注意
此功能作为 Intune 加载项提供。 有关详细信息,请参阅 使用 Intune Suite 加载项功能。
使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 有关详细信息,请参阅 EPM 概述。
应用于:
- Windows
若要 (EPM) 部署 Endpoint Privilege Management,请首先启用报告,然后使用报表创建提升规则。 本文介绍一些常见的部署方案,并概述了组织的建议部署阶段。
- Windows 提升设置策略。
- Windows 提升规则策略。
- 可重用设置组,它们是提升规则的可选配置。
部署概述
EPM 可帮助控制 Intune 中应用程序的提升, 本地用户和组 可用于控制本地管理员组并将用户从管理员转换为标准用户。
常见的部署阶段包括:
- 阶段 1:审核 - 使用 提升设置策略启用 EPM 客户端并启用报告收集。
- 阶段 2:角色标识 - 具有常见要求的用户组的标识。
- 阶段 3:生成规则 - 使用 EPM 报表 为不同角色创建 提升规则 。
- 阶段 4:监视 - 迭代和优化规则,确定新方案。
- 阶段 5:查看用户权限 - 使用本地用户和组识别用户并选择性地将用户从管理员移动到标准 用户。 请考虑启用 支持批准的提升 ,以便用户可以为规则未涵盖的应用请求提升。
连续重复第 2 到 5 阶段,以确保用户具有符合零信任原则的最低权限。
EPM 的常见部署方案包括:
| 应用场景 | ) 之前的本地用户 ( | ) 后的本地用户 ( | 示例角色 | 用例 |
|---|---|---|---|---|
| 1 | 管理员 | 管理员 | IT 支持技术人员 | 某些用户子集需要持续本地管理员 ,但你希望使用 EPM 获得安全改进。 |
| 2 | Admin | Standard用户 | 信息工作者 | 你希望将具有本地管理员权限的用户移动到标准用户,同时尽量减少中断。 你希望允许他们有时请求应用以管理员身份运行。
有关如何使用 EPM 实现此方案的分步说明,请参阅 使用 EPM 将用户从管理员转换为标准用户 |
| 2 | Standard用户 | Standard用户 | 开发者 | 你希望允许特定用户“提升”,而无需授予本地管理员权限或使用 LAPS。 |