Considerazioni sulla distribuzione e domande frequenti su Endpoint Privilege Management
Nota
Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.
Con Microsoft Intune Endpoint Privilege Management (EPM) gli utenti dell'organizzazione possono essere eseguiti come utente standard (senza diritti di amministratore) e completare attività che richiedono privilegi elevati. Le attività che in genere richiedono privilegi amministrativi sono le installazioni di applicazioni (ad esempio Applicazioni Di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica di Windows.
Endpoint Privilege Management supporta il percorso zero trust consentendo all'organizzazione di ottenere un'ampia base di utenti in esecuzione con privilegi minimi, consentendo al contempo agli utenti di eseguire ancora attività consentite dall'organizzazione per rimanere produttivi.
Le sezioni seguenti di questo articolo illustrano le considerazioni sulla distribuzione e le domande frequenti su EPM.
Si applica a:
- Windows 10
- Windows 11
Considerazioni sulla distribuzione per Endpoint Privilege Management
Windows 10 dispositivi potrebbero non ricevere immediatamente la conferma delle approvazioni del supporto
Stiamo lavorando per risolvere alcuni scenari che impediscono ai dispositivi Windows 10 di ricevere automaticamente la notifica che una nuova approvazione è pronta per il dispositivo quando si usano le elevazioni approvate. Stiamo lavorando con il proprietario per risolverlo il più rapidamente possibile.
L'organizzazione che disabilita il controllo dell'account utente potrebbe riscontrare problemi con Endpoint Privilege Management
Endpoint Privilege Management non supporta la disabilitazione esplicita di Controllo dell'account utente. Windows policy controls for UAC Prompt Behavior exist to control the behavior of UAC. Se le organizzazioni eseguono passaggi aggiuntivi per disabilitare Il controllo dell'account utente al di fuori dei controlli dei criteri esistenti, ad esempio la disabilitazione dei servizi Windows, potrebbero riscontrare problemi con Endpoint Privilege Management.
Le organizzazioni che abilitano Protezione amministratore potrebbero riscontrare problemi con Endpoint Privilege Management
Protezione amministratore attualmente non supporta le elevazioni avviate da Endpoint Privilege Management. Se le organizzazioni abilitano Protezione amministratore nei dispositivi in cui gli utenti standard si affidano a EPM per gestire l'elevazione, l'elevazione avrà esito negativo. Stiamo lavorando per risolvere questo problema in una versione futura.
Le organizzazioni che usano il controllo delle applicazioni per le aziende potrebbero riscontrare problemi durante l'esecuzione di Endpoint Privilege Management
Il controllo delle applicazioni per le aziende che non tiene conto dei componenti client EPM potrebbe impedire il funzionamento dei componenti EPM. Per usare EPM con AppControl, assicurarsi che i criteri di controllo delle applicazioni includano regole che consentono il funzionamento di EPM. Per altre informazioni sulla risoluzione dei problemi relativi al controllo delle applicazioni, vedere Debug e risoluzione dei problemi di WDAC.
Nota
EPM non è incluso nei criteri predefiniti per il controllo delle applicazioni e può richiedere la creazione di criteri personalizzati.
Le organizzazioni che limitano gli utenti che possono accedere in modo interattivo potrebbero riscontrare problemi con Endpoint Privilege Management
Endpoint Privilege Management usa un account isolato per facilitare le elevazioni. Questo account richiede la possibilità di creare una sessione di accesso interattiva. Le organizzazioni che limitano la possibilità per gli utenti di creare sessioni interattive devono apportare modifiche affinché EPM funzioni correttamente.
Gli utenti che richiedono l'approvazione del supporto per l'elevazione devono essere l'utente principale nel dispositivo
Endpoint Privilege Management richiede attualmente che l'utente che richiede un'elevazione sia l'utente primario del dispositivo. Questa limitazione verrà rimossa in una versione futura.
Creazione di file con un nome di file come uno degli unici attributi per l'identificazione
Il nome file è un attributo che può essere utilizzato per rilevare un'applicazione che deve essere con privilegi elevati. Tuttavia, non è protetto dalla firma del file.
I nomi di file sono altamente soggetti a modifiche e i file firmati con un certificato attendibile potrebbero avere il nome modificato per essere rilevato e successivamente con privilegi elevati che potrebbero non essere il comportamento previsto.
Importante
Assicurarsi sempre che le regole che includono un nome file includano altri attributi che forniscono un'asserzione avanzata all'identità del file. Attributi come l'hash del file o le proprietà incluse nella firma dei file sono buoni indicatori che il file che si intende è probabilmente quello con privilegi elevati.
I criteri delle impostazioni di elevazione possono mostrare conflitti se modificati in rapida successione
Endpoint Privilege Management segnala lo stato delle singole impostazioni applicate usando il profilo Impostazioni elevazione dei privilegi . Se le impostazioni in questo profilo (comportamento di elevazione predefinito, ad esempio) vengono modificate più volte in rapida successione, il dispositivo potrebbe segnalare un conflitto o tornare al comportamento predefinito Nega elevazione. Si tratta di uno stato temporaneo e viene risolto senza ulteriori azioni (in meno di 60 minuti). Questo problema verrà risolto in una versione futura.
I file bloccati scaricati da Internet non riescono a elevare
In Windows esiste un comportamento per impostare un attributo sui file scaricati direttamente da Internet e impedirne l'esecuzione fino alla convalida. Windows ha funzionalità per convalidare la reputazione dei file scaricati da Internet. Quando la reputazione di un file non viene convalidata, potrebbe non riuscire a elevarsi.
Per correggere questo comportamento, sbloccare il file sbloccandolo dal riquadro delle proprietà del file. Lo sblocco di un file deve essere eseguito solo quando si considera attendibile il file.
I dispositivi Windows "aggiunti all'area di lavoro" non riescono a abilitare Endpoint Privilege Management
I dispositivi aggiunti all'area di lavoro non sono supportati da Endpoint Privilege Management. Questi dispositivi non mostrano l'esito positivo o elaborano i criteri EPM (impostazioni di elevazione o regole di elevazione) quando vengono distribuiti nel dispositivo.
Le regole per un file di rete potrebbero non riuscire a elevare
Endpoint Privilege Management supporta l'esecuzione di file archiviati localmente su disco. L'esecuzione di file da un percorso di rete, ad esempio una condivisione di rete o un'unità mappata, non è supportata.
Endpoint Privilege Management non riceve criteri quando si usa un 'ispezione SSL' nell'infrastruttura di rete
Endpoint Privilege Management non supporta l'ispezione SSL, nota come "break and inspect". Per usare Endpoint Privilege Management, assicurarsi che gli URL elencati nella Intune Endpoints for Endpoint Privilege Management siano esenti dall'ispezione.
Domande frequenti
Perché il dispositivo virtuale non esegue l'onboarding in Endpoint Privilege Management?
Endpoint Privilege Management non è attualmente supportato con Desktop virtuale Azure. Questo problema verrà risolto nella versione futura.
Il supporto per Windows 365 (PC cloud) è stato aggiunto a settembre 2023.
Perché i criteri delle impostazioni di elevazione dei privilegi mostrano un errore o non sono applicabili?
I criteri delle impostazioni di elevazione dei privilegi controllano l'abilitazione di EPM e la configurazione dei componenti lato client. Quando questo criterio è in errore o non è applicabile, indica che il dispositivo ha avuto un problema durante l'abilitazione di EPM. I due motivi più comuni sono la mancanza degli aggiornamenti di Windows necessari o l'impossibilità di comunicare con gli endpoint Intune necessari per Endpoint Privilege Management.
Cosa accade quando un utente con privilegi amministrativi usa un dispositivo abilitato per EPM?
Endpoint Privilege Management non gestisce le richieste di elevazione dei privilegi da parte di utenti con autorizzazioni amministrative in un dispositivo. Potrebbero essere presenti istanze in cui un amministratore avvia un file con una regola di elevazione (in particolare una regola di elevazione automatica) definita nel dispositivo. Questa applicazione viene avviata come in genere per l'amministratore e un evento per un'elevazione non gestita verrà generato da EPM.
Quali file possono essere elevati all'amministratore?
Endpoint Privilege Management supporta file eseguibili, inclusi quelli con l'estensione .msi
e .ps1
gli script di PowerShell.
Perché "Esegui con accesso con privilegi elevati" non viene visualizzato nelle voci di menu Start?
Alcuni elementi che si trovano nel menu Start o nella barra delle applicazioni hanno un menu di scelta rapida curato e il menu di scelta rapida EPM non può essere aggiunto a tali menu. Si prevede di risolvere questo problema in una versione futura.
È possibile avviare più file con privilegi elevati con il menu di scelta rapida "Esegui con accesso con privilegi elevati"?
È possibile eseguire un solo file con privilegi elevati alla volta. Per avviare più file con privilegi elevati, fare clic con il pulsante destro del mouse su ogni file singolarmente e scegliere Esegui con accesso con privilegi elevati.