使用端點權限管理建立提高許可權規則

透過 Microsoft Intune 端點權限管理 (EPM) 組織的使用者可以以標準使用者身分執行， (不需要系統管理員權限) ，並完成需要提高許可權的工作。 如需詳細資訊，請參閱 EPM 概觀。

適用於：

• Windows

提高許可權規則原則可讓 端點權限管理 (EPM) 識別特定檔案和指令碼，並執行相關聯的提高許可權動作。 若要讓提高許可權規則生效，裝置必須具有啟用 EPM 的目標 提高許可權設定原則 。 如需詳細資訊，請參閱 EPM 提高許可權設定。

除了本文中的資訊之外，在管理提高許可權規則時，請留意重要的 安全性建議 。

關於高程規則原則

提高許可權規則原則可用來管理特定檔案的識別，以及如何處理這些檔案的提高許可權要求。 每個 提高許可權規則原則 都包含一或多個 提高許可權規則。 您可以使用提高許可權規則來設定所管理檔案的詳細數據，以及提高許可權的需求。

支援下列類型的檔案：

• 副檔名為 or .msi 的.exe可執行檔。
• PowerShell 腳本 .ps1 。

每個提高許可權規則都會指示 EPM 如何：

• 使用下列方式識別檔案：

  • 檔案名稱 (包括副檔名) 。 此規則也支援選擇性條件，例如最低組建版本、產品名稱或內部名稱。 選擇性條件可用來在嘗試提高權限時進一步驗證檔案。 檔案名稱 (不包括副檔名) 可以包括透過使用問號?或透過使用星號*來使用字串來使用單一字元的變數。
  • 券。 憑證可以直接新增至規則，或使用可重複使用的設定群組。 憑證必須是可信且有效的。 我們建議使用可重複使用的設定群組，因為它們可以更有效率，並簡化憑證的未來變更。 如需詳細資訊，請參閱 可重複使用的設定群組。

• 驗證檔案：

  • 檔案雜湊。 自動規則需要檔案雜湊。 對於提高許可權類型的規則為 [ 已確認的使用者] 或 [提高許可權] 作為目前的使用者，您可以選擇使用憑證或檔案雜湊，在此情況下，檔案雜湊會變成選擇性。
  • 券。 檔案屬性可以與用來簽署檔案的發行者憑證一起驗證。 憑證會使用 Windows API 來驗證，以檢查信任、憑證到期和撤銷狀態等屬性。
  • 檔案屬性。 規則中指定的任何其他屬性都必須相符。

• 設定檔案提高要求類型。 高程類型可識別對檔案提出高程要求時會發生的情況。 依預設，此選項會設定為 使用者確認。 除了 提升為目前使用者之外，EPM 會使用 虛擬帳戶 來提升進程。 這會將提升的操作與使用者設定檔隔離，減少使用者特定資料的暴露，並降低權限提升的風險。

  • 拒絕：拒絕規則會防止在提高許可權的內容中執行已識別的檔案。

  • 支援已核准：系統管理員必須先核准 所需的支援提高許可權 要求，才能允許應用程式以提高許可權執行。

  • 使用者確認：使用者確認的提高許可權一律需要使用者選取確認提示才能執行檔案。 確認只能設定為需要使用者驗證、報告) 中可見的商務理由 (或兩者。

  • 提高許可權為目前使用者：這種類型的提高許可權會在登入使用者自己的帳戶下執行提高許可權的程式，以保留與依賴作用中使用者設定檔的工具和安裝程式的相容性。 這需要使用者輸入其 Windows 驗證的認證。 這會保留使用者的設定檔路徑、環境變數和個人化設定。 由於提高許可權的程式會在提高權限之前和之後維護相同的使用者身分識別，因此稽核追蹤會保持一致且準確。

    不過，由於提升許可權的進程會繼承使用者的完整內容，因此此模式會引進更廣泛的受攻擊面，並減少與使用者資料的隔離。

    主要考量：

    • 相容性需求：只有在虛擬帳戶提高權限導致應用程式失敗時，才使用此模式。
    • 範圍嚴格：將提高許可權規則限制為受信任的二進位檔和路徑，以降低風險。
    • 安全性取捨：瞭解此模式會增加使用者特定資料的暴露。

    提示

    當相容性不是問題時，請偏好使用虛擬帳戶提高許可權的方法，以取得更強的安全性。

  • 自動：自動提升對使用者來說是不可見的。 沒有提示，也沒有指示檔案正在提高許可權的內容中執行。

• 管理子進程的行為。 您可以設定套用至提高許可權程序所建立之任何子程序的提高權限行為。

  • 需要規則提高許可權 - 將子程序設定為需要自己的規則，該子程序才能在提高許可權的內容中執行。
  • 全部拒絕 - 所有子進程都會在沒有提高許可權的內容的情況下啟動。
  • 允許子進程以提高許可權執行 - 將子進程設定為一律以增強許可權執行。

定義與端點權限管理搭配使用的規則

端點權限管理規則由兩個基本元素組成：偵測和提升操作。

偵測 定義為用來識別應用程式或二進位檔的屬性集。 這些屬性包括檔案名稱、檔案版本和簽章屬性。

提高許可權動作 是在偵測到應用程式或二進位檔之後所產生的提高許可權。

定義 偵測 時，請務必將其定義為盡可能具有 描述性 。 若要具有描述性，請使用強屬性或多個屬性來增加偵測強度。 定義偵測時的目標應該是消除多個檔案落入相同規則的能力，除非這是明確的意圖。

檔案雜湊規則

檔案雜湊規則是可以使用端點權限管理建立的最強規則。 強烈建議您使用這些規則，以確保您想要提高許可權的檔案是提高許可權的檔案。

您可以使用 Get-Filehash PowerShell 方法從直接二進位檔收集檔案雜湊，或直接從端點權限管理的報表中收集檔案雜湊。

憑證規則

憑證規則是強式屬性類型，應該與其他屬性配對。 將憑證與產品名稱、內部名稱和描述等屬性配對，可大幅提高規則的安全性。 這些屬性受檔案簽章保護，而且通常會指出已簽署檔案的詳細資料。

包含檔案名稱的規則

檔案名稱是可用來偵測需要提升權限的應用程式的屬性。 不過，檔案名稱很容易變更，而且不會構成發行者憑證所簽署的雜湊或屬性的一部分。

這意味著文件名 極易 更改。 您未刻意以您信任之憑證簽署為目標的檔案，可以重新命名以 偵測 和 提高許可權。

以 PowerShell 所收集的屬性為基礎的規則

為了協助您建置更精確的檔案偵測規則，您可以使用 Get-FileAttributes PowerShell Cmdlet。 Get-FileAttributes 可從 EpmTools PowerShell 模組取得，可以擷取檔案屬性和檔案的憑證鏈結材料，而且您可以使用輸出來填入特定應用程式的提高許可權規則屬性。

範例模組匯入步驟和輸出 Get-FileAttributes 針對 Windows 11 版本 10.0.22621.2506 上的 msinfo32.exe 執行：

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

如需詳細資訊，請參閱 EpmTools PowerShell 模組。

控制子程序行為

子程序行為可讓您控制使用 EPM 提高許可權的程序建立子程序時的內容。 此行為可讓您控制將自動委派給其父流程內容的流程。

Windows 會自動將父系的內容委派給子系，因此在控制允許的應用程式行為時要特別小心。 請務必評估建立提高許可權規則時所需的內容，並實作最低權限原則。

部署使用端點權限管理建立的規則

端點權限管理規則的部署方式與 Microsoft Intune 中的任何其他原則一樣。 這表示規則可以部署至使用者或裝置，並在執行階段合併規則。 任何衝突都會根據 原則衝突行為來解決。

部署至裝置的規則會套用至使用該裝置的 每個使用者 。 部署至 使用者 的規則只會套用至該使用者使用的每台裝置上的使用者。 發生提高權限動作時，部署至使用者的規則會優先於部署至裝置的規則。 此行為可讓您將一組規則部署至裝置的所有使用者，並將一組更寬鬆的規則部署至特定使用者 (，例如支援管理員) 。 這可讓支援系統管理員在登入裝置時提升更廣泛的應用程式集。

只有在找不到規則相符專案時，才會使用預設提高權限行為。 預設高程行為僅在使用 [使用提升許可權執行] 右鍵功能表觸發高程時才適用。

建立提高許可權規則原則

將提高許可權規則原則部署至使用者或裝置，以針對由端點權限管理管理以提升權限的檔案部署一或多個規則。 您新增至此原則的每個規則：

• 依您要管理提高權限要求的檔案名稱和副檔名來識別檔案。
• 可以包含憑證，以協助驗證檔案的完整性。 您也可以新增可重複使用的群組，其中包含憑證，然後將其與一或多個規則或原則搭配使用。
• 可以包含一或多個手動新增 的檔案引數或命令列參數。 將檔案引數新增至規則時，EPM 只允許將包含其中一個已定義命令列的要求提高檔。 如果定義的命令列不是檔案提高許可權要求的一部分，EPM 會拒絕該要求。
• 指定檔案的提昇類型是自動 (無訊息) ，還是需要使用者確認。 透過使用者確認，您可以要求使用認證提示或業務理由進行驗證，或兩者兼而有之。

使用下列任一方法來建立新的提高權限規則，這些規則會新增至提高權限規則原則：

• 自動設定提高權限規則 – 使用此方法，透過從報告新增檔案詳細資料，在建立提高權限規則時節省時間。 您可以使用 「提高權限」報告 或從 支援核准 的提高權限要求記錄建立規則。

  使用此方法，您可以：

  • 從 [高出要求] 報告中選取您要建立高程規則的檔案，或 支援核准的 高程要求。
  • 選擇將新的提高權限規則新增至現有的提高權限規則原則，或建立包含新規則的新提高權限規則原則。
    • 新增至現有原則時，新規則會立即可供指派群組的原則清單使用。
    • 建立新原則時，您必須編輯該原則以指派群組，才能使用。

• 手動設定提高許可權規則 — 此方法需要您識別要用於偵測的檔案詳細資料，並在規則建立工作流程中手動輸入這些詳細資訊。 如需偵測準則的相關資訊，請參閱定義與端點權限管理搭配使用的規則。

  使用此方法，您可以：

  • 手動決定要使用的檔案詳細資料，然後將它們新增至提高權限規則以進行檔案識別。
  • 在建立原則期間設定原則的所有層面，包括將原則指派給群組以供使用。
  • 可以新增一或多個檔案引數，這些引數必須是提高許可權要求的一部分，才能讓 EPM 允許檔案提高許可權。

自動設定 Windows 提高許可權規則原則的提高許可權規則

1. 登入 Microsoft Intune 系統管理中心，然後移至 端點安全性>端點權限管理。 若要選取要用於高程規則的檔案，請選擇下列其中一個起始路徑：

   從報告開始：

   1. 選取 [報表] 索引標籤，然後選取 [ 標高] 報表 磚。 在 檔案 欄 中找到您要為其建立規則的檔案。
   2. 選取檔案的連結名稱，以開啟該檔案的「 高程詳細資料 窗格」。

   從支援核准的提高許可權要求開始：

   1. 選取 [提高許可權要求 ] 索引標籤。

   2. 從 [檔案 ] 欄中，選取您要用於高程規則的檔案，這會開啟該檔案 [高程詳細資料 ] 窗格。

      提高許可權要求的狀態並不重要。 您可以使用擱置中的請求或先前已核准或拒絕的請求。

2. 在 [高程詳細資料 ] 窗格中，檢閱檔案詳細資料。 提高要求規則會使用此資訊來識別正確的檔案。 準備就緒時，請選取 [ 使用這些檔案詳細資料建立規則]。

   

3. 選取您要建立之新提高許可權規則的原則選項：

   建立新原則： 此選項會建立新原則，其中包含您選取之檔案的提高權限規則。

   1. 針對規則，設定 [類型 ] 和 [子程式] 行為，然後選取 [ 確定 ] 以建立原則。
   2. 出現提示時，請提供新原則的 原則名稱 ，並確認建立它。
   3. 建立原則之後，您可以編輯原則以指派原則，並進行任何其他變更。

   新增至現有原則： 使用此選項時，請使用下拉式清單，然後選取要新增提高權限規則的現有提高權限原則。

   1. 針對規則，設定提高許可權類型和子程式行為，然後選取確定。 原則會使用新規則進行更新。
   2. 將規則新增至原則之後，您可以編輯原則以取得規則的存取權，然後視需要修改規則以進行其他組態。

   需要與此提升相同的檔案路徑： 當您選取此核取方塊時，規則中的「檔案路徑」欄位會設定為報告中顯示的檔案路徑。 如果未選取核取方塊，路徑會保持空白。

   提示

   雖然選擇性，但建議您使用指向標準使用者無法修改位置的檔案路徑。

   

手動設定 Windows 提高許可權規則原則的提高許可權規則

1. 登入 Microsoft Intune 系統管理中心，然後移至 [端點安全性>端點權限管理>]，選取 [原則] 索引標籤>，然後選取 [建立原則]。 將 [平臺] 設定為 [Windows]，將 [設定檔] 設定為 [提高許可權規則原則]，然後選取 [建立]。

2. 在 [基本] 上，輸入下列屬性：

   • 名稱：輸入設定檔的描述性名稱。 命名設定檔，以便您以後可以輕鬆識別它們。
   • 描述：輸入設定檔的描述。 此設定是選用的，但建議使用。

3. 在 [組態設定] 上，為此原則管理的每個檔案新增規則。 當您建立新原則時，原則啟動會包含空白規則，其提高許可權類型為已 確認的使用者 ，且沒有規則名稱。 首先設定此規則，稍後您可以選取 [ 新增 ] 以將更多規則新增至此原則。 您新增的每個新規則都有一個已確認使用者的提升權限類型，您可以在設定規則時變更該類型。

   

   若要設定規則，請選取 [編輯執行個體] 以開啟其 [規則屬性] 頁面，然後設定下列項目：

   

   • 規則名稱：指定規則的描述性名稱。 為您的規則命名，以便您以後可以輕鬆識別它們。
   • 說明 ( 選用) ：輸入設定檔的說明。

   提高權限條件 是定義檔案執行方式的條件，以及必須符合的使用者驗證，才能執行此規則所適用的檔案。

   • 提高許可權類型：根據預設，此選項會設定為 使用者確認，這是最常用的高程類型，因為它允許提高許可，但需要使用者確認。

     • 拒絕： 拒絕 規則可防止在提高許可權的內容中執行已識別的檔案。 下列行為適用：

       • 拒絕 規則支援與其他提高許可權類型相同的組態選項，但子程序選項除外。 即使已設定，也不會從此規則使用子程序選項。
       • 當使用者嘗試提高符合拒絕規則的檔案時，提高許可權會失敗。 EPM 會顯示一則訊息，指出應用程式無法以系統管理員身分執行。 如果該使用者也獲指派允許提高相同檔案權限的規則，則 拒絕規則會優先。
       • 拒絕的提高權限會在提高權限報告中顯示為已拒絕，類似於拒絕 的支援核准 要求。
       • EPM 目前不支援從評估報告自動設定拒絕規則。

     • 支援核准：此提高許可權類型需要系統管理員核准提高許可權要求。 如需詳細資訊，請參閱 支援核准的提高許可權要求。

       重要事項

       針對檔案使用支援核准提高許可權，需要具有其他許可權的系統管理員先檢閱並核准每個檔案提高許可權要求，再在具有系統管理員許可權的裝置上的檔案上。 如需使用支援核准提高權限類型的相關資訊，請參閱 支援端端點權限管理的核准檔案提高權限。

     • 使用者確認：最常用於具有需要提高權限的規則的檔案，因為它允許提高權限，但需要使用者確認。 當檔案執行時，使用者會收到一個簡單的提示，以確認他們執行檔案的意圖。 此規則也可以包含可從 「驗證」 下拉式清單中取得的其他提示：

       • 商務理由：要求使用者輸入執行檔案的理由。 條目沒有必需的格式。 使用者輸入會儲存，如果 報告範圍 包含端點提高許可權的集合，則可以透過記錄進行檢閱。
       • Windows 驗證：此選項要求使用者使用其組織認證進行驗證。

     • 自動：此提高許可權類型會自動執行具有提高許可權的檔案。 自動提高許可權對使用者來說是透明的，不需要提示確認或要求使用者證明或驗證。

       注意

       僅使用例外狀況自動提高權，並針對您信任的檔案使用自動提高權限。 這些檔案會自動提升，無需使用者互動。 未明確定義的規則可能會允許未經核准的應用程式提高。 如需建立強式規則的詳細資訊，請參閱 建立規則的指引。

   • 子程序行為：根據預設，此選項會設定為 [需要規則才能提高許可權]，這需要子程序符合與建立它的程序相同的規則。 其他選項包括：

     • 允許所有子進程以提升許可權執行：應謹慎使用此選項，因為它允許應用程式無條件地建立子進程。
     • 全部拒絕：此設定可防止建立任何子進程。

   檔案資訊 是指定識別此規則所套用之檔案的詳細資料的位置。

   • 檔案名稱：指定檔案名稱及其副檔名。 例如：myapplication.exe。 您也可以在檔案名稱中使用 變數 。

   • 檔案路徑 (選用) ：指定檔案的位置。 如果檔案可以從任何位置執行或未知，您可以將此檔案留空。 您也可以使用變數。

     提示

     雖然選擇性，但建議您使用指向標準使用者無法修改位置的檔案路徑。

   • 簽名來源：選擇下列其中一個選項：

     • 在可重複使用的設定中使用憑證檔案 (預設) ：此選項使用先前新增至可重複使用設定群組以供端點權限管理的憑證檔案。 您必須 先建立可重複使用的設定群組 ，才能使用此選項。

       若要識別 憑證，請選取 [ 新增或移除憑證]，然後選取包含正確憑證的可重複使用群組。 然後，指定 [發行者] 或 [憑證管理中心] 的 [憑證類型]。

     • 上傳憑證檔案：將憑證檔案直接新增至提高許可權規則。 針對 [檔案上傳]，指定可驗證此規則所套用之檔案完整性的 .cer 檔案。 然後，指定 [發行者] 或 [憑證管理中心] 的 [憑證類型]。

     • 未設定：當您不想使用憑證來驗證檔案的完整性時，請使用此選項。 當未使用憑證時，您必須提供 檔案雜湊。

   • 檔案雜湊：當 [簽章來源] 設定為 [ 未設定] 時，檔案雜湊是必要的，當設定為使用憑證時，檔案雜湊是選擇性的。

   • 最低版本： (選用) 使用 x.x.x.x 格式來指定此規則支援的檔案最低版本。

   • 檔案描述： (選用) 提供檔案的描述。

   • 產品名稱： (選用) 指定檔案所來源的產品名稱。

   • 內部名稱： (選用) 指定檔案的內部名稱。

   選取 [儲存] 以儲存規則設定。 然後，您可以 新增 更多規則。 新增此原則所需的所有規則之後，請選取 [ 下一步 ] 以繼續。

4. 在 [範圍標籤] 頁面上，選取要套用的任何所需範圍標籤，然後選取 [ 下一步]。

5. 針對 [指派]，選取接收原則的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。 選取[下一步]。

6. 在 [檢閱 + 建立] 中，檢閱您的設定，然後選取 [建立]。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在原則清單中。

在高程規則中使用變數

當您手動設定檔案提高許可權規則時，您可以針對提高許可權規則原則的 [規則內容] 頁面上提供的下列設定使用萬用字元：

• 檔案名稱：設定「 檔案名稱 」欄位時，支援萬用字元作為檔案名稱的一部分。
• 資料夾路徑：設定資料夾 路徑 欄位時，支援萬用字元作為資料夾路徑的一部分。

使用萬用字元可讓您的規則彈性，以支援其名稱可能會隨著後續修訂而經常變更的授信檔案，或檔案路徑也可能變更的授信檔案。

支援下列萬用字元：

• 問號 ? - 問號會取代檔案名稱中的個別字元。
• 星號 * - 星號取代檔案名稱中的字串。

以下是支援的萬用字元使用範例：

• Visual Studio 安裝檔案的檔案名稱，稱為VSCodeSetup-arm64-1.99.2.exe：

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• 相同檔案的檔案路徑，通常位於C:\Users\<username>\Downloads\：

  • C:\Users\*\Downloads\

將檔案引數用於高程規則

檔案提高權限規則 也可以限制為允許使用特定引數提高權限。

例如，dsregcmd 可用於調查 Microsoft Entra ID 中裝置的狀態，但需要提高許可權。 為了協助支援此檔案用於調查，您可以使用 dsregcmd 的引數清單來設定規則，其中包括 /status、 /listaccounts 等的參數。 不過，若要防止取消註冊裝置等破壞性動作，請排除 /leave 等引數。 使用此設定時，規則只有在使用引數 /status 或 /listaccounts 時才允許提高許可權。 dsregcmd 搭配 /leave 參數，會從 Microsoft Entra ID 移除裝置，將會遭到拒絕。

若要將一或多個引數新增至提高許可規則，請將 [限制引數] 設定為 [允許清單]。 選取 [新增] 並設定允許的命令列選項。 藉由新增多個引數，您可以提供提高許可權要求所支援的多個命令列。

可重複使用的設定群組

端點權限管理會使用可重複使用的設定群組來管理憑證，以驗證您使用端點權限管理提高權限規則管理的檔案。 如同 Intune 的所有可重複使用設定群組，可重複使用群組的變更會自動傳遞至參考群組的原則。 如果您必須更新用於檔案驗證的憑證，則只需要在可重複使用的設定群組中更新一次。 Intune 會將更新的憑證套用至使用該群組的所有提高許可權規則。

若要建立端端點權限管理的可重複使用設定群組：

1. 登入 Microsoft Intune 系統管理中心，然後移至 [端點安全性>]端點權限管理>選取 [可重複使用的設定] ([預覽) ] 索引標籤>，然後選取 [新增]。

   

2. 在 [基本] 上，輸入下列屬性：

   • 名稱：輸入可重複使用群組的描述性名稱。 命名群組，以便您稍後輕鬆識別每個群組。
   • 描述：輸入設定檔的描述。 此設定是選用的，但建議使用。

3. 在 [組態設定] 中，選取 [憑證檔案] 的資料夾圖示，然後瀏覽至 。CER 檔案，將其新增至此可重複使用的群組。 「以 64 為基數」值欄位會根據選取的憑證填入。

   

4. 在 檢閱 + 建立中，檢閱您的設定，然後選取 [新增]。 當您選取新增時，您的組態會儲存，然後群組會顯示在端點權限管理的可重複使用設定群組清單中。

後續步驟