Sdílet prostřednictvím


Použití správy oprávnění koncového bodu s Microsoft Intune

Poznámka

Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňku Intune Suite.

S Microsoft Intune Endpoint Privilege Management (EPM) můžou uživatelé vaší organizace spouštět jako standardní uživatel (bez oprávnění správce) a provádět úlohy, které vyžadují zvýšená oprávnění. Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Správa oprávnění koncového bodu podporuje vaši cestu nulová důvěra (Zero Trust) tím, že pomáhá vaší organizaci dosáhnout široké uživatelské základny s minimálními oprávněními a zároveň umožňuje uživatelům spouštět úkoly povolené vaší organizací, aby zůstali produktivní. Další informace najdete v tématu nulová důvěra (Zero Trust) s Microsoft Intune.

Následující části tohoto článku se věnují požadavkům na používání EPM, poskytují funkční přehled o tom, jak tato funkce funguje, a představují důležité koncepty pro EPM.

Platí pro:

  • Windows 10
  • Windows 11

Požadavky

Licencování

Správa oprávnění koncového bodu vyžaduje další licenci nad rámec licence Microsoft Intune – plán 1. Můžete si vybrat mezi samostatnou licencí, která přidá pouze EPM, nebo licencí EPM jako součást Microsoft Intune Suite. Další informace najdete v tématu Použití funkcí doplňku Intune Suite.

Požadavky

Správa oprávnění koncového bodu má následující požadavky:

  • Microsoft Entra připojené nebo Microsoft Entra hybridní připojení
  • Microsoft Intune registrace nebo Microsoft Configuration Manager spoluspravované zařízení (žádné požadavky na úlohy)
  • Podporovaný operační systém
  • Jasná viditelnost (bez kontroly SSL) k požadovaným koncovým bodům

Poznámka

  • Windows 365 (CloudPC) se podporuje pomocí podporované verze operačního systému.
  • Správa oprávnění koncového bodu nepodporuje zařízení připojovaná k pracovišti
  • Azure Virtual Desktop nepodporuje správa oprávnění koncového bodu

Endpoint Privilege Management podporuje následující operační systémy:

  • Windows 11 verze 24H2
  • Windows 11 verze 23H2 (22631.2506 nebo novější) s KB5031455
  • Windows 11 verze 22H2 (22621.2215 nebo novější) s KB5029351
  • Windows 11 verze 21H2 (22000.2713 nebo novější) s KB5034121
  • Windows 10 verze 22H2 (19045.3393 nebo novější) s KB5030211
  • Windows 10 verze 21H2 (19044.3393 nebo novější) s KB5030211

Důležité

  • Zásady nastavení zvýšení oprávnění se zobrazí jako nepoužitelné pro zařízení, na kterých není spuštěná podporovaná verze operačního systému.
  • Správa oprávnění koncového bodu je kompatibilní pouze s 64bitovými architekturami operačního systému. Windows v ARM se v současné době nepodporuje.
  • Správa oprávnění koncového bodu má několik nových síťových požadavků. Viz Koncové body sítě pro Intune.

Podpora cloudu pro státní správu

Správa oprávnění koncového bodu se podporuje v následujících suverénních cloudových prostředích:

  • U.S. Government Community Cloud (GCC) High
  • Ministerstvo obrany USA (DoD)

Další informace najdete v popisu služby GCC pro státní správu USA Microsoft Intune.

Začínáme se správou oprávnění koncového bodu

Správa oprávnění koncových bodů (EPM) je integrovaná do Microsoft Intune, což znamená, že veškerá konfigurace se dokončí v rámci Microsoft Intune Správa Center. Když organizace s EPM začínají, používají následující základní proces:

  • Správa oprávnění koncového bodu licence – Než budete moct použít zásady správy oprávnění koncového bodu, musíte ve svém tenantovi licencovat EPM jako doplněk Intune. Informace o licencování najdete v tématu Použití funkcí doplňku Intune Suite.

  • Nasazení zásad nastavení zvýšení oprávnění – Zásada nastavení zvýšení oprávnění aktivuje EPM na klientském zařízení. Tato zásada také umožňuje nakonfigurovat nastavení, která jsou specifická pro klienta, ale nemusí nutně souviset se zvýšením oprávnění jednotlivých aplikací nebo úkolů.

  • Nasazení zásad pravidel zvýšení oprávnění – Zásada pravidla zvýšení oprávnění propojuje aplikaci nebo úlohu s akcí zvýšení oprávnění. Pomocí této zásady můžete nakonfigurovat chování zvýšení oprávnění pro aplikace, které vaše organizace povolí, když se aplikace spustí na zařízení.

Důležité koncepty pro správu oprávnění koncového bodu

Při konfiguraci nastavení zvýšení oprávnění a zásad pravidel zvýšení oprávnění , které byly zmíněny výše, existuje několik důležitých konceptů, které je potřeba pochopit, abyste zajistili, že nakonfigurujete EPM tak, aby vyhovoval potřebám vaší organizace. Před širším nasazením EPM byste měli dobře pochopit následující koncepty a také jejich vliv na vaše prostředí:

  • Spustit se zvýšeným přístupem – Možnost místní nabídky po kliknutí pravým tlačítkem myši, která se zobrazí, když se na zařízení aktivuje EPM. Při použití této možnosti se v zásadách pravidel zvýšení oprávnění zařízení zkontroluje shoda, aby se zjistilo, jestli a jak může být tento soubor zvýšen tak, aby běžel v kontextu správy. Pokud neexistuje žádné platné pravidlo zvýšení oprávnění, použije zařízení výchozí konfigurace zvýšení oprávnění definované zásadami nastavení zvýšení oprávnění.

  • Typy zvýšení oprávnění a zvýšení oprávnění souborů – EPM umožňuje uživatelům bez oprávnění správce spouštět procesy v kontextu správy. Když vytvoříte pravidlo zvýšení oprávnění, umožní epm zprostředkovat cíl tohoto pravidla tak, aby běžel s oprávněními správce na zařízení. Výsledkem je, že aplikace má na zařízení plné možnosti správy .

    Při použití správy oprávnění koncového bodu existuje několik možností chování zvýšení oprávnění:

    • U pravidel automatického zvýšení oprávnění EPM automaticky zvýší úroveň těchto aplikací bez vstupu od uživatele. Obecná pravidla v této kategorii můžou mít rozsáhlý dopad na stav zabezpečení organizace.
    • U pravidel potvrzených uživatelem používají koncoví uživatelé novou místní nabídku Spustit se zvýšeným přístupem po kliknutí pravým tlačítkem myši. Pravidla potvrzená uživatelem vyžadují, aby koncový uživatel před zvýšením oprávnění aplikace dokončil některé další požadavky. Tyto požadavky poskytují další vrstvu ochrany tím, že uživatel potvrdí, že aplikace se spustí v kontextu se zvýšenými oprávněními, než k tomuto zvýšení dojde.
    • V případě pravidel schválených pro podporu musí koncoví uživatelé odeslat žádost o schválení aplikace. Jakmile je žádost odeslána, může ji schválit správce. Po schválení žádosti se koncovému uživateli zobrazí oznámení, že může dokončit zvýšení oprávnění na zařízení. Další informace o použití tohoto typu pravidla najdete v tématu Podpora schválených žádostí o zvýšení oprávnění.

    Poznámka

    Každé pravidlo zvýšení oprávnění může také nastavit chování zvýšení oprávnění pro podřízené procesy, které vytváří proces se zvýšenými oprávněními.

  • Řízení podřízených procesů – pokud jsou procesy zvýšeny pomocí EPM, můžete řídit, jak se vytváření podřízených procesů řídí pomocí EPM, což umožňuje podrobnou kontrolu nad všemi podprocesy, které může vytvořit vaše aplikace se zvýšenými oprávněními.

  • Komponenty na straně klienta – Pokud chcete použít správu oprávnění koncového bodu, Intune na zařízení zřídí malou sadu komponent, které přijímají zásady zvýšení oprávnění a vynucují je. Intune zřídí komponenty pouze při přijetí zásady nastavení zvýšení oprávnění a zásada vyjadřuje záměr povolit správu oprávnění koncového bodu.

  • Zakázání a zrušení zřízení – Jako součást, která se instaluje na zařízení, je možné správu oprávnění koncového bodu zakázat v rámci zásad nastavení zvýšení oprávnění. K odebrání správy oprávnění koncového bodu ze zařízení je potřeba použít zásadu nastavení zvýšení oprávnění.

    Jakmile má zařízení zásadu nastavení zvýšení oprávnění, která vyžaduje zakázání EPM, Intune okamžitě zakáže komponenty na straně klienta. EPM odebere komponentu EPM po uplynutí sedmi dnů. Zpoždění spočívá v tom, že dočasné nebo náhodné změny zásad nebo přiřazení nebudou mít za následek hromadné události opětovného/zřizování , které by mohly mít podstatný dopad na obchodní provoz.

  • Spravovaná zvýšení oprávnění vs nespravovaná zvýšení – Tyto termíny se můžou používat v našich datech vytváření sestav a využití. Tyto termíny odkazují na následující popisy:

    • Spravované zvýšení oprávnění: Jakékoli zvýšení oprávnění, které správa oprávnění koncového bodu usnadňuje. Spravovaná zvýšení oprávnění zahrnují všechna zvýšení oprávnění, která epm usnadní standardnímu uživateli. Tato spravovaná zvýšení oprávnění můžou zahrnovat zvýšení oprávnění, ke kterým dochází jako výsledek pravidla zvýšení oprávnění nebo jako součást výchozí akce zvýšení oprávnění.
    • Nespravované zvýšení oprávnění: Všechna zvýšení oprávnění souborů, ke kterým dochází bez použití správy oprávnění koncového bodu. K těmto zvýšením oprávnění může dojít, když uživatel s právy správce použije výchozí akci Systému Windows Spustit jako správce.

Řízení přístupu na základě role pro správu oprávnění koncového bodu

Pokud chcete spravovat správu oprávnění koncového bodu, musí mít váš účet přiřazenou Intune roli řízení přístupu na základě role (RBAC), která zahrnuje následující oprávnění s dostatečnými právy k dokončení požadované úlohy:

  • Vytváření zásad správy oprávnění koncového bodu – Toto oprávnění se vyžaduje pro práci se zásadami nebo daty a sestavami pro správu oprávnění koncového bodu a podporuje následující práva:

    • Zobrazit sestavy
    • Číst
    • Vytvoření
    • Aktualizovat
    • Vymazání
    • Přiřadit
  • Žádosti o zvýšení oprávnění správy koncových bodů – Toto oprávnění se vyžaduje pro práci s žádostmi o zvýšení oprávnění odesílanými uživateli ke schválení a podporuje následující práva:

    • Zobrazení žádostí o zvýšení oprávnění
    • Úprava žádostí o zvýšení oprávnění

Toto oprávnění můžete přidat s jedním nebo více právy k vlastním rolím RBAC nebo můžete použít integrovanou roli RBAC vyhrazenou pro správu oprávnění koncového bodu:

  • Endpoint Privilege Manager – Tato předdefinovaná role je vyhrazená pro správu správy oprávnění koncového bodu v konzole Intune. Tato role zahrnuje všechna práva pro vytváření zásad správy oprávnění koncových bodů a žádosti o zvýšení oprávnění správy oprávnění koncového bodu.

  • Čtenář oprávnění koncového bodu – Pomocí této předdefinované role můžete zobrazit zásady správy oprávnění koncového bodu v konzole Intune, včetně sestav. Tato role zahrnuje následující práva:

    • Zobrazit sestavy
    • Číst
    • Zobrazení žádostí o zvýšení oprávnění

Kromě vyhrazených rolí zahrnují následující předdefinované role pro Intune také práva pro vytváření zásad správy oprávnění koncového bodu:

  • Endpoint Security Manager – Tato role zahrnuje všechna práva pro vytváření zásad správy oprávnění koncových bodů a žádosti o zvýšení oprávnění správy oprávnění koncového bodu.

  • Operátor jen pro čtení – Tato role zahrnuje následující práva:

    • Zobrazit sestavy
    • Číst
    • Zobrazení žádostí o zvýšení oprávnění

Další informace najdete v tématu Řízení přístupu na základě role pro Microsoft Intune.

Modul PowerShellu EpmTools

Každé zařízení, které obdrží zásady správy oprávnění koncového bodu, nainstaluje agenta EPM Microsoftu pro správu těchto zásad. Agent obsahuje modul EpmTools PowerShell, sadu rutin, které můžete importovat do zařízení. Rutiny z EpmTools můžete použít k:

  • Diagnostika a řešení potíží se správou oprávnění koncového bodu
  • Získá atributy File přímo ze souboru nebo aplikace, pro kterou chcete vytvořit pravidlo detekce.

Instalace modulu PowerShellu EpmTools

Modul PowerShellu nástroje EPM je k dispozici ze všech zařízení, které přijalo zásady EPM. Import modulu PowerShellu EpmTools:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Dostupné rutiny jsou následující:

  • Get-Policies: Načte seznam všech zásad přijatých agentem Epm pro daný typ zásad (ElevationRules, ClientSettings).
  • Get-DeclaredConfiguration: Načte seznam dokumentů WinDC, které identifikují zásady cílené na zařízení.
  • Get-DeclaredConfigurationAnalysis: Načte seznam dokumentů WinDC typu MSFTPolicies a zkontroluje, jestli se zásady už nacházejí ve sloupci Agent Epm (Zpracované).
  • Get-ElevationRules: Dotaz na funkci vyhledávání EpmAgent a načte pravidla daná vyhledáváním a cílem. Vyhledávání se podporuje pro FileName a CertificatePayload.
  • Get-ClientSettings: Zpracujte všechny existující zásady nastavení klienta, aby se zobrazila platná nastavení klienta používaná agentem EPM.
  • Get-FileAttributes: Načte atributy souboru pro .exe soubor a extrahuje jeho certifikáty vydavatele a certifikační autority do nastaveného umístění, které lze použít k naplnění vlastností pravidla zvýšení oprávnění pro konkrétní aplikaci.

Další informace o jednotlivých rutinách najdete v souboru readme.txt ze složky EpmTools na zařízení.

Další kroky