Criar regras de elevação com Gerenciamento de privilégios de ponto de extremidade

Com o Microsoft Intune Gerenciamento de privilégios de ponto de extremidade (EPM) os utilizadores da sua organização podem ser executados como utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. Para obter mais informações, consulte Descrição Geral do EPM.

Aplicável a:

• Windows

As políticas de regras de elevação permitem que Gerenciamento de privilégios de ponto de extremidade (EPM) identifique ficheiros e scripts específicos e execute a ação de elevação associada. Para que as regras de elevação entrem em vigor, os dispositivos têm de ter uma política de definições de elevação direcionada para ativar o EPM. Para obter mais informações, veja Definições de elevação do EPM.

Além das informações neste artigo, mantenha-se ciente das recomendações de segurança importantes ao gerir regras de elevação.

Acerca da política de regras de elevação

Uma política de regras de elevação é utilizada para gerir a identificação de ficheiros específicos e como os pedidos de elevação para esses ficheiros são processados. Cada política de regra de elevação inclui uma ou mais regras de elevação. É com as regras de elevação que configura detalhes sobre o ficheiro que está a ser gerido e os requisitos para que seja elevado.

São suportados os seguintes tipos de ficheiros:

• Ficheiros executáveis com a .exe extensão ou .msi .
• Scripts do PowerShell com a .ps1 extensão.

Cada regra de elevação indica ao EPM como:

• Identifique o ficheiro com:

  • Nome do ficheiro (incluindo extensão). A regra também suporta condições opcionais, como uma versão de compilação mínima, o nome do produto ou o nome interno. As condições opcionais são utilizadas para validar ainda mais o ficheiro quando a elevação é tentada. O nome do ficheiro (excluindo extensões) pode incluir a utilização de variáveis para carateres únicos através da utilização de um ponto de interrogação ? ou cadeias através da utilização de um asterisco *.
  • Certificado. Os certificados podem ser adicionados diretamente a uma regra ou através de um grupo de definições reutilizável. Os certificados têm de ser fidedignos e válidos. Recomendamos a utilização de grupos de definições reutilizáveis, uma vez que podem ser mais eficientes e simplificar uma futura alteração ao certificado. Para obter mais informações, veja Grupos de definições reutilizáveis.

• Valide o ficheiro:

  • Hash de ficheiro. É necessário um hash de ficheiro para regras automáticas. Para regras com um tipo de elevação de Utilizador confirmado ou Elevar como utilizador atual, pode optar por utilizar um certificado ou um hash de ficheiro, caso em que o hash do ficheiro se torna opcional.
  • Certificado. As propriedades do ficheiro podem ser validadas juntamente com o certificado do publicador utilizado para assinar o ficheiro. Os certificados são validados através de APIs do Windows que marcar atributos como fidedignidade, expiração do certificado e status de revogação.
  • Propriedades do ficheiro. Todas as outras propriedades especificadas nas regras têm de corresponder.

• Configure o tipo de elevação de ficheiros. O tipo de elevação identifica o que acontece quando é feito um pedido de elevação para o ficheiro. Por predefinição, esta opção está definida como Utilizador confirmado. Com exceção de Elevate como utilizador atual, o EPM utiliza uma conta virtual para elevar os processos. Isto isola as ações elevadas do perfil do utilizador, reduzindo a exposição a dados específicos do utilizador e reduzindo o risco de escalamento de privilégios.

  • Negar: as regras de negação impedem que o ficheiro identificado seja executado num contexto elevado.

  • Suporte aprovado: um administrador tem de aprovar o pedido de elevação necessário para que a aplicação seja autorizada a ser executada com privilégios elevados.

  • Utilizador confirmado: uma elevação confirmada pelo utilizador requer sempre que o utilizador selecione num pedido de confirmação para executar o ficheiro. A confirmação só pode ser configurada para exigir uma autenticação de utilizador, uma justificação comercial (visível nos relatórios) ou ambas.

  • Elevar como utilizador atual: este tipo de elevação executa o processo elevado na própria conta do utilizador com sessão iniciada, preservando a compatibilidade com ferramentas e instaladores que dependem do perfil de utilizador ativo. Isto requer que o utilizador introduza as respetivas credenciais para a Autenticação do Windows. Isto preserva os caminhos de perfil do utilizador, as variáveis de ambiente e as definições personalizadas. Uma vez que o processo elevado mantém a mesma identidade de utilizador antes e depois da elevação, os registos de auditoria permanecem consistentes e precisos.

    No entanto, uma vez que o processo elevado herda o contexto completo do utilizador, este modo introduz uma superfície de ataque mais ampla e reduz o isolamento dos dados do utilizador.

    Principais considerações:

    • Necessidade de compatibilidade: utilize este modo apenas quando a elevação da conta virtual causar falhas na aplicação.
    • Âmbito apertado: limite as regras de elevação a binários e caminhos fidedignos para reduzir o risco.
    • Compromisso de segurança: compreenda que este modo aumenta a exposição a dados específicos do utilizador.

    Dica

    Quando a compatibilidade não é um problema, prefira um método que utilize a elevação da conta virtual para uma segurança mais forte.

  • Automático: uma elevação automática ocorre de forma invisivelmente para o utilizador. Não existe nenhum pedido e nenhuma indicação de que o ficheiro está em execução num contexto elevado.

• Gerir o comportamento dos processos subordinados. Pode definir o comportamento de elevação que se aplica a quaisquer processos subordinados criados pelo processo elevado.

  • Exigir que a regra seja elevada – configure um processo subordinado para exigir a sua própria regra antes de esse processo subordinado poder ser executado num contexto elevado.
  • Negar tudo – todos os processos subordinados são iniciados sem contexto elevado.
  • Permitir que os processos subordinados executem de forma elevada – configure um processo subordinado para que seja sempre executado de forma elevada.

Definir regras para utilização com Gerenciamento de privilégios de ponto de extremidade

Gerenciamento de privilégios de ponto de extremidade regras consistem em dois elementos fundamentais: uma deteção e uma ação de elevação.

As deteções são definidas como o conjunto de atributos utilizados para identificar uma aplicação ou binário. Estes atributos incluem o nome do ficheiro, a versão do ficheiro e as propriedades da assinatura.

As ações de elevação são a elevação resultante que ocorre após a deteção de uma aplicação ou binário.

É importante ao definir deteções que são definidas para serem o mais descritivas possível. Para ser descritivo, utilize atributos fortes ou múltiplos atributos para aumentar a força da deteção. O objetivo ao definir deteções deve ser eliminar a capacidade de vários ficheiros se enquadrarem na mesma regra, a menos que essa seja explicitamente a intenção.

Regras de hash de ficheiros

As regras de hash de ficheiros são as regras mais fortes que podem ser criadas com Gerenciamento de privilégios de ponto de extremidade. Estas regras são altamente recomendadas para garantir que o ficheiro que pretende elevar é o ficheiro elevado.

O hash de ficheiros pode ser recolhido a partir do binário direto com o método Get-Filehash do PowerShell ou diretamente a partir dos relatórios para Gerenciamento de privilégios de ponto de extremidade.

Regras de certificado

As regras de certificado são um tipo de atributo forte e devem ser emparelhadas com outros atributos. Emparelhar um certificado com atributos como o nome do produto, o nome interno e a descrição melhora drasticamente a segurança da regra. Estes atributos estão protegidos por uma assinatura de ficheiros e, muitas vezes, indicam informações específicas sobre o ficheiro assinado.

Regras que contêm o nome do ficheiro

O nome de ficheiro é um atributo que pode ser utilizado para detetar uma aplicação que precisa de ser elevada. No entanto, os nomes de ficheiro são facilmente alterados e não constituem parte do hash ou atributos assinados pelo certificado do publicador.

Isto significa que os nomes de ficheiros são altamente suscetíveis a alterações. Os ficheiros que não segmenta intencionalmente assinados por um certificado fidedigno podem ser alterados para serem detetados e elevados.

Regras baseadas em atributos recolhidos pelo PowerShell

Para o ajudar a criar regras de deteção de ficheiros mais precisas, pode utilizar o cmdlet Do PowerShell Get-FileAttributes . Disponível no módulo EpmTools do PowerShell, Get-FileAttributes pode obter atributos de ficheiro e o material da cadeia de certificados para um ficheiro e pode utilizar o resultado para preencher as propriedades da regra de elevação de uma determinada aplicação.

Passos de importação do módulo de exemplo e saída de Get-FileAttributes executados em msinfo32.exe na versão 10.0.22621.2506 Windows 11:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Para obter mais informações, veja Módulo EpmTools do PowerShell.

Controlar o comportamento do processo subordinado

O comportamento do processo subordinado permite-lhe controlar o contexto quando um processo elevado com o EPM cria um processo subordinado. Este comportamento permite-lhe controlar processos que seriam automaticamente delegados do contexto do respetivo processo principal.

O Windows delega automaticamente o contexto de um elemento principal a um menor, por isso tenha especial cuidado ao controlar o comportamento das suas aplicações permitidas. Certifique-se de que avalia o que é necessário quando cria regras de elevação e implementa o princípio do menor privilégio.

Implementar regras criadas com Gerenciamento de privilégios de ponto de extremidade

Gerenciamento de privilégios de ponto de extremidade regras são implementadas como qualquer outra política no Microsoft Intune. Isto significa que as regras podem ser implementadas em utilizadores ou dispositivos e as regras são intercaladas no lado do cliente e selecionadas no tempo de execução. Todos os conflitos são resolvidos com base no comportamento de conflito de políticas.

As regras implementadas num dispositivo aplicam-se a todos os utilizadores que utilizam esse dispositivo. As regras implementadas num utilizador aplicam-se apenas a esse utilizador em cada dispositivo que utilizar. Quando ocorre uma ação de elevação, as regras implementadas no utilizador têm precedência para as regras implementadas num dispositivo. Este comportamento permite-lhe implementar um conjunto de regras para todos os utilizadores de um dispositivo e um conjunto mais permissivo de regras para um utilizador específico (como um administrador de suporte). Isto permitiria ao administrador de suporte elevar um conjunto mais amplo de aplicações quando iniciam sessão no dispositivo.

O comportamento de Elevação Predefinido só é utilizado quando não é possível encontrar nenhuma correspondência de regra. O comportamento de elevação predefinido só se aplica quando uma elevação é acionada com o menu Executar com acesso elevado .

Criar política de regras de elevação

Implemente uma política de Regras de elevação para utilizadores ou dispositivos para implementar uma ou mais regras para ficheiros geridos para elevação por Gerenciamento de privilégios de ponto de extremidade. Cada regra que adicionar a esta política:

• Identifica um ficheiro por nome de ficheiro e extensão de ficheiro para o qual pretende gerir pedidos de elevação.
• Pode incluir um certificado para ajudar a validar a integridade do ficheiro. Também pode adicionar um grupo reutilizável que contém um certificado que, em seguida, utiliza com uma ou mais regras ou políticas.
• Pode incluir um ou mais argumentos de ficheiro adicionados manualmente ou comutadores de linha de comandos. Quando os argumentos de ficheiro são adicionados a uma regra, o EPM só permite a elevação de ficheiros de pedidos que incluam uma das linhas de comandos definidas. Se uma linha de comandos definida não fizer parte do pedido de elevação de ficheiros, o EPM nega esse pedido.
• Especifica se o tipo de elevação do ficheiro é automático (silenciosamente) ou se requer confirmação do utilizador. Com a confirmação do utilizador, pode exigir a validação com um pedido de credenciais, uma justificação comercial ou ambos.

Utilize um dos seguintes métodos para criar novas regras de elevação, que são adicionadas à política de regras de elevação:

• Configurar automaticamente regras de elevação – utilize este método para poupar tempo ao criar uma regra de elevação ao adicionar detalhes de ficheiros a partir de relatórios. As regras podem ser criadas com o relatório Elevação ou a partir de um registo de pedidos de elevação aprovados pelo suporte .

  Com este método, irá:

  • Selecione o ficheiro para o qual pretende criar uma regra de elevação a partir do relatório elevação ou pedido de elevação aprovado pelo suporte .
  • Opte por adicionar a nova regra de elevação a uma política de regras de elevação existente ou criar uma nova política de regras de elevação que inclua a nova regra.
    • Quando adicionada a uma política existente, a nova regra está imediatamente disponível para essa lista de políticas de grupos atribuídos.
    • Quando é criada uma nova política, tem de editar essa política para atribuir grupos antes de ficar disponível para utilização.

• Configurar manualmente regras de elevação – este método requer que identifique os detalhes do ficheiro que pretende utilizar para a deteção e que as introduza manualmente como parte do fluxo de trabalho de criação de regras. Para obter informações sobre critérios de deteção, veja Defining rules for use with Gerenciamento de privilégios de ponto de extremidade (Definir regras para utilização com Gerenciamento de privilégios de ponto de extremidade).

  Com este método, irá:

  • Determine manualmente os detalhes do ficheiro a utilizar e, em seguida, adicione-os à regra de elevação para identificação de ficheiros.
  • Configure todos os aspetos da política durante a criação da política, incluindo a atribuição da política a grupos para utilização.
  • Pode adicionar um ou mais argumentos de ficheiro que têm de fazer parte do pedido de elevação antes de o EPM permitir a elevação de ficheiros.

Configurar automaticamente regras de elevação para a política de regras de elevação do Windows

1. Inicie sessão no centro de administração do Microsoft Intune e aceda a Segurança do ponto final>Gerenciamento de privilégios de ponto de extremidade. Para selecionar um ficheiro a utilizar para uma regra de elevação, escolha um dos seguintes caminhos iniciais:

   Começar a partir de um Relatório:

   1. Selecione o separador Relatórios e, em seguida, o mosaico Relatório de elevação . Localize o ficheiro para o qual pretende criar uma regra na coluna Ficheiro .
   2. Selecione o nome ligado do ficheiro para abrir o painel de detalhes elevação dos ficheiros.

   Comece a partir de um pedido de elevação aprovado pelo suporte:

   1. Selecione o separador Pedido de elevação .

   2. Na coluna Ficheiro , selecione o ficheiro que pretende utilizar para a regra de elevação, que abre esse painel de detalhes elevação .

      O status do pedido de elevação não importa. Pode utilizar um pedido pendente ou um pedido que tenha sido previamente aprovado ou negado.

2. No painel Detalhes da elevação , reveja os detalhes do ficheiro. Estas informações são utilizadas pela regra de elevação para identificar o ficheiro correto. Quando estiver pronto, selecione Criar uma regra com estes detalhes de ficheiro.

   

3. Selecione uma opção de política para a nova regra de elevação que está a criar:

   Criar uma nova política: Esta opção cria uma nova política que inclui uma regra de elevação para o ficheiro que selecionou.

   1. Para a regra, configure o comportamento do processo Tipo e Subordinado e, em seguida, selecione OK para criar a política.
   2. Quando lhe for pedido, indique um Nome da política para a nova política e confirme que a vai criar.
   3. Após a criação da política, pode editar a política para a atribuir e efetuar quaisquer outras alterações.

   Adicionar a uma política existente: Com esta opção, utilize a lista pendente e selecione uma política de elevação existente à qual a nova regra de elevação é adicionada.

   1. Para a regra, configure o tipo de elevação e o comportamento do processo Subordinado e, em seguida, selecione OK. A política é atualizada com a nova regra.
   2. Depois de a regra ser adicionada à política, pode editar a política para obter acesso à regra e, em seguida, modificá-la para efetuar configurações adicionais, se necessário.

   Exigir o mesmo caminho de ficheiro que esta elevação: Quando seleciona esta caixa de verificação, o campo Caminho do Ficheiro na regra é definido como o caminho do ficheiro, conforme visto no relatório. Se a caixa de verificação não estiver selecionada, o caminho permanece vazio.

   Dica

   Embora seja opcional, recomendamos a utilização de um Caminho de ficheiro que aponte para uma localização que os utilizadores padrão não podem modificar.

   

Configurar manualmente regras de elevação para a política de regras de elevação do Windows

1. Inicie sessão no centro de administração do Microsoft Intune e aceda a Segurança> do ponto final Gerenciamento de privilégios de ponto de extremidade> selecione o separador >Políticas e, em seguida, selecione Criar Política. Defina a Plataforma como Windows, Perfil como política de regras de elevação do Windows e, em seguida, selecione Criar.

2. Em Noções básicas, introduza as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Atribua um nome aos perfis para que possa identificá-los facilmente mais tarde.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

3. Em Definições de configuração, adicione uma regra para cada ficheiro que esta política gere. Quando cria uma nova política, a política é iniciada inclui uma regra em branco com um tipo de elevação de Utilizador confirmado e sem nome de regra. Comece por configurar esta regra e, mais tarde, pode selecionar Adicionar para adicionar mais regras a esta política. Cada nova regra que adicionar tem um tipo de elevação de Utilizador confirmado, que pode ser alterado quando configurar a regra.

   

   Para configurar uma regra, selecione Editar instância para abrir a respetiva página de propriedades da Regra e, em seguida, configure o seguinte:

   

   • Nome da regra: especifique um nome descritivo para a regra. Atribua um nome às suas regras para que possa identificá-las facilmente mais tarde.
   • Descrição (Opcional): introduza uma descrição para o perfil.

   As condições de elevação são condições que definem a forma como um ficheiro é executado e as validações de utilizador que têm de ser cumpridas antes de o ficheiro ao qual esta regra se aplica podem ser executadas.

   • Tipo de elevação: por predefinição, esta opção está definida como Utilizador confirmado, que é o tipo de elevação mais utilizado, uma vez que permite a elevação, mas requer a confirmação do utilizador.

     • Negar: uma regra de negação impede que o ficheiro identificado seja executado num contexto elevado. Aplicam-se os seguintes comportamentos:

       • As regras de negação suportam as mesmas opções de configuração que outros tipos de elevação, exceto as opções de processo subordinado. As opções de processo subordinado não são utilizadas a partir desta regra, mesmo que estejam configuradas.
       • Quando um utilizador tenta elevar um ficheiro que corresponde a uma regra de negação, a elevação falha. O EPM apresenta uma mensagem que indica que a aplicação não pode ser executada como administrador. Se também lhe for atribuída uma regra que permita a elevação desse mesmo ficheiro, a regra de negação tem precedência.
       • As elevações negadas aparecem no relatório de elevação como negadas, semelhantes a um pedido de suporte aprovado rejeitado.
       • Atualmente, o EPM não suporta a configuração automática de uma regra de negação do relatório de avaliação.

     • Suporte aprovado: este tipo de elevação requer que um administrador aprove um pedido de elevação. Para obter mais informações, veja Pedidos de elevação aprovados pelo suporte.

       Importante

       A utilização da elevação aprovada pelo suporte para ficheiros requer que os Administradores com permissões adicionais revejam e aprovem cada pedido de elevação de ficheiros antes desse ficheiro no dispositivo com permissões de administrador. Para obter informações sobre como utilizar o tipo de elevação aprovado pelo suporte, veja Suporte de elevações de ficheiros aprovadas para Gerenciamento de privilégios de ponto de extremidade.

     • O utilizador confirmou: mais frequentemente utilizado para ficheiros com regras que requerem elevação porque permite a elevação, mas requer a confirmação do utilizador. Quando um ficheiro é executado, o utilizador recebe um pedido simples para confirmar a intenção de executar o ficheiro. A regra também pode incluir outros pedidos que estão disponíveis no menu pendente Validação :

       • Justificação comercial: exija que o utilizador introduza uma justificação para executar o ficheiro. Não existe um formato necessário para a entrada. A entrada do utilizador é guardada e pode ser revista através de registos se o âmbito de Relatórios incluir uma coleção de elevações de pontos finais.
       • autenticação do Windows: esta opção requer que o utilizador se autentique com as credenciais da organização.

     • Automático: este tipo de elevação executa automaticamente o ficheiro com permissões elevadas. A elevação automática é transparente para o utilizador, sem pedir confirmação ou exigir justificação ou autenticação por parte do utilizador.

       Cuidado

       Utilize apenas a elevação automática por exceção e para os ficheiros em que confia. Estes ficheiros serão automaticamente elevados sem interação do utilizador. As regras que não estão bem definidas podem permitir que as aplicações não aprovadas sejam elevadas. Para obter mais informações sobre como criar regras fortes, veja a documentação de orientação para criar regras.

   • Comportamento do processo subordinado: por predefinição, esta opção está definida como Exigir regra para elevar, o que requer que o processo subordinado corresponda à mesma regra que o processo que a cria. Outras opções incluem:

     • Permitir que todos os processos subordinados sejam executados de forma elevada: esta opção deve ser utilizada com cuidado, uma vez que permite que as aplicações criem processos subordinados incondicionalmente.
     • Negar tudo: esta configuração impede a criação de qualquer processo subordinado.

   As informações de ficheiro são onde especifica os detalhes que identificam um ficheiro a que esta regra se aplica.

   • Nome do ficheiro: especifique o nome do ficheiro e a respetiva extensão. Por exemplo: myapplication.exe. Também pode utilizar uma variável no nome do ficheiro.

   • Caminho do ficheiro (Opcional): especifique a localização do ficheiro. Se o ficheiro puder ser executado a partir de qualquer localização ou for desconhecido, pode deixar este ficheiro em branco. Também pode utilizar uma variável.

     Dica

     Embora seja opcional, recomendamos a utilização de um Caminho de ficheiro que aponte para uma localização que os utilizadores padrão não podem modificar.

   • Origem da assinatura: escolha uma das seguintes opções:

     • Utilizar um ficheiro de certificado em definições reutilizáveis (Predefinição): esta opção utiliza um ficheiro de certificado que foi adicionado anteriormente a um grupo de definições reutilizáveis para Gerenciamento de privilégios de ponto de extremidade. Tem de criar um grupo de definições reutilizáveis antes de poder utilizar esta opção.

       Para identificar o Certificado, selecione Adicionar ou remover um certificado e, em seguida, selecione o grupo reutilizável que contém o certificado correto. Em seguida, especifique o Tipo de certificado de Publicador ou Autoridade de certificação.

     • Carregar um ficheiro de certificado: adicione um ficheiro de certificado diretamente à regra de elevação. Para Carregamento de ficheiros, especifique um ficheiro .cer que possa validar a integridade do ficheiro ao qual esta regra se aplica. Em seguida, especifique o Tipo de certificado de Publicador ou Autoridade de certificação.

     • Não configurado: utilize esta opção quando não quiser utilizar um certificado para validar a integridade do ficheiro. Quando não é utilizado nenhum certificado, tem de fornecer um hash de ficheiro.

   • Hash de ficheiro: o hash de ficheiro é necessário quando a Origem da assinatura está definida como Não configurada e opcional quando definida para utilizar um certificado.

   • Versão mínima: (Opcional) Utilize o formato x.x.x.x para especificar uma versão mínima do ficheiro suportado por esta regra.

   • Descrição do ficheiro: (Opcional) Forneça uma descrição do ficheiro.

   • Nome do produto: (Opcional) Especifique o nome do produto do qual o ficheiro é proveniente.

   • Nome interno: (Opcional) Especifique o nome interno do ficheiro.

   Selecione Guardar para guardar a configuração da regra. Em seguida, pode Adicionar mais regras. Depois de adicionar todas as regras necessárias para esta política, selecione Seguinte para continuar.

4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

5. Para Atribuições, selecione os grupos que recebem a política. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo. Selecione Avançar.

6. Em Rever + criar, reveja as suas definições e, em seguida, selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é apresentada na lista de políticas.

Utilizar variáveis em regras de elevação

Quando configura manualmente regras de elevação de ficheiros, pode utilizar carateres universais para as seguintes configurações que estão disponíveis na página Propriedades da regra de uma política de regra de elevação:

• Nome do ficheiro: os carateres universais são suportados como parte de um nome de ficheiro ao configurar o campo Nome de ficheiro .
• Caminho da pasta: os carateres universais são suportados como parte de um caminho de pasta ao configurar o campo Caminho da pasta .

A utilização de carateres universais proporciona flexibilidade nas suas regras para suportar ficheiros fidedignos que têm nomes que podem ser alterados frequentemente com revisões subsequentes ou para os quais o caminho do ficheiro também pode ser alterado.

São suportados os seguintes carateres universais:

• Ponto de interrogação ? – os pontos de interrogação substituem os carateres individuais num nome de ficheiro.
• Asterisco * – o asterisco substitui uma cadeia de carateres num nome de ficheiro.

Seguem-se exemplos de utilização de carateres universais suportados:

• Nome de ficheiro para um ficheiro de configuração do Visual Studio chamado VSCodeSetup-arm64-1.99.2.exe:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Caminho do ficheiro para o mesmo ficheiro, normalmente encontrado em C:\Users\<username>\Downloads\:

  • C:\Users\*\Downloads\

Utilizar argumentos de ficheiro para regras de elevação

As regras de elevação de ficheiros também podem ser limitadas para permitir a elevação com argumentos específicos.

Por exemplo, dsregcmd pode ser útil para investigar o estado de um dispositivo no Microsoft Entra ID, mas requer elevação. Para ajudar a suportar esta utilização de ficheiros para investigação, pode configurar a regra com uma lista de argumentos para dsregcmd que inclui os parâmetros para /status, /listaccounts e muito mais. No entanto, para evitar uma ação destrutiva como anular o registo de um dispositivo, exclua argumentos como /leave. Com esta configuração, a regra só permite a elevação se forem utilizados os argumentos /status ou /listaccounts. dsregcmd com o parâmetro /leave, que remove o dispositivo de Microsoft Entra ID, seria negado.

Para adicionar um ou mais argumentos a uma regra de elevação, defina Restringir argumentos como Lista de permissões. Selecione Adicionar e configure as opções de linha de comandos permitidas. Ao adicionar vários argumentos, fornece várias linhas de comandos que são suportadas por pedidos de elevação.

Grupos de definições reutilizáveis

Gerenciamento de privilégios de ponto de extremidade utiliza grupos de definições reutilizáveis para gerir os certificados que validam os ficheiros que gere com Gerenciamento de privilégios de ponto de extremidade regras de elevação. Como todos os grupos de definições reutilizáveis para o Intune, as alterações a um grupo reutilizável são automaticamente transmitidas às políticas que referenciam o grupo. Se tiver de atualizar o certificado que utiliza para a validação de ficheiros, só tem de atualizá-lo no grupo de definições reutilizáveis uma única vez. O Intune aplica o certificado atualizado a todas as regras de elevação que utilizam esse grupo.

Para criar o grupo de definições reutilizáveis para Gerenciamento de privilégios de ponto de extremidade:

1. Inicie sessão no centro de administração do Microsoft Intune e aceda a Segurança> do ponto final Gerenciamento de privilégios de ponto de extremidade> selecione o separador >Definições reutilizáveis (pré-visualização) e, em seguida, selecione Adicionar.

   

2. Em Noções básicas, introduza as seguintes propriedades:

   • Nome: introduza um nome descritivo para o grupo reutilizável. Atribua nomes a grupos para que possa identificar-se facilmente mais tarde.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

3. Em Definições de configuração, selecione o ícone de pasta para Ficheiro de certificado e navegue até um . Ficheiro CER para adicioná-lo a este grupo reutilizável. O campo de valor Base 64 é preenchido com base no certificado selecionado.

   

4. Em Rever + criar, reveja as suas definições e, em seguida, selecione Adicionar. Quando seleciona Adicionar, a configuração é guardada e, em seguida, o grupo é apresentado na lista de grupos de definições reutilizáveis para Gerenciamento de privilégios de ponto de extremidade.

Próximas etapas