端點權限管理搭配Microsoft Intune

有了Microsoft Intune端點權限管理 (EPM) ，您的組織使用者可以像標準使用者 (一樣運行，無需管理員權限) ，並完成需要提升權限的任務。 通常需要管理員權限的任務包括應用程式安裝 (Microsoft 365 應用程式) 、更新裝置驅動程式，以及執行某些 Windows 診斷。

端點權限管理支持您的零信任旅程，幫助您的組織以最低權限達成廣泛的用戶群運作，同時在必要時提升特定任務以保持生產力。 欲了解更多資訊，請參閱 Microsoft Intune 的零信任。

本概述提供關於EPM的資訊，包括其優點、運作方式及入門方法。

適用於：

• Windows

主要特色與優勢

✅ 了解EPM的主要特色與優勢

• 預設為 Standard 使用者。 使用者可以在沒有本地管理員權限的情況下執行任務。
• 支援即時升高。 使用者可以觸發特定的 IT 核准二進位檔或腳本，暫時升級。
• 基於政策的控制。 管理員定義設定與規則以控制升高條件與行為，並提供細緻的規則建立功能以符合組織需求。
• 審計、記錄與報告。 Intune 會記錄每個海拔並附上詳細的元資料。
• 透過允許最小權限存取並降低橫向移動風險，符合零信任原則。

EPM 基礎

✅ 了解EPM的運作方式

EPM 抬高可透過兩種方式觸發：

• 自動，或者;
• 使用者啟動。

EPM 可透過兩種政策配置，兩者皆可針對使用者或裝置群組進行：

• 高程設定政策 - 控制 EPM 用戶端、報告層級及預設高程功能。
• 高程規則政策 - 根據條件定義二進位或腳本的高程行為。

為了在裝置上執行高程測量，EPM 服務使用虛擬帳號處理大多數高程類型，該帳號與登入使用者帳號隔離。 這兩個帳號都不會被加入本地管理員群組。 虛擬帳號的例外是將 Elevate 作為目前使用者 的升遷類型，這點將在下一節詳細說明。

當 Elevation 設定政策 指派給裝置或使用者時，EPM 用戶端會自動安裝。 EPM 用戶端使用「Microsoft EPM Agent Service」服務，並將其二進位檔儲存在 "C:\Program Files\Microsoft EPM Agent" 目錄中。

此圖示展示了 EPM 用戶端如何被觸發、檢查規則並促進提升的高層架構：

高程類型

✅ 控制 EPM 如何提升檔案

EPM 允許沒有管理員權限的使用者在管理情境中執行程序。 當你建立一個升高規則時，該規則允許 EPM 代理該規則的目標，以管理員權限在裝置上執行。 結果是該應用程式在裝置上具備 完整的管理 能力。

除了目前的使用者類型是 Elevate 外，EPM 使用 虛擬帳號 來提升程序。 使用虛擬帳號可將提升的行為與使用者個人資料隔離，減少接觸特定用戶資料的風險，並降低權限升級的風險。

當你使用端端點權限管理時，有幾種提升行為的選項：

• 自動：對於自動高程規則，EPM 會自動 提升這些應用程式，無需使用者輸入。 此類廣泛規則對組織的安全防護能力產生廣泛影響。

• 使用者確認：在使用者確認規則後，終端使用者會使用新的右鍵右鍵選單 「以提升權限執行」。 管理員可要求使用者透過驗證提示、商業理由或兩者兼具進行額外驗證。

  

• 提升為目前使用者：使用此升高類型用於需要存取使用者專屬資源才能正常運作的應用程式，例如設定檔路徑、環境變數或執行時偏好設定。 與使用虛擬帳號的高設定不同，此模式會在已登入使用者的帳號下執行升華程序，並保留與依賴活躍使用者設定檔的工具與安裝程式的相容性。 透過維持提升前後相同的使用者身份，此方法確保審計追蹤的一致性與準確性。 它也支援 Windows 認證，要求使用者在升級前必須以有效憑證重新驗證。

  然而，由於升格程序會繼承使用者的完整上下文，此模式引入更廣泛的攻擊面，並減少與使用者資料的隔離。

  主要考量：

  • 相容性需求：僅在虛擬帳號升級導致應用程式失敗時使用此模式。
  • 嚴格範圍：將升高規則限制在受信任的二進位和路徑中，以降低風險。
  • 安全性權衡：了解此模式會增加使用者特定資料的暴露。

  提示

  當相容性不是問題時，建議使用虛擬帳號提升的方式以加強安全性。

• 支援核准：對於支援核准的規則，終端使用者必須提交請求以提升權限執行應用程式。 請求提交後，管理員可以批准申請。 一旦請求獲准，最終使用者會被通知可以重新嘗試裝置的高度。 欲了解更多使用此規則類型的資訊，請參閱 支援核准的標高請求。

  

• 拒絕：拒絕規則指的是 EPM 阻止該檔案在升級上下文中執行。 在某些情況下，拒絕規則可確保已知檔案或潛在惡意軟體無法在升高的環境中執行。

EPM 用戶端可設定預設的仰角響應，或設定特定規則以允許指定的仰角響應。

規則功能

✅ 檔案的細緻定位以進行高程測量

EPM 升高規則可根據一個或多個屬性（如檔名、路徑等）建立。規則能力的一些範例包括：

• 子程序控制 ——當程序被 EPM 提升時，你可以控制子程序的建立如何由 EPM 管理，讓你能細緻控制由提升應用程式可能產生的任何子程序。

• 參數支援 - 只允許某些參數提升應用程式。

• 檔案雜湊支援 - 根據檔案的雜湊值匹配應用程式。

• 發佈者憑證支援 - 建立基於信任應用程式發佈憑證及其他屬性的規則。

支援的檔案類型

EPM 支援提升以下類型的檔案：

• 有 .exe 副檔名的可執行檔。
• Windows 安裝程式檔案的 .msi 副檔名。
• PowerShell 腳本搭配 .ps1 擴充功能。

報告

✅ 追蹤你環境中的海拔

EPM 包含報告，幫助您準備、監控及使用服務。 提供未管理及管理高程的報告：

• 非管理升格：指所有未使用端端點權限管理時發生的檔案升遷。 這些提升可能發生在擁有管理員權限的使用者使用 Windows 預設操作「 以管理員身份執行」時。

• 管理式提升：端端點權限管理所促進的任何提升。 受管理的高程包括 EPM 最終為標準使用者所促成的所有高程。 這些管理式高程可能包括因高程規則而產生的高低，或是預設高程動作的一部分。

開始使用端端點權限管理

✅ 開始使用 EPM

端點權限管理 (EPM) 由Microsoft Intune 管理員中心管理。 當組織開始使用 EPM 時，會使用以下高層次流程：

• 授權 EPM 與計畫

  • 授權 EPM——在使用端端點權限管理政策之前，您必須在租戶中將 EPM 授權為 Intune 附加元件。 有關授權資訊，請參閱使用 Intune Suite 附加元件功能。
  • EPM 規劃 ——在開始使用 EPM 之前，有一些關鍵需求與概念需要考慮。 欲了解更多資訊，請參閱 EPM計畫。

• 部署 EPM -部署 EPM、啟用稽核、建立規則並監控部署。 欲了解更多資訊，請參閱 部署EPM。

• 管理 EPM——部署 EPM 後，您可以監控支援已核准的請求與提升。 你可以 維護和更新規則 ，並 檢視使用者權限。