次の方法で共有


エンドポイント特権管理を使用して昇格ルールを作成するためのガイダンス

注:

この機能は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

概要

Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 一般的に管理特権が必要なタスクは、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行です。

Endpoint Privilege Management は、organizationが最小限の特権で実行される広範なユーザー ベースを達成し、ユーザーがorganizationによって許可されたタスクを引き続き実行して生産性を維持できるようにすることで、ゼロ トラスト体験をサポートします。

エンドポイント特権管理で使用するルールの定義

Endpoint Privilege Management ルールは、 検出昇格アクションという 2 つの基本的な要素で構成されます。

検出 は、アプリケーションまたはバイナリを識別するために使用される属性のセットとして分類されます。 検出は、ファイル名、ファイル バージョン、署名の属性などの属性で構成されます。

昇格アクション は、アプリケーションまたはバイナリが検出された後に発生する結果の昇格です。

可能な限りわかりやすいように定義されている検出を定義する場合は、重要です。 わかりやすい場合は、強力な属性または複数の属性を使用して検出の強度を高めます。 検出を定義する際の目標は、明示的に意図されていない限り、複数のファイルが同じルールに分類される機能を排除することです。

ファイル ハッシュ規則

ファイル ハッシュ 規則は、Endpoint Privilege Management を使用して作成できる最も強力な規則です。 これらの規則は、昇格するファイルが昇格されるファイルであることを確認することを 強くお勧めします

ファイル ハッシュは、 Get-Filehash PowerShell メソッド を使用して直接バイナリから収集することも、 Endpoint Privilege Management のレポートから直接収集することもできます。

証明書ルール

証明書ルールは強力な種類の属性であり、他の属性とペアにする必要があります。 証明書と製品名、内部名、説明などの属性をペアリングすると、規則のセキュリティが大幅に向上します。 これらの属性はファイル署名によって保護され、多くの場合、署名されたファイルに関する詳細を示します。

注意

証明書とファイル名のみを使用すると、規則の誤用に対する保護が非常に制限されます。 ファイル名は、ファイルが存在するディレクトリにアクセスできる任意の 標準ユーザー によって変更できます。 これは、書き込み保護されたディレクトリに存在するファイルの問題ではない可能性があります。

ファイル名を含む規則

ファイル名は、昇格する必要があるアプリケーションを検出するために使用できる属性です。 ただし、ファイル名はファイルの署名によって保護されません。

つまり、ファイル名は変更の 影響を受けやすくなります 。 信頼できる証明書によって署名されたファイルは、その名前が 検出 され、その後 昇格されるように変更される可能性があります。これは、意図した動作ではない可能性があります。

重要

常に、ファイル名を含むルールに、ファイルの ID に対して強力なアサーションを提供する他の属性が含まれるようにします。 ファイル ハッシュやファイル署名に含まれるプロパティなどの属性は、意図したファイルが昇格されている可能性が高いことを示す適切なインジケーターです。

PowerShell によって収集された属性に基づく規則

より正確なファイル検出規則を構築するために、 Get-FileAttributes PowerShell コマンドレットを使用できます。 EpmTools PowerShell モジュールから入手できる Get-FileAttributes は、ファイルのファイル属性と証明書チェーン マテリアルを取得でき、出力を使用して特定のアプリケーションの昇格ルール プロパティを設定できます。

Windows 11 バージョン 10.0.22621.2506 の msinfo32.exe に対して実行 Get-FileAttributes モジュールのインポート手順と出力の例:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

注:

msinfo32.exe の証明書チェーンは、上記のコマンドに記載されている C:\CertsForMsInfo ディレクトリに出力されます。

詳細については、「 EpmTools PowerShell モジュール」を参照してください。

子プロセスの動作の制御

子プロセスの動作を使用すると、EPM を使用して昇格されたプロセスによって子プロセスが作成される場合のコンテキストを制御できます。 この動作により、通常は親プロセスのコンテキストが自動的に委任されるプロセスをさらに制限できます。

Windows では親のコンテキストが自動的に子に委任されるため、許可されているアプリケーションの動作を制御する際には特別な注意を払います。 昇格ルールを作成するときに必要なものを評価し、最小特権の原則を実装していることを確認します。

注:

子プロセスの動作を変更すると、既定の Windows 動作を想定している特定のアプリケーションとの互換性の問題が発生する可能性があります。 子プロセスの動作を操作するときは、アプリケーションを十分にテストしてください。

エンドポイント特権管理を使用して作成されたルールのデプロイ

エンドポイント特権管理ルールは、Microsoft Intuneの他のポリシーと同様にデプロイされます。 つまり、ルールはユーザーまたはデバイスに展開でき、ルールはクライアント側でマージされ、実行時に選択されます。 競合は、 ポリシーの競合の動作に基づいて解決されます。

デバイスにデプロイされたルールは、そのデバイスを使用 するすべてのユーザー に適用されます。 ユーザーに展開されるルールは、 使用 する各デバイス上のそのユーザーにのみ適用されます。 昇格アクションが発生すると、ユーザーに展開されたルールが、デバイスに展開されたルールよりも優先されます。 この動作を使用すると、そのデバイス上のすべてのユーザーに適用される可能性がある一連のルールをデバイスに展開し、より制限の少ないルールセットをサポート管理者に展開して、デバイスに一時的にサインインするときに、より広範なアプリケーションセットを昇格させることができます。

既定の昇格動作 は、一致するルールが見つからない場合にのみ使用されます。 これには、 昇格されたアクセス権を持つ [実行 ] 右クリック メニューも使用する必要があります。これは、アプリケーションの昇格を 明示的に 求めるユーザーとして解釈されます。

エンドポイント特権管理とユーザー アカウント制御

Endpoint Privilege Management と Windows 組み込みのユーザー アカウント制御 (UAC) は、個別の機能を備えた個別の製品です。

ユーザーを標準ユーザーとして実行するように移動し、Endpoint Privilege Management を使用する場合は、標準ユーザーの既定の UAC 動作を変更することもできます。 この変更により、アプリケーションで昇格が必要な場合の混乱が軽減され、エンド ユーザー エクスペリエンスが向上します。 詳細については、標準ユーザーの昇格プロンプトの動作を調べます。

注:

エンドポイント特権管理は、デバイス上の管理者によって実行されるユーザー アカウント制御アクション (または UAC) に干渉しません。 デバイス上の管理者に適用されるルールを作成できるため、デバイス上のすべてのユーザーに適用されるルールと管理者権限を持つユーザーへの影響に関する特別な考慮事項を考慮する必要があります。

次の手順