使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 有关详细信息,请参阅 EPM 概述。
应用于:
- Windows
若要在设备上配置 Endpoint Privilege Management (EPM) ,请将 Windows 提升设置策略 部署到用户或设备:
- 在设备上启用或禁用 EPM。
- 为与提升规则不匹配的任何文件设置提升请求的默认规则。
- 配置 EPM 报告回 Intune 的信息。
启用 EPM 后,将 C:\Program Files\Microsoft EPM Agent 创建文件夹以及负责处理 EPM 策略的“Microsoft EPM 代理服务”服务。
关于 Windows 提升设置策略
需要以下情况时,请使用 Windows 提升设置策略 :
在设备上启用或禁用终结点特权管理 。 首次启用 EPM 时,将安装 EPM 组件。
如果设备禁用了 EPM,则会在下一次策略同步时停用客户端组件。删除 EPM 组件之前有 7 天的延迟。 如果设备意外禁用了 EPM 或取消分配其提升设置策略,则延迟有助于减少还原 EPM 所需的时间。
设置默认提升响应 - 为不受 Windows 提升规则策略管理的任何文件的提升请求设置默认响应。 若要使此设置生效,应用程序不能存在任何规则,并且最终用户必须通过提升的访问权限右键单击菜单通过“运行”显式请求提升。 默认情况下,此选项设置为 “未配置”。 如果未配置任何设置,EPM 组件将回退到其内置默认值,即 拒绝所有请求。
提示
建议使用“需要支持批准”或“拒绝所有请求”作为默认提升响应。
选项包括:
拒绝 (建议) 的所有请求 - 此选项阻止未在 Windows 提升规则策略中定义的文件的提升请求作。
需要支持审批 (建议) - 如果需要支持审批,管理员必须在允许提升之前查看提升请求。
需要用户确认 - 需要用户确认时,可以从 Windows 提升规则策略找到的相同验证选项中进行选择。
验证选项 - 将默认提升响应定义为 “需要用户确认”时设置验证选项。 选项包括:
- 业务理由 - 此选项要求最终用户在完成默认提升响应促进的提升之前提供理由。
- Windows 身份验证 - 此选项要求最终用户在完成默认提升响应促进的提升之前进行身份验证。
注意
可以选择多个验证选项来满足组织的需求。 如果未选择任何选项,则用户只需选择“ 继续” 即可完成提升。
警告
默认提升响应适用于与提升规则不匹配的所有文件,因此“需要用户确认”设置允许默认提升所有文件。 如果不寻求业务理由或凭据提示提升,我们建议使用 拒绝所有请求 或 需要支持批准。
发送用于报告的提升数据 - 此设置控制设备是否与Microsoft共享诊断和使用情况数据。 使用 “报告范围 ”设置来控制收集的数据。
Microsoft使用诊断数据来测量 EPM 客户端组件的运行状况。 使用情况数据用于显示租户中发生的提升。 有关数据类型及其存储方式的详细信息,请参阅 Endpoint Privilege Management 的数据收集和隐私。
选项包括:
- 是 - 此选项根据 “报告范围 ”设置将数据发送到 Microsoft。
- 否 - 此选项不会将数据发送到Microsoft。
报告范围 - 当“发送报表的 提升 数据”设置为“ 是”时,此设置控制发送到Microsoft的数据量。 默认情况下,选择“诊断数据和所有终结点提升”。
选项包括:
- 仅诊断数据和托管提升 - 此选项向Microsoft发送有关客户端组件运行状况的诊断数据 ,以及 终结点特权管理正在促进的提升数据。
- 诊断数据和所有终结点提升 - 此选项向Microsoft发送有关客户端组件运行状况的诊断数据 ,以及 有关终结点上发生 的所有 提升的数据。
- 仅限诊断数据 - 此选项仅将诊断数据发送到有关客户端组件的运行状况的Microsoft。
创建 Windows 提升设置策略
登录到 Microsoft Intune 管理中心 ,转到 “终结点安全>终结点特权管理> ”,选择“ 策略 ”选项卡 > ,然后选择“ 创建策略”。 将“平台”设置为“Windows”,将“配置文件”设置为“Windows 提升设置”策略,然后选择“创建”。
在 “基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
在 “配置设置”中,配置以下内容以定义设备上提升请求的默认行为:
终结点特权管理:设置为 “启用 ” (默认) 。 启用后,设备使用 Endpoint Privilege Management。 设置为“已禁用”时,设备不使用 Endpoint Privilege Management,如果之前已启用 EPM,则立即禁用 EPM。 七天后,设备将取消预配 Endpoint Privilege Management 的组件。
默认提升响应:配置此设备如何管理与规则不匹配的文件的提升请求:
未配置:此选项的功能与 拒绝所有请求相同。
拒绝所有请求:EPM 不会促进文件提升,并且向用户显示一个弹出窗口,其中包含有关拒绝的信息。 此配置不会阻止具有管理权限的用户使用 “以管理员身份运行” 来运行非托管文件。
需要支持批准:此行为指示 EPM 提示用户提交支持批准的请求。
需要用户确认:用户会收到一个简单的提示,用于确认其运行文件的意图。 还可以要求从 “验证” 下拉列表中获取更多提示:
- 业务理由:要求用户输入运行文件的理由。 此理由没有必需的格式。 如果 报告范围 包含终结点提升的集合,则会保存用户输入,并且可以通过日志查看用户输入。
- Windows 身份验证:此选项要求用户使用其组织凭据进行身份验证。
警告
默认提升响应适用于与提升规则不匹配的所有文件,因此“需要用户确认”设置允许默认提升所有文件。 如果不寻求其他审核或凭据提示,我们建议使用 “拒绝所有请求” 或 “需要支持批准”。
发送用于报告的提升数据:默认情况下,此行为设置为 “是”。 如果设置为“是”,则可以配置 报告范围。 设置为 “否”时,设备不会向 Intune 报告诊断数据或有关文件提升的信息。
报告范围:选择设备向 Intune 报告的信息类型:
诊断数据和所有终结点提升 (默认) :设备报告诊断数据和有关 EPM 促进的所有文件提升的详细信息。
此级别的信息可帮助你识别用户寻求在提升上下文中运行的提升规则尚未管理的其他文件。
仅诊断数据和托管提升:设备报告诊断数据和有关 EPM 控制的文件提升的详细信息。 EPM 提升包括与提升规则匹配的提升,或者由 “使用提升的访问权限 运行”右键单击上下文菜单启动。 非托管文件的文件请求以及通过 Windows 默认作“ 以管理员身份运行”提升的文件不会报告为托管提升。
仅限诊断数据:仅收集 Endpoint Privilege Management作的诊断数据。 有关文件提升的信息不会报告给 Intune。
准备就绪后,选择“下一步”继续操作。
在“范围标记”页上,选择要应用的任何所需范围标记,然后选择“下一步”。
对于 “分配”,请选择接收策略的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。 选择 下一步。
对于 “查看 + 创建”,请查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 策略也会显示在策略列表中。
