単に変更でき、発行元証明書によって署名されたハッシュまたは属性の一部になりません。

つまり、ファイル名は変更の 影響を受けやすくなります 。 信頼できる証明書によって署名されたを意図的にターゲットにしていないファイルは、 検出 および 昇格されるように名前を変更できます。

重要

常に、ファイル名を含むルールに、ファイルの ID に対して強力なアサーションを提供する他の属性が含まれるようにします。 ファイル のハッシュや、ファイル署名に含まれるプロパティ (製品名など) などの属性は、意図したファイルが昇格されている可能性が高いことを示す適切なインジケーターです。

PowerShell によって収集された属性に基づく規則

より正確なファイル検出規則を構築するために、 Get-FileAttributes PowerShell コマンドレットを使用できます。 EpmTools PowerShell モジュールから入手できる Get-FileAttributes は、ファイルのファイル属性と証明書チェーン マテリアルを取得でき、出力を使用して特定のアプリケーションの昇格ルール プロパティを設定できます。

Windows 11 バージョン 10.0.22621.2506 の msinfo32.exe に対して実行 Get-FileAttributes モジュールのインポート手順と出力の例:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

注:

msinfo32.exe の証明書チェーンは、コマンド例に示されている C:\CertsForMsInfo ディレクトリに出力されます。

詳細については、「 EpmTools PowerShell モジュール」を参照してください。

子プロセスの動作の制御

子プロセスの動作を使用すると、EPM で昇格されたプロセスが子プロセスを作成する場合にコンテキストを制御できます。 この動作により、親プロセスのコンテキストを自動的に委任されるプロセスを制御できます。

Windows では親のコンテキストが自動的に子に委任されるため、許可されているアプリケーションの動作を制御する際には特別な注意を払います。 昇格ルールを作成するときに必要なものを評価し、最小特権の原則を実装していることを確認します。

注:

子プロセスの動作を変更すると、既定の Windows 動作を想定している特定のアプリケーションとの互換性の問題が発生する可能性があります。 子プロセスの動作を操作するときは、アプリケーションを十分にテストしてください。

エンドポイント特権管理を使用して作成されたルールのデプロイ

エンドポイント特権管理ルールは、Microsoft Intune の他のポリシーと同様に展開されます。 つまり、ルールはユーザーまたはデバイスに展開でき、ルールはクライアント側でマージされ、実行時に選択されます。 競合は、 ポリシーの競合の動作に基づいて解決されます。

デバイスに展開されたルールは、そのデバイスを使用 するすべてのユーザー に適用されます。 ユーザーに展開されるルールは、 使用 する各デバイス上のそのユーザーにのみ適用されます。 昇格アクションが発生すると、ユーザーに展開されたルールが、デバイスに展開されたルールよりも優先されます。 この動作を使用すると、デバイスのすべてのユーザーに一連のルールを展開し、特定のユーザー (サポート管理者など) により制限の緩やかなルールセットを展開できます。 これにより、サポート管理者は、デバイスにサインインするときに、より広範なアプリケーション セットを昇格できます。

既定の昇格動作 は、一致するルールが見つからない場合にのみ使用されます。 既定の昇格動作は、[昇格されたアクセス権を持 つ実行 ] 右クリック メニューで昇格がトリガーされた場合にのみ適用されます。

昇格ルール ポリシーを作成する

昇格ルール ポリシーをユーザーまたはデバイスに展開し、エンドポイント特権管理によって昇格のために管理されるファイルに対して 1 つ以上のルールを展開します。 このポリシーに追加する各ルール:

  • 昇格要求を管理するファイル名とファイル拡張子でファイルを識別します。
  • ファイルの整合性を検証するのに役立つ証明書を含めることができます。 また、1 つ以上のルールまたはポリシーで使用する証明書を含む再利用可能なグループを追加することもできます。
  • 1 つ以上の手動で追加された ファイル引数またはコマンド ライン スイッチを含めることができます。 ファイル引数を規則に追加する場合、EPM では、定義済みのコマンド ラインのいずれかを含む要求のファイル昇格のみが許可されます。 定義されたコマンド ラインがファイル昇格要求の一部でない場合、EPM はその要求を拒否します。
  • ファイルの昇格の種類が自動 (サイレント) か、ユーザーの確認が必要かどうかを指定します。 ユーザーの確認では、資格情報プロンプトまたはビジネス上の正当な理由、またはその両方を使用して検証を要求できます。

注:

このポリシーに加えて、デバイスには、エンドポイント特権管理を有効にする Windows 昇格設定ポリシーも割り当てられている必要があります。

次のいずれかの方法を使用して、昇格ルール ポリシーに追加される新しい昇格ルールを作成します。

  • 昇格ルールを自動的に構成 する – この方法を使用すると、レポートからファイルの詳細を追加して、昇格ルールを作成するときの時間を節約できます。 ルールは、 昇格レポート を使用するか、 サポートされている承認された 昇格要求レコードから作成できます。

    このメソッドでは、次の操作を行います。

    • 昇格ルールを作成するファイルを [昇格] レポートから選択するか、 承認された昇格要求をサポート します。
    • 新しい昇格ルールを既存の昇格ルール ポリシーに追加するか、新しいルールを含む新しい昇格ルール ポリシーを作成することを選択します。
      • 既存のポリシーに追加すると、割り当てられたグループのポリシー一覧で新しいルールをすぐに使用できます。
      • 新しいポリシーが作成されたら、使用できるようになる前に、そのポリシーを編集してグループを割り当てる必要があります。

  • 昇格ルールを手動で構成 する – この方法では、検出に使用するファイルの詳細を特定し、ルール作成ワークフローの一部として手動で入力する必要があります。 検出基準の詳細については、「エンドポイント特権管理で使用するルールの定義」を参照してください。

    このメソッドでは、次の操作を行います。

    • 使用するファイルの詳細を手動で決定し、ファイル識別のために昇格規則に追加します。
    • 使用するグループにポリシーを割り当てるなど、ポリシーの作成時にポリシーのすべての側面を構成します。
    • EPM でファイルの昇格を許可する前に、昇格要求の一部である必要がある 1 つ以上のファイル引数を追加できます。

ヒント

自動的に構成された昇格ルールと手動で構成された昇格ルールの両方で、標準ユーザーが変更できない場所を指すファイル パスを使用することをお勧めします

Windows 昇格ルール ポリシーの昇格規則を自動的に構成する

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>エンドポイント特権管理に移動します。 昇格ルールに使用するファイルを選択するには、次のいずれかの開始パスを選択します。

    レポートから開始する:

    1. [ レポート ] タブを選択し、[ 昇格レポート ] タイルを選択します。 [ファイル] 列で、ルールを作成する ファイルを見 つけます。
    2. ファイルのリンク名を選択して、そのファイル の [昇格] 詳細ウィンドウを 開きます。

    サポートされている承認された昇格要求から開始します。

    1. [ 昇格要求 ] タブを選択します。

    2. [ ファイル ] 列で、昇格ルールに使用するファイルを選択します。これにより、そのファイルの [昇格] 詳細 ウィンドウが開きます。

      昇格要求の状態は関係ありません。 保留中の要求、または以前に承認または拒否された要求を使用できます。

  2. [ 標高の詳細 ] ウィンドウで、ファイルの詳細を確認します。 この情報は、正しいファイルを識別するために昇格ルールによって使用されます。 準備ができたら、[ これらのファイルの詳細を含むルールを作成する] を選択します。

    [昇格] レポートから選択したファイルの管理センター UI の画像。

  3. 作成する新しい昇格ルールのポリシー オプションを選択します。

    新しいポリシーを作成します。 このオプションは、選択したファイルの昇格ルールを含む新しいポリシーを作成します。

    1. ルールの [種類 ] と [ 子プロセス] の動作を構成し、[ OK] を 選択してポリシーを作成します。
    2. メッセージが表示されたら、新しい ポリシーのポリシー名 を指定し、作成することを確認します。
    3. ポリシーが作成されたら、ポリシーを編集して割り当て、その他の変更を加えることができます。

    既存のポリシーに追加します。 このオプションでは、ドロップダウン リストを使用し、新しい昇格ルールを追加する既存の昇格ポリシーを選択します。

    1. ルールに対して、昇格の 種類子プロセスの動作を構成し、[ OK] を選択します。 ポリシーは新しいルールで更新されます。
    2. ルールがポリシーに追加されたら、ポリシーを編集してルールにアクセスし、必要に応じて追加の構成を行うために変更できます。

    この昇格と同じファイル パスが必要です。 このチェック ボックスをオンにすると、レポートに表示されているように、ルールの [ファイル パス] フィールドがファイル パスに設定されます。 チェック ボックスがオンになっていない場合、パスは空のままです。

    ヒント

    省略可能ですが、標準ユーザーが変更できない場所を指すファイル パスを使用することをお勧めします

    [ルールの作成] ウィンドウの管理センター UI の画像。

Windows 昇格ルール ポリシーの昇格規則を手動で構成する

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>エンドポイント特権管理> [ポリシー] タブの>を選択し、[ポリシーの作成] を選択します。 [プラットフォーム] を [Windows] に設定し、[プロファイル][Windows 昇格ルール] ポリシーに設定し、[作成] を選択します。

  2. [ 基本] で、次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

  3. [構成設定] で、このポリシーが管理する各ファイルのルールを追加します。 新しいポリシーを作成すると、ポリシーの開始に、昇格の種類が [ユーザーの確認済み ] でルール名のない空白のルールが含まれます。 最初にこのルールを構成し、後で [ 追加] を選択して、このポリシーにさらにルールを追加できます。 追加する新しい各ルールには、昇格の種類として [ユーザーが確認済み] があり、ルールを構成するときに変更できます。

    新しい昇格ルール ポリシーの管理センター UI からの画像。

    ルールを構成するには、[ インスタンスの編集] を選択してその [規則のプロパティ] ページを開き、次の構成を行います。

    昇格ルールのプロパティの画像。

    • [ルール名]: ルールのわかりやすい名前を指定します。 後で簡単に識別できるように、ルールに名前を付けます。
    • 説明 (省略可能): プロファイルの説明を入力します。

    昇格条件 は、ファイルの実行方法を定義する条件であり、このルールが適用されるファイルを実行する前に満たす必要があるユーザー検証です。

    • 昇格の種類: 既定では、このオプションは [ユーザーの確認済み] に設定されています。これは、昇格を許可する際に最も一般的に使用される昇格の種類ですが、ユーザーの受信確認が必要です。

      • 拒否: 拒否 規則により、識別されたファイルが管理者特権のコンテキストで実行されなくなります。 次の動作が適用されます。

        • 拒否 ルールでは、子プロセス オプションを除く他の昇格の種類と同じ構成オプションがサポートされます。 子プロセス オプションは、構成されている場合でも、この規則では使用されません。
        • ユーザーが拒否規則に一致するファイルを昇格しようとすると、昇格は失敗します。 EPM は、アプリを管理者として実行できないことを示すメッセージを表示します。 そのユーザーに、同じファイルの昇格を許可するルールも割り当てられている場合は、 拒否規則が優先されます
        • 拒否された昇格は、拒否された サポートが承認 された要求と同様に、昇格レポートに拒否済みとして表示されます。
        • EPM では現在、評価レポートからの拒否ルールの自動構成はサポートされていません。

      • サポートが承認されました: この昇格の種類では、管理者が昇格要求を承認する必要があります。 詳細については、「 承認された昇格要求をサポートする」を参照してください。

        重要

        ファイルに対してサポートが承認された昇格を使用するには、追加のアクセス許可を持つ管理者が、管理者アクセス許可を持つデバイス上のそのファイルの前に、各ファイル昇格要求を確認して承認する必要があります。 サポートが承認された昇格の種類の使用については、「エンドポイント特権管理の承認済みファイル昇格をサポートする」を参照してください。

      • ユーザーが確認しました: 昇格を許可するが、ユーザーの受信確認を必要とするため、昇格が必要なルールを持つファイルに最も一般的に使用されます。 ファイルを実行すると、ユーザーはファイルを実行する意図を確認する簡単なプロンプトを受け取ります。 ルールには、[ 検証 ] ドロップダウンから使用できるその他のプロンプトも含めることができます。

        • ビジネス上の理由: ファイルを実行するための正当な理由をユーザーに入力する必要があります。 エントリに必要な形式はありません。 レポート スコープにエンドポイント昇格のコレクションが含まれている場合は、ユーザー入力が保存され、ログ 通じて確認できます。
        • Windows 認証: このオプションでは、ユーザーがorganization資格情報を使用して認証する必要があります。

      • 自動: この昇格の種類は、管理者特権のアクセス許可を持つファイルを自動的に実行します。 自動昇格は、確認を求めたり、ユーザーによる正当な理由や認証を要求したりすることなく、ユーザーに対して透過的です。

        注意

        自動昇格は、例外と信頼できるファイルにのみ使用します。 これらのファイルは、ユーザーの操作なしで自動的に昇格します。 規則が適切に定義されていないと、承認されていないアプリケーションが昇格する可能性があります。 強力なルールの作成の詳細については、ルールの 作成に関するガイダンスを参照してください。

    • 子プロセスの動作: 既定では、このオプションは [昇格するルールを要求する] に設定されています。この場合、子プロセスは、作成するプロセスと同じルールと一致する必要があります。 他には次のオプションがあります。

      • すべての子プロセスを管理者特権で実行できるようにする: このオプションは、アプリケーションが子プロセスを無条件に作成できるため、注意して使用する必要があります。
      • すべて拒否: この構成により、子プロセスが作成されなくなります。

    ファイル情報 は、この規則が適用されるファイルを識別する詳細を指定する場所です。

    • [ファイル名]: ファイル名とその拡張子を指定します。 例: myapplication.exe。 ファイル名に 変数 を使用することもできます。

    • ファイル パス (省略可能): ファイルの場所を指定します。 ファイルを任意の場所から実行できる場合、または不明な場合は、この空白のままにすることができます。 変数を使用することもできます。

      ヒント

      省略可能ですが、標準ユーザーが変更できない場所を指すファイル パスを使用することをお勧めします

    • 署名ソース: 次のいずれかのオプションを選択します。

      • 再利用可能な設定で証明書ファイルを使用する (既定値): このオプションでは、エンドポイント特権管理の再利用可能な設定グループに以前に追加された証明書ファイルを使用します。 このオプションを使用する前 に、再利用可能な設定グループを作成 する必要があります。

        証明書を識別するには、[証明書の追加または削除] を選択し、適切な証明書を含む再利用可能なグループを選択します。 次に、発行元または証明機関の証明書の種類を指定します

      • 証明書ファイルをアップロードする: 証明書ファイルを昇格規則に直接追加します。 [ ファイルのアップロード] で、この規則が適用 されるファイルの 整合性を検証できる.cer ファイルを指定します。 次に、発行元または証明機関の証明書の種類を指定します

      • 未構成: 証明書を使用してファイルの整合性を検証しない場合は、このオプションを使用します。 証明書を使用しない場合は、 ファイル ハッシュを指定する必要があります。

    • ファイル ハッシュ: 署名ソースが [未構成] に設定されている場合はファイル ハッシュが必要で、証明書を使用するように設定されている場合は省略可能です。

    • 最小バージョン: (省略可能) x.x.x.x 形式を使用して、この規則でサポートされているファイルの最小バージョンを指定します。

    • ファイルの説明: (省略可能) ファイルの説明を指定します。

    • 製品名: (省略可能) ファイルの元の製品の名前を指定します。

    • 内部名: (省略可能) ファイルの内部名を指定します。

    [ 保存] を 選択して、ルール構成を保存します。 その後、さらにルールを 追加 できます。 このポリシーで必要なすべてのルールを追加したら、[ 次へ ] を選択して続行します。

  4. [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。

  5. [ 割り当て] で、ポリシーを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。 [次へ] を選択します。

  6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

昇格ルールで変数を使用する

ファイル昇格ルールを手動で構成する場合は、昇格ルール ポリシーの [ 規則のプロパティ ] ページで使用できる次の構成にワイルドカード文字を使用できます。

  • ファイル名: [ファイル名] フィールドを構成するときに、ファイル名の一部としてワイルドカードがサポートされます。
  • フォルダー パス: フォルダー パスフィールドを 構成するときに、フォルダー パスの一部としてワイルドカードがサポートされます。

注:

ワイルドカードは、 自動 昇格ルールではサポートされていません。

ワイルドカードを使用すると、後続のリビジョンで頻繁に変更される可能性がある名前を持つ信頼できるファイル、またはファイル パスも変更される可能性がある信頼されたファイルをサポートするための柔軟性がルールに提供されます。

次のワイルドカード文字がサポートされています。

  • 疑問符 ? - 疑問符は、ファイル名の個々の文字を置き換えます。
  • アスタリスク * - アスタリスクは、ファイル名の文字列を置き換えます。

サポートされているワイルドカードの使用例を次に示します。

  • VSCodeSetup-arm64-1.99.2.exeという Visual Studio セットアップ ファイルのファイル:

    • VSCodeSetup*.exe
    • VSCodeSetup-arm64-*.exe
    • VSCodeSetup-?????-1.??.?.exe

  • 同じファイルのファイル パス(通常はC:\Users\<username>\Downloads\にあります)。

    • C:\Users\*\Downloads\

ヒント

ファイル名で変数を使用する場合は、競合する可能性があるルール プロパティの使用を避けてください。 たとえば、 ファイル ハッシュはファイル のみと一致するため、ファイル名のワイルドカードは冗長である可能性があります。

昇格ルールにファイル引数を使用する

ファイル昇格ルールは 、特定の引数を使用して昇格を許可するように制限することもできます。

たとえば、dsregcmd は、Microsoft Entra ID でデバイスの状態を調査するのに役立ちますが、昇格が必要です。 このファイルの調査での使用をサポートするために、/status/listaccounts などのスイッチを含む dsregcmd の引数の一覧を使用して規則を構成できます。 ただし、デバイスの登録解除などの破壊的なアクションを防ぐために、 /leave などの引数を除外します。 この構成では、引数 /status または /listaccounts が使用されている場合にのみ、この規則によって昇格が許可されます。 dsregcmd/leave スイッチを使用すると、デバイスが Microsoft Entra ID から削除され、拒否されます。

昇格ルールに 1 つ以上の引数を追加するには、[ 引数の制限][許可リスト] に設定します。 [追加] を選択し、許可されているコマンド ライン オプションを構成します。 複数の引数を追加することで、昇格要求でサポートされる複数のコマンド ラインを指定できます。

重要

ファイル引数に関する考慮事項:

  • EPM では、ファイル引数リストが許可リストとして使用されます。 構成すると、EPM では、引数が使用されていない場合、または指定された引数のみが使用される場合に昇格が許可されます。 指定した引数に見つからない引数が使用されている場合、昇格はブロックされます。
  • ファイル引数では大文字と小文字が区別されます。ユーザーは、ルールで定義されているとおりに大文字と小文字が一致する必要があります。
  • シークレットをファイル引数として定義しないでください。

コマンド ライン引数を構成するための UI の画面キャプチャ。

再利用可能な設定グループ

エンドポイント特権管理は、再利用可能な設定グループを使用して、管理するファイルをエンドポイント特権管理昇格ルールで検証する証明書を管理します。 Intune のすべての再利用可能な設定グループと同様に、再利用可能なグループへの変更は、グループを参照するポリシーに自動的に渡されます。 ファイル検証に使用する証明書を更新する必要がある場合は、再利用可能な設定グループで 1 回だけ更新する必要があります。 Intune は、更新された証明書を、そのグループを使用するすべての昇格規則に適用します。

エンドポイント特権管理の再利用可能な設定グループを作成するには:

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>エンドポイント特権管理] に移動し> [再利用可能な設定 (プレビュー)] タブ >を選択し、[追加] を選択します。

    再利用可能な設定グループを追加するための UI の画面キャプチャ。

  2. [ 基本] で、次のプロパティを入力します。

    • [名前]: 再利用可能なグループのわかりやすい名前を入力します。 後で簡単に識別できるように、グループに名前を付けます。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

  3. [ 構成設定] で、[ 証明書ファイル] のフォルダー アイコンを選択し、 を参照します 。CER ファイルを使用して、この再利用可能なグループに追加します。 Base 64 値フィールドは、選択した証明書に基づいて入力されます。

    証明書を参照するための UI の画面キャプチャ。

  4. [ 確認と作成] で設定を確認し、[ 追加] を選択します。 [追加] を選択すると、構成が保存され、エンドポイント特権管理の再利用可能な設定グループの一覧にグループが表示されます。

次の手順

次へ: エンドポイント特権管理を使用してユーザーを管理者から標準ユーザーに移行する>

  • Last updated on