Verwenden von Endpoint Privilege Management mit Microsoft Intune
Hinweis
Diese Funktion ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.
Mit Microsoft Intune Endpoint Privilege Management (EPM) können die Benutzer Ihrer organization als Standardbenutzer (ohne Administratorrechte) ausgeführt und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnose.
Endpoint Privilege Management unterstützt Ihre Zero Trust Journey, indem es Ihren organization dabei hilft, eine breite Benutzerbasis zu erreichen, die mit den geringsten Berechtigungen ausgeführt wird, während Benutzer weiterhin Aufgaben ausführen können, die von Ihren organization erlaubt sind, um produktiv zu bleiben. Weitere Informationen finden Sie unter Zero Trust mit Microsoft Intune.
In den folgenden Abschnitten dieses Artikels werden die Anforderungen für die Verwendung von EPM erläutert, eine funktionale Übersicht über die Funktionsweise dieser Funktion bereitgestellt und wichtige Konzepte für EPM vorgestellt.
Gilt für:
- Windows 10
- Windows 11
Voraussetzungen
Lizenzierung
Endpoint Privilege Management erfordert eine zusätzliche Lizenz, die über die Microsoft Intune Plan 1-Lizenz hinausgeht. Sie können zwischen einer eigenständigen Lizenz, die nur EPM hinzufügt, oder einer Lizenz-EPM als Teil des Microsoft Intune Suite wählen. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.
Anforderungen
Für die Verwaltung von Endpunktberechtigungen gelten die folgenden Anforderungen:
- Microsoft Entra oder Microsoft Entra hybrid eingebunden
- Microsoft Intune Registrierung oder Microsoft Configuration Manager gemeinsam verwalteten Geräten (keine Workloadanforderungen)
- Unterstütztes Betriebssystem
- Sichtverbindung (ohne SSL-Inspektion) zu den erforderlichen Endpunkten
Hinweis
- Windows 365 (CloudPC) wird mit einer unterstützten Betriebssystemversion unterstützt.
- Arbeitsplatzbeitrittsgeräte werden von Endpoint Privilege Management nicht unterstützt.
- Azure Virtual Desktop wird von Endpoint Privilege Management nicht unterstützt.
Endpoint Privilege Management unterstützt die folgenden Betriebssysteme:
- Windows 11, Version 24H2
- Windows 11 Version 23H2 (22631.2506 oder höher) mit KB5031455
- Windows 11 Version 22H2 (22621.2215 oder höher) mit KB5029351
- Windows 11 Version 21H2 (22000.2713 oder höher) mit KB5034121
- Windows 10 Version 22H2 (19045.3393 oder höher) mit KB5030211
- Windows 10 Version 21H2 (19044.3393 oder höher) mit KB5030211
Wichtig
- Die Einstellungsrichtlinie für Rechteerweiterungen wird als nicht anwendbar für Geräte angezeigt, auf denen keine unterstützte Betriebssystemversion ausgeführt wird.
- Endpoint Privilege Management ist nur mit 64-Bit-Betriebssystemarchitekturen kompatibel. Windows auf ARM wird derzeit nicht unterstützt.
- Für die Verwaltung von Endpunktberechtigungen gelten einige neue Netzwerkanforderungen. Weitere Informationen finden Sie unter Netzwerkendpunkte für Intune.
Support für Government Cloud
Endpoint Privilege Management wird in den folgenden Sovereign Cloud-Umgebungen unterstützt:
- Us.S. Government Community Cloud (GCC) High
- US-Verteidigungsministerium (DoD)
Weitere Informationen finden Sie unter Microsoft Intune für den GCC-Dienst der US-Regierung.
Erste Schritte mit Endpoint Privilege Management
Endpoint Privilege Management (EPM) ist in Microsoft Intune integriert, was bedeutet, dass die gesamte Konfiguration im Microsoft Intune Admin Center abgeschlossen wird. Wenn Organisationen mit EPM beginnen, verwenden sie den folgenden allgemeinen Prozess:
Lizenzendpunktberechtigungsverwaltung: Bevor Sie Richtlinien für die Endpunktberechtigungsverwaltung verwenden können, müssen Sie EPM in Ihrem Mandanten als Intune-Add-On lizenzieren. Lizenzierungsinformationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.
Bereitstellen einer Einstellungsrichtlinie für Rechteerweiterungen: Eine Richtlinie für Rechteerweiterungen aktiviert EPM auf dem Clientgerät. Mit dieser Richtlinie können Sie auch Einstellungen konfigurieren, die für den Client spezifisch sind, aber nicht notwendigerweise mit der Erhöhung einzelner Anwendungen oder Aufgaben zusammenhängen.
Bereitstellen von Richtlinien für Rechteerweiterungsregel: Eine Richtlinie für Erhöhte Rechte verknüpft eine Anwendung oder Aufgabe mit einer Erhöhungsaktion. Verwenden Sie diese Richtlinie, um das Rechteerweiterungsverhalten für Anwendungen zu konfigurieren, die Ihr organization zulässt, wenn die Anwendungen auf dem Gerät ausgeführt werden.
Wichtige Konzepte für die Verwaltung von Endpunktberechtigungen
Wenn Sie die zuvor erwähnten Einstellungen für Rechteerweiterungen und Richtlinien für Rechteerweiterungen konfigurieren, müssen Sie sicherstellen, dass Sie EPM so konfigurieren, dass die Anforderungen Ihrer organization erfüllt werden. Bevor Sie EPM umfassend bereitstellen, sollten die folgenden Konzepte sowie deren Auswirkungen auf Ihre Umgebung gut verstanden werden:
Ausführen mit erhöhtem Zugriff : Eine Kontextmenüoption mit der rechten Maustaste, die angezeigt wird, wenn EPM auf einem Gerät aktiviert wird. Wenn diese Option verwendet wird, werden die Richtlinien für Rechteerweiterungsregeln für Geräte auf eine Übereinstimmung überprüft, um zu bestimmen, ob und wie diese Datei erhöht werden kann, um in einem Administrativen Kontext ausgeführt zu werden. Wenn keine anwendbare Rechteerweiterungsregel vorhanden ist, verwendet das Gerät die Standardkonfigurationen für Rechteerweiterungen, wie sie in der Richtlinie für Rechteerweiterungseinstellungen definiert sind.
Dateierweiterungs- und Rechteerweiterungstypen : EPM ermöglicht Benutzern ohne Administratorrechte das Ausführen von Prozessen im Administrativen Kontext. Wenn Sie eine Rechteerweiterungsregel erstellen, ermöglicht diese Regel EPM das Proxyn für die Ausführung des Ziels dieser Regel mit Administratorrechten auf dem Gerät. Das Ergebnis ist, dass die Anwendung über vollständige Verwaltungsfunktionen auf dem Gerät verfügt.
Wenn Sie Endpoint Privilege Management verwenden, gibt es einige Optionen für das Rechteerweiterungsverhalten:
- Für automatische Rechteerweiterungsregeln erhöht EPM diese Anwendungen automatisch ohne Eingabe des Benutzers. Umfassende Regeln in dieser Kategorie können weitreichende Auswirkungen auf den Sicherheitsstatus der organization haben.
- Für vom Benutzer bestätigte Regeln verwenden Endbenutzer ein neues Kontextmenü Mit erhöhtem Zugriff ausführen mit der rechten Maustaste. Für vom Benutzer bestätigte Regeln muss der Endbenutzer einige zusätzliche Anforderungen erfüllen, bevor die Anwendung die Rechte erhöhen darf. Diese Anforderungen bieten eine zusätzliche Schutzebene, indem der Benutzer bestätigt, dass die App in einem Kontext mit erhöhten Rechten ausgeführt wird, bevor diese Rechteerweiterung auftritt.
- Um genehmigte Regeln zu unterstützen, müssen Endbenutzer eine Anforderung zum Genehmigen einer Anwendung übermitteln. Nachdem die Anforderung übermittelt wurde, kann ein Administrator die Anforderung genehmigen. Sobald die Anforderung genehmigt wurde, wird der Endbenutzer benachrichtigt, dass er die Rechteerweiterung auf dem Gerät abschließen kann. Weitere Informationen zur Verwendung dieses Regeltyps finden Sie unter Unterstützen genehmigter Rechteerweiterungsanforderungen.
Hinweis
Jede Rechteerweiterungsregel kann auch das Rechteerweiterungsverhalten für untergeordnete Prozesse festlegen, die vom Prozess mit erhöhten Rechten erstellt werden.
Untergeordnete Prozesssteuerelemente : Wenn Prozesse durch EPM erhöht werden, können Sie steuern, wie die Erstellung untergeordneter Prozesse von EPM gesteuert wird, wodurch Sie eine präzise Kontrolle über alle Teilprozesse haben können, die von Ihrer Anwendung mit erhöhten Rechten erstellt werden können.
Clientseitige Komponenten: Um die Endpoint Privilege Management-Verwaltung zu verwenden, stellt Intune eine kleine Gruppe von Komponenten auf dem Gerät bereit, die Rechteerweiterungsrichtlinien erhalten und erzwingen. Intune stellt die Komponenten nur dann bereit, wenn eine Richtlinie für Einstellungen für erhöhte Rechte empfangen wird, und die Richtlinie drückt die Absicht aus, die Verwaltung von Endpunktberechtigungen zu aktivieren.
Deaktivieren und Aufheben der Bereitstellung : Als Komponente, die auf einem Gerät installiert wird, kann endpoint Privilege Management innerhalb einer Richtlinie für Rechteerweiterungseinstellungen deaktiviert werden. Die Verwendung der Richtlinie für Rechteerweiterungen ist erforderlich , um die Endpoint Privilege Management-Verwaltung von einem Gerät zu entfernen.
Sobald das Gerät über eine Richtlinie für Rechteerweiterungen verfügt, die die Deaktivierung von EPM erfordert, deaktiviert Intune sofort die clientseitigen Komponenten. EPM entfernt die EPM-Komponente nach einem Zeitraum von sieben Tagen. Die Verzögerung besteht darin, sicherzustellen, dass vorübergehende oder versehentliche Änderungen an Richtlinien oder Zuweisungen nicht zu Massenaufhebungsereignissen/ für dieerneute Bereitstellung führen, die erhebliche Auswirkungen auf den Geschäftsbetrieb haben können.
Verwaltete Erhöhungen im Vergleich zu nicht verwalteten Erhöhungen : Diese Begriffe können in unseren Berichts- und Nutzungsdaten verwendet werden. Diese Begriffe beziehen sich auf die folgenden Beschreibungen:
- Verwaltete Rechteerweiterung: Alle Rechteerweiterungen, die die Endpoint Privilege Management-Verwaltung ermöglicht. Verwaltete Rechteerweiterungen umfassen alle Erhöhungen, die EPM für den Standardbenutzer erleichtert. Diese verwalteten Erhöhungen können Erhöhungen umfassen, die als Ergebnis einer Erhöhungsregel oder als Teil einer Standardaktion für erhöhte Rechte auftreten.
- Nicht verwaltete Rechteerweiterungen: Alle Dateierweiterungen, die ohne Verwendung von Endpoint Privilege Management auftreten. Diese Erhöhungen können auftreten, wenn ein Benutzer mit Administratorrechten die Windows-Standardaktion Als Administrator ausführen verwendet.
Rollenbasierte Zugriffssteuerungen für die Endpunktberechtigungsverwaltung
Zum Verwalten der Endpunktberechtigungsverwaltung muss Ihrem Konto eine Intune Rolle der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) zugewiesen werden, die die folgende Berechtigung mit ausreichenden Rechten zum Ausführen der gewünschten Aufgabe enthält:
Erstellung von Richtlinien zur Verwaltung von Endpunktberechtigungen : Diese Berechtigung ist erforderlich, um mit Richtlinien oder Daten und Berichten für die Endpoint Privilege Management-Verwaltung zu arbeiten, und unterstützt die folgenden Rechte:
- Anzeigen von Berichten
- Lesen
- Erstellen
- Aktualisieren
- Löschen
- Zuweisen
Erhöhungsanforderungen für Die Verwaltung von Endpunktberechtigungen : Diese Berechtigung ist erforderlich, um mit Rechteerweiterungsanforderungen zu arbeiten, die von Benutzern zur Genehmigung übermittelt werden, und unterstützt die folgenden Rechte:
- Anzeigen von Erhöhungsanforderungen
- Ändern von Erhöhungsanforderungen
Sie können diese Berechtigung mit einem oder mehreren Rechten zu Ihren eigenen benutzerdefinierten RBAC-Rollen hinzufügen oder eine integrierte RBAC-Rolle verwenden, die für die Verwaltung von Endpoint Privilege Management vorgesehen ist:
Endpoint Privilege Manager: Diese integrierte Rolle ist für die Verwaltung von Endpunktberechtigungen in der Intune-Konsole vorgesehen. Diese Rolle umfasst alle Rechte für Richtlinienerstellung für Endpunktrechte und Erhöhungsanforderungen für die Verwaltung von Endpunktberechtigungen.
Endpunktberechtigungsleser: Verwenden Sie diese integrierte Rolle, um Richtlinien für die Verwaltung von Endpunktberechtigungen in der Intune-Konsole anzuzeigen, einschließlich Berichten. Diese Rolle umfasst die folgenden Rechte:
- Anzeigen von Berichten
- Lesen
- Anzeigen von Erhöhungsanforderungen
Zusätzlich zu den dedizierten Rollen enthalten die folgenden integrierten Rollen für Intune auch Rechte für die Erstellung von Richtlinien der Endpunktberechtigungsverwaltung:
Endpoint Security Manager : Diese Rolle umfasst alle Rechte für Richtlinienerstellung für Endpunktberechtigungen und Rechteerweiterungsanforderungen für die Endpunktberechtigungsverwaltung.
Schreibgeschützter Operator : Diese Rolle umfasst die folgenden Rechte:
- Anzeigen von Berichten
- Lesen
- Anzeigen von Erhöhungsanforderungen
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.
EpmTools PowerShell-Modul
Jedes Gerät, das Endpoint Privilege Management-Richtlinien empfängt, installiert den EPM-Microsoft-Agent, um diese Richtlinien zu verwalten. Der Agent enthält das PowerShell-Modul EpmTools , eine Reihe von Cmdlets, die Sie auf ein Gerät importieren können. Sie können die Cmdlets von EpmTools für Folgendes verwenden:
- Diagnostizieren und Beheben von Problemen mit der Endpoint Privilege Management-Verwaltung.
- Rufen Sie Dateiattribute direkt aus einer Datei oder Anwendung ab, für die Sie eine Erkennungsregel erstellen möchten.
Installieren des PowerShell-Moduls "EpmTools"
Das PowerShell-Modul "EPM-Tools" ist auf jedem Gerät verfügbar, das eine EPM-Richtlinie erhalten hat. So importieren Sie das PowerShell-Modul EpmTools:
Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
Im Folgenden finden Sie die verfügbaren Cmdlets:
- Get-Policies: Ruft eine Liste aller Richtlinien ab, die vom Epm-Agent für einen bestimmten PolicyType (ElevationRules, ClientSettings) empfangen werden.
- Get-DeclaredConfiguration: Ruft eine Liste von WinDC-Dokumenten ab, die die Richtlinien für das Gerät identifizieren.
- Get-DeclaredConfigurationAnalysis: Ruft eine Liste von WinDC-Dokumenten vom Typ MSFTPolicies ab und überprüft, ob die Richtlinie bereits im Epm-Agent vorhanden ist (Verarbeitete Spalte).
- Get-ElevationRules: Fragen Sie die EpmAgent-Suchfunktion ab und ruft Regeln ab, die Nachschlage- und Zieldaten enthalten sind. Die Suche wird für FileName und CertificatePayload unterstützt.
- Get-ClientSettings: Verarbeiten Sie alle vorhandenen Clienteinstellungsrichtlinien, um die effektiven Clienteinstellungen anzuzeigen, die vom EPM-Agent verwendet werden.
- Get-FileAttributes: Ruft Dateiattribute für eine .exe Datei ab und extrahiert deren Herausgeber- und Zertifizierungsstellenzertifikate an einen festgelegten Speicherort, der zum Auffüllen von Rechteregeleigenschaften für eine bestimmte Anwendung verwendet werden kann.
Weitere Informationen zu den einzelnen Cmdlets finden Sie in der readme.txt-Datei aus dem Ordner EpmTools auf dem Gerät.
Nächste Schritte
- Leitfaden zum Erstellen von Höhenregeln
- Konfigurieren von Richtlinien für die Verwaltung von Endpunktberechtigungen
- Genehmigen von Erhöhungsanforderungen
- Berichte für die Verwaltung von Endpunktberechtigungen
- Datensammlung und Datenschutz für Endpoint Privilege Management
- Überlegungen zur Bereitstellung und häufig gestellte Fragen