次の方法で共有

エンドポイント特権管理を使用した昇格設定の管理

Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 詳細については、「 EPM の概要」を参照してください。

適用対象:

  • Windows

デバイスで Endpoint Privilege Management (EPM) を構成するには、ユーザーまたはデバイスに Windows 昇格設定ポリシー を展開します。

  • デバイスで EPM を有効または無効にします。
  • 昇格規則に一致しないファイルに対して、昇格要求の既定の規則を設定します。
  • EPM が Intune に報告する情報を構成します。

EPM が有効になっている場合、 C:\Program Files\Microsoft EPM Agent フォルダーは、EPM ポリシーの処理を担当する "Microsoft EPM エージェント サービス" サービスと共に作成されます。

Windows 昇格設定ポリシーについて

次の場合は 、Windows 昇格設定ポリシー を使用します。

  • デバイスでエンドポイント特権管理を有効または無効にします。 最初に EPM を有効にすると、EPM コンポーネントがインストールされます。

    デバイスで EPM が無効になっている場合、クライアント コンポーネントは次のポリシー同期時に非アクティブ化されます。EPM コンポーネントが削除されるまでに 7 日間の遅延があります。 この遅延は、デバイスで誤って EPM が無効になっているか、昇格設定ポリシーが割り当てられていない場合に、EPM の復元にかかる時間を短縮するのに役立ちます。

  • [既定の昇格応答の設定] - Windows 昇格ルール ポリシーによって管理されていないファイルの昇格要求に対する既定の応答を設定します。 この設定を有効にするには、アプリケーションにルールを存在させずエンド ユーザーは [昇格されたアクセス権を持つ実行] 右クリック メニューを使用して昇格を明示的に要求する必要があります。 既定では、このオプションは [未構成] に設定されています。 設定が構成されていない場合、EPM コンポーネントは組み込みの既定値にフォールバックします。これは、 すべての要求を拒否することです

    ヒント

    既定の昇格応答として 、[ サポートの承認が必要] または [すべての要求を拒否する] を 使用することをお勧めします。

    オプションは以下のとおりです。

    • すべての要求を拒否する (推奨) - このオプションは、Windows 昇格ルール ポリシーで定義されていないファイルの昇格要求アクションをブロックします。

    • サポートの承認が必要 (推奨) - サポートの承認が必要な場合、管理者は昇格が許可される前に昇格要求を確認する必要があります。

    • [ユーザーの確認が必要 ] - ユーザーの確認が必要な場合は、Windows 昇格ルール ポリシーと同じ検証オプションから選択できます。

      • 検証オプション - 既定の昇格応答が [ ユーザーの確認が必要] として定義されている場合に、検証オプションを設定します。 オプションは以下のとおりです。

        • ビジネス上の正当な理由 - このオプションでは、既定の昇格応答によって容易になる昇格を完了する前に、エンド ユーザーに正当な理由を提供する必要があります。
        • Windows 認証 - このオプションでは、既定の昇格応答によって容易になる昇格を完了する前に、エンド ユーザーが認証する必要があります。

        注:

        organizationのニーズを満たすために、複数の検証オプションを選択できます。 オプションが選択されていない場合、ユーザーは昇格を完了するために 続行 を選択するだけで済みます。

    注意

    既定の昇格応答は、昇格ルールに一致しないすべてのファイルに適用されます。そのため、[ユーザーの確認が必要] 設定では、すべてのファイルを既定で昇格できます。 昇格のビジネス上の正当な理由や資格情報のプロンプトを求めていない場合は、[ すべての要求を拒否する] または [ サポートの承認が必要] を使用することをお勧めします。

  • レポート用に昇格データを送信する - この設定は、デバイスが診断データと使用状況データを Microsoft と共有するかどうかを制御します。 [レポートスコープ] 設定を使用して、収集されたデータを制御します。

    診断データは、EPM クライアント コンポーネントの正常性を測定するために Microsoft によって使用されます。 使用状況データは、テナント内で発生する昇格を表示するために使用されます。 データの種類と格納方法の詳細については、「 Endpoint Privilege Management のデータ収集とプライバシー」を参照してください。

    オプションは以下のとおりです。

    • はい - このオプションは、[ レポート スコープ ] 設定に基づいて Microsoft にデータを送信します。
    • いいえ - このオプションは Microsoft にデータを送信しません。

  • レポートスコープ - この設定は、[レポート用に昇格データを送信する] が [はい] に設定されている場合に Microsoft に送信されるデータの量を制御します。 既定では、*診断データとすべてのエンドポイント昇格が選択されています。

    オプションは以下のとおりです。

    • 診断データと管理された昇格のみ - このオプションは、クライアント コンポーネントの正常性に関する診断データ と、 Endpoint Privilege Management によって促進される昇格に関するデータを Microsoft に送信します。
    • 診断データとすべてのエンドポイント昇格 - このオプションは、クライアント コンポーネントの正常性に関する診断データ と、 エンドポイントで発生 するすべての 昇格に関するデータを Microsoft に送信します。
    • 診断データのみ - このオプションは、クライアント コンポーネントの正常性に関する診断データのみを Microsoft に送信します。

Windows 昇格設定ポリシーを作成する

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>Endpoint Privilege Management] に移動し> [ポリシー] タブ>を選択し、[ポリシーの作成] を選択します。 [プラットフォーム] を [Windows] に、[プロファイル][Windows 昇格設定] ポリシーに設定し、[作成] を選択します。

  2. [ 基本] で、次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

  3. [構成設定] で、デバイス上の昇格要求の既定の動作を定義するように次を構成します。

    評価設定の構成ページの画像。

    • Endpoint Privilege Management: [有効] (既定値) に設定します。 有効にすると、デバイスは Endpoint Privilege Management を使用します。 [無効] に設定すると、デバイスは Endpoint Privilege Management を使用せず、以前に有効になっていた場合はすぐに EPM を無効にします。 7 日後、デバイスはエンドポイント特権管理のコンポーネントのプロビジョニングを解除します。

    • 既定の昇格応答: このデバイスがルールに一致しないファイルの昇格要求を管理する方法を構成します。

      • 未構成: このオプションは、 すべての要求を拒否する場合と同じように機能します。

      • すべての要求を拒否する: EPM はファイルの昇格を容易にせず、拒否に関する情報を含むポップアップ ウィンドウが表示されます。 この構成では、管理アクセス許可を持つユーザーが管理者 として実行 を使用して管理されていないファイルを実行することを妨げるわけではありません。

      • サポートの承認が必要: この動作は、サポートが承認された要求を送信するようにユーザーに求めるメッセージを EPM に指示します。

      • ユーザーの確認が必要: ユーザーは、ファイルを実行する意図を確認するための簡単なプロンプトを受け取ります。 [ 検証 ] ドロップダウンから使用できるプロンプトをさらに必要とすることもできます。

        • ビジネス上の理由: ファイルを実行するための正当な理由をユーザーに入力する必要があります。 この理由に必要な形式はありません。 レポート スコープにエンドポイント昇格のコレクションが含まれている場合、ユーザー入力は保存され、ログ 通じて確認できます。
        • Windows 認証: このオプションでは、ユーザーがorganization資格情報を使用して認証する必要があります。

        注意

        既定の昇格応答は、昇格ルールに一致しないすべてのファイルに適用されます。そのため、[ユーザーの確認が必要] 設定では、すべてのファイルを既定で昇格できます。 追加の監査または資格情報のプロンプトを求めていない場合は、[ すべての要求を拒否する] または [サポートの 承認が必要] を使用することをお勧めします。

    • レポート用の昇格データの送信: 既定では、この動作は [はい] に設定されています。 [はい] に設定すると、 レポート スコープを構成できます。 [いいえ] に設定すると、デバイスは診断データやファイル昇格に関する情報を Intune に報告しません。

    • レポート スコープ: デバイスが Intune に報告する情報の種類を選択します。

      • 診断データとすべてのエンドポイント昇格 (既定値): デバイスは、診断データと、EPM が容易に行うすべてのファイル昇格に関する詳細を報告します。

        このレベルの情報は、ユーザーが昇格されたコンテキストで実行しようとしている昇格ルールによってまだ管理されていない他のファイルを特定するのに役立ちます。

      • 診断データと管理された昇格のみ: デバイスは、診断データと EPM によって制御されるファイルの昇格に関する詳細を報告します。 EPM 昇格には、昇格ルールに一致する昇格、または 昇格されたアクセス 権を持つ実行によって開始される右クリック コンテキスト メニューが含まれます。 管理されていないファイルに対するファイル要求と、Windows の既定の [ 管理者として実行] アクションによって昇格されたファイルは、管理された昇格として報告されません。

      • 診断データのみ: Endpoint Privilege Management の操作に関する診断データのみが収集されます。 ファイルの昇格に関する情報は Intune に報告されません。

    準備ができたら、[次へ] を選択して続行します。

  4. [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。

  5. [ 割り当て] で、ポリシーを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。 [次へ] を選択します。

  6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

次の手順

次へ: 昇格ルール ポリシーを作成する >

  • Last updated on