Udostępnij przez

Zarządzanie ustawieniami podniesienia uprawnień za pomocą usługi Endpoint Privilege Management

Dzięki usłudze Microsoft Intune Endpoint Privilege Management (EPM) użytkownicy twojej organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Aby uzyskać więcej informacji, zobacz Przegląd EPM.

Dotyczy:

  • System Windows

Aby skonfigurować rozwiązanie Endpoint Privilege Management (EPM) na urządzeniach, wdróż zasady ustawień podniesienia uprawnień systemu Windows dla użytkowników lub urządzeń:

  • Włącz lub wyłącz program EPM na urządzeniu.
  • Ustaw reguły domyślne dla żądań podniesienia uprawnień dla wszystkich plików, które nie są zgodne z regułą podniesienia uprawnień.
  • Skonfiguruj informacje raportów EPM z powrotem do usługi Intune.

Po włączeniu C:\Program Files\Microsoft EPM Agent programu EPM folder jest tworzony wraz z usługą "Microsoft EPM Agent Service", która jest odpowiedzialna za przetwarzanie zasad EPM.

Informacje o zasadach ustawień podniesienia uprawnień systemu Windows

Użyj zasad ustawień podniesienia uprawnień systemu Windows , gdy chcesz:

  • Włączanie lub wyłączanie zarządzania uprawnieniami punktu końcowego na urządzeniach. Po pierwszym włączeniu programu EPM są instalowane składniki EPM.

    Jeśli urządzenie ma wyłączoną usługę EPM, składniki klienta zostaną zdezaktywowane podczas następnej synchronizacji zasad. Przed usunięciem składników EPM występuje opóźnienie o siedem dni. Opóźnienie pomaga skrócić czas potrzebny do przywrócenia programu EPM w przypadku przypadkowego wyłączenia epm lub nieprzypisanych zasad ustawień podniesienia uprawnień.

  • Ustaw domyślną odpowiedź na podniesienie uprawnień — ustaw domyślną odpowiedź dla żądania podniesienia uprawnień dowolnego pliku, który nie jest zarządzany przez zasady reguły podniesienia uprawnień systemu Windows. Aby to ustawienie miało wpływ, dla aplikacji nie może istnieć żadna reguła, a użytkownik końcowy musi jawnie zażądać podniesienia uprawnień za pośrednictwem menu Uruchom z podwyższonym poziomem uprawnień. Domyślnie ta opcja jest ustawiona na Wartość Nieskonfigurowane. Jeśli żadne ustawienie nie zostanie skonfigurowane, składniki EPM wrócą do wbudowanej wartości domyślnej, czyli odrzucają wszystkie żądania.

    Porada

    Zalecamy użycie opcji Wymagaj zatwierdzenia pomocy technicznej lub Odmów wszystkich żądań jako domyślnej odpowiedzi na podniesienie uprawnień.

    Dostępne opcje:

    • Odrzuć wszystkie żądania (zalecane) — ta opcja blokuje akcję żądania podniesienia poziomu dla plików, które nie są zdefiniowane w zasadach reguł podniesienia uprawnień systemu Windows.

    • Wymagaj zatwierdzenia pomocy technicznej (zalecane) — jeśli wymagane jest zatwierdzenie pomocy technicznej, administrator musi przejrzeć żądania podniesienia uprawnień, zanim zostanie dozwolone podniesienie uprawnień.

    • Wymagaj potwierdzenia przez użytkownika — jeśli wymagane jest potwierdzenie użytkownika, możesz wybrać jedną z tych samych opcji weryfikacji, co w przypadku zasad zasad podniesienia uprawnień systemu Windows.

      • Opcje weryfikacji — ustaw opcje weryfikacji, gdy domyślna odpowiedź podniesienia uprawnień jest zdefiniowana jako Wymagaj potwierdzenia przez użytkownika. Dostępne opcje:

        • Uzasadnienie biznesowe — ta opcja wymaga od użytkownika końcowego podania uzasadnienia przed ukończeniem podniesienia uprawnień, które jest ułatwione przez domyślną odpowiedź na podniesienie uprawnień.
        • Uwierzytelnianie systemu Windows — ta opcja wymaga, aby użytkownik końcowy uwierzytelnił się przed ukończeniem podniesienia uprawnień, co jest ułatwione przez domyślną odpowiedź dotyczącą podniesienia uprawnień.

        Uwaga

        Aby zaspokoić potrzeby organizacji, można wybrać wiele opcji weryfikacji. Jeśli nie wybrano żadnych opcji, użytkownik jest wymagany tylko do wybrania opcji Kontynuuj , aby ukończyć podniesienie uprawnień.

    Uwaga

    Domyślna odpowiedź dotycząca podniesienia uprawnień ma zastosowanie do wszystkich plików, które nie są zgodne z regułą podniesienia uprawnień, w związku z tym ustawienie Wymagaj potwierdzenia użytkownika domyślnie zezwala na podniesienie poziomu wszystkich plików. Jeśli nie szukasz uzasadnienia biznesowego lub monitów o poświadczenia dotyczące podniesienia uprawnień, zalecamy użycie opcji Odmów wszystkich żądań lub Wymagaj zatwierdzenia pomocy technicznej.

  • Wysyłanie danych podniesienia uprawnień do raportowania — to ustawienie określa, czy urządzenie udostępnia dane diagnostyczne i dane użycia firmie Microsoft. Użyj ustawienia Zakres raportowania , aby kontrolować zebrane dane.

    Dane diagnostyczne są używane przez firmę Microsoft do mierzenia kondycji składników klienta EPM. Dane użycia służą do pokazywania podniesienia uprawnień, które mają miejsce w dzierżawie. Aby uzyskać więcej informacji na temat typów danych i sposobu ich przechowywania, zobacz Zbieranie danych i prywatność w usłudze Endpoint Privilege Management.

    Dostępne opcje:

    • Tak — ta opcja wysyła dane do firmy Microsoft na podstawie ustawienia Zakres raportowania .
    • Nie — ta opcja nie wysyła danych do firmy Microsoft.

  • Zakres raportowania — to ustawienie kontroluje ilość danych wysyłanych do firmy Microsoft, gdy ustawienie Wyślij dane podniesienia uprawnień do raportowania ma wartość Tak. Domyślnie wybrano pozycję *Dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych.

    Dostępne opcje:

    • Tylko dane diagnostyczne i zarządzane podniesienie uprawnień — ta opcja wysyła do firmy Microsoft dane diagnostyczne dotyczące kondycji składników klienta ORAZ danych dotyczących podniesienia uprawnień ułatwionego przez usługę Endpoint Privilege Management.
    • Dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych — ta opcja wysyła do firmy Microsoft dane diagnostyczne dotyczące kondycji składników klienta ORAZ danych dotyczących wszystkich podniesienia uprawnień występujących w punkcie końcowym.
    • Tylko dane diagnostyczne — ta opcja wysyła do firmy Microsoft tylko dane diagnostyczne dotyczące kondycji składników klienta.

Tworzenie zasad ustawień podniesienia uprawnień systemu Windows

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zarządzanieuprawnieniami> punktu końcowego zabezpieczeń> punktu końcowego, wybierz kartę >Zasady, a następnie wybierz pozycję Utwórz zasady. Ustaw opcję Platforma na windows, profil na zasady ustawień podniesienia uprawnień systemu Windows, a następnie wybierz pozycję Utwórz.

  2. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  3. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia, aby zdefiniować domyślne zachowania żądań podniesienia uprawnień na urządzeniu:

    Obraz przedstawiający stronę konfiguracji ustawień oceny.

    • Zarządzanie uprawnieniami punktu końcowego: ustaw wartość Włączone (wartość domyślna). Po włączeniu urządzenie korzysta z usługi Endpoint Privilege Management. Po ustawieniu opcji Wyłączone urządzenie nie korzysta z usługi Endpoint Privilege Management i natychmiast wyłącza program EPM, jeśli był wcześniej włączony. Po siedmiu dniach urządzenie spowoduje anulowanie aprowizacji składników usługi Endpoint Privilege Management.

    • Domyślna odpowiedź dotycząca podniesienia uprawnień: skonfiguruj sposób, w jaki to urządzenie zarządza żądaniami podniesienia uprawnień dla plików, które nie są zgodne z regułą:

      • Nie skonfigurowano: ta opcja działa tak samo jak odmowa wszystkich żądań.

      • Odrzuć wszystkie żądania: program EPM nie ułatwia podniesienia poziomu plików, a użytkownikowi jest wyświetlane okno podręczne z informacjami o odmowie. Ta konfiguracja nie uniemożliwia użytkownikom z uprawnieniami administracyjnymi uruchamiania plików niezarządzanych przy użyciu funkcji Uruchom jako administrator .

      • Wymagaj zatwierdzenia przez pomoc techniczną: to zachowanie nakazuje usłudze EPM monitowanie użytkownika o przesłanie zatwierdzonego wniosku o pomoc techniczną.

      • Wymagaj potwierdzenia przez użytkownika: użytkownik otrzymuje prosty monit w celu potwierdzenia zamiaru uruchomienia pliku. Możesz również wymagać większej liczby monitów dostępnych z listy rozwijanej Weryfikacja :

        • Uzasadnienie biznesowe: Wymagaj od użytkownika wprowadzenia uzasadnienia uruchamiania pliku. Nie ma wymaganego formatu dla tego uzasadnienia. Dane wejściowe użytkownika są zapisywane i można je przeglądać za pomocą dzienników, jeśli zakres Raportowanie obejmuje kolekcję podniesienia poziomu punktów końcowych.
        • Uwierzytelnianie systemu Windows: ta opcja wymaga, aby użytkownik uwierzytelnił się przy użyciu poświadczeń organizacji.

        Uwaga

        Domyślna odpowiedź dotycząca podniesienia uprawnień ma zastosowanie do wszystkich plików, które nie są zgodne z regułą podniesienia uprawnień, w związku z tym ustawienie Wymagaj potwierdzenia użytkownika domyślnie zezwala na podniesienie poziomu wszystkich plików. Jeśli nie szukasz dodatkowych monitów inspekcji lub poświadczeń, zalecamy użycie opcji Odmów wszystkich żądań lub Wymagaj zatwierdzenia pomocy technicznej.

    • Wysyłanie danych podniesienia uprawnień do raportowania: domyślnie to zachowanie jest ustawione na Wartość Tak. Po ustawieniu wartości tak można skonfigurować zakres raportowania. Po ustawieniu wartości Nie urządzenie nie zgłasza danych diagnostycznych ani informacji o podniesieniu uprawnień plików do usługi Intune.

    • Zakres raportowania: wybierz typ informacji zgłaszanych przez urządzenie do usługi Intune:

      • Dane diagnostyczne i wszystkie podniesienia poziomu punktów końcowych (ustawienie domyślne ): urządzenie raportuje dane diagnostyczne i szczegóły dotyczące wszystkich podniesienia uprawnień plików, które ułatwia program EPM.

        Ten poziom informacji może pomóc w zidentyfikowaniu innych plików, które nie są jeszcze zarządzane przez regułę podniesienia uprawnień, którą użytkownicy chcą uruchomić w kontekście z podwyższonym poziomem uprawnień.

      • Tylko dane diagnostyczne i zarządzane podniesienia uprawnień: urządzenie raportuje dane diagnostyczne i szczegóły dotyczące podniesienia poziomu plików kontrolowanego przez program EPM. Podniesienie uprawnień EPM obejmuje podniesienie uprawnień zgodne z regułą podniesienia uprawnień lub są inicjowane przez menu kontekstowe Uruchom z podwyższonym poziomem uprawnień. Żądania plików dla plików niezarządzanych i plików z podwyższonym poziomem uprawnień za pośrednictwem domyślnej akcji systemu Windows Uruchom jako administrator nie są zgłaszane jako zarządzane podniesienie uprawnień.

      • Tylko dane diagnostyczne: zbierane są tylko dane diagnostyczne dla operacji zarządzania uprawnieniami punktu końcowego. Informacje o podniesieniu uprawnień plików nie są zgłaszane do usługi Intune.

    Gdy wszystko będzie gotowe, wybierz pozycję Dalej , aby kontynuować.

  4. Na stronie Tagi zakresu wybierz odpowiednie tagi zakresu do zastosowania, a następnie wybierz pozycję Dalej.

  5. W obszarze Przypisania wybierz grupy, które otrzymują zasady. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

  6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

Następne kroki

Dalej: Tworzenie zasad reguł podniesienia uprawnień >

  • Last updated on