Udostępnij za pośrednictwem

Zagadnienia dotyczące wdrażania i często zadawane pytania dotyczące zarządzania uprawnieniami punktu końcowego

  • Artykuł

Uwaga

Ta funkcja jest dostępna jako dodatek Intune. Aby uzyskać więcej informacji, zobacz Korzystanie z funkcji dodatku Intune Suite.

Dzięki Microsoft Intune Endpoint Privilege Management (EPM) użytkownicy organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Usługa Endpoint Privilege Management obsługuje twoją podróż bez zaufania, pomagając organizacji osiągnąć szeroką bazę użytkowników z najniższymi uprawnieniami, jednocześnie umożliwiając użytkownikom wykonywanie zadań dozwolonych przez organizację w celu utrzymania produktywności.

W poniższych sekcjach tego artykułu omówiono zagadnienia dotyczące wdrażania i często zadawane pytania dotyczące programu EPM.

Dotyczy:

  • Windows 10
  • Windows 11

Zagadnienia dotyczące wdrażania usługi Endpoint Privilege Management

Windows 10 urządzenia mogą nie otrzymać od razu potwierdzenia zatwierdzeń pomocy technicznej

Pracujemy nad rozwiązaniem kilku scenariuszy, które uniemożliwiają Windows 10 urządzeniom automatyczne odbieranie powiadomienia o tym, że nowe zatwierdzenie jest gotowe dla urządzenia, gdy używasz zatwierdzonych podniesienia uprawnień. Współpracujemy z właścicielem, aby rozwiązać ten problem tak szybko, jak to możliwe.

W organizacji, która wyłącza kontrolę konta użytkownika (UAC), mogą wystąpić problemy z zarządzaniem uprawnieniami punktu końcowego

Usługa Endpoint Privilege Management nie obsługuje jawnego wyłączania funkcji UAC. Istnieją kontrolki zasad systemu Windows dotyczące zachowania monitu o kontrolę dostępu użytkownika w celu kontrolowania zachowania funkcji UAC. Jeśli organizacje podejmą dodatkowe kroki, aby wyłączyć funkcję UAC poza istniejącymi kontrolkami zasad, takimi jak wyłączenie usług systemu Windows, mogą wystąpić problemy z usługą Endpoint Privilege Management.

W organizacjach, które włączają ochronę administratora, mogą wystąpić problemy z zarządzaniem uprawnieniami punktu końcowego

Ochrona administratora obecnie nie obsługuje podniesienia uprawnień inicjowanych z usługi Endpoint Privilege Management. Jeśli organizacje włączą ochronę administratora na urządzeniach, na których użytkownicy standardowi korzystają z modułu EPM do obsługi podniesienia uprawnień, podniesienie uprawnień zakończy się niepowodzeniem. Pracujemy nad rozwiązaniem tego problemu w przyszłej wersji.

Organizacje korzystające z kontroli aplikacji dla firm mogą napotkać problemy z uruchamianiem usługi Endpoint Privilege Management

Zasady kontroli aplikacji dla firm, które nie uwzględniają składników klienta EPM, mogą uniemożliwić działanie składników EPM. Aby używać programu EPM z kontrolką AppControl, upewnij się, że zasady kontroli aplikacji zawierają reguły, które umożliwiają funkcję EPM. Aby uzyskać więcej informacji na temat rozwiązywania problemów z kontrolą aplikacji, zobacz Debugowanie i rozwiązywanie problemów z usługą WDAC.

Uwaga

Program EPM nie jest uwzględniony w domyślnych zasadach kontroli aplikacji i może wymagać utworzenia zasad niestandardowych.

Organizacje ograniczające użytkowników, którzy mogą logować się interaktywnie, mogą napotkać problemy z usługą Endpoint Privilege Management

Usługa Endpoint Privilege Management używa izolowanego konta w celu ułatwienia podniesienia uprawnień. To konto wymaga możliwości utworzenia interaktywnej sesji logowania. Organizacje, które ograniczają możliwość tworzenia interaktywnych sesji przez użytkowników, muszą wprowadzać zmiany, aby program EPM działał prawidłowo.

Użytkownicy żądający zatwierdzenia przez pomoc techniczną podniesienia uprawnień muszą być użytkownikami podstawowymi na urządzeniu

Usługa Endpoint Privilege Management obecnie wymaga, aby użytkownik żądający podniesienia uprawnień był podstawowym użytkownikiem urządzenia. Pracujemy nad usunięciem tego ograniczenia w przyszłej wersji.

Tworzenie plików z nazwą pliku jako jednym z jedynych atrybutów identyfikacji

Nazwa pliku to atrybut, którego można użyć do wykrywania aplikacji, która musi mieć podwyższony poziom. Nie jest jednak chroniony podpisem pliku.

Nazwy plików są bardzo podatne na zmiany, a pliki podpisane przy użyciu zaufanego certyfikatu mogą zostać zmienione w celu wykrycia , a następnie podniesienia poziomu, co może nie być zamierzonym zachowaniem.

Ważna

Zawsze upewnij się, że reguły, w tym nazwa pliku, zawierają inne atrybuty, które zapewniają silne potwierdzenie tożsamości pliku. Atrybuty, takie jak skrót pliku lub właściwości zawarte w sygnaturze plików, są dobrymi wskaźnikami, że plik, który zamierzasz, prawdopodobnie jest podwyższonym poziomem.

Zasady ustawień podniesienia uprawnień mogą pokazywać konflikt w przypadku zmiany w krótkim odstępie czasu

Usługa Endpoint Privilege Management zgłasza stan poszczególnych ustawień zastosowanych przy użyciu profilu Ustawienia podniesienia uprawnień . Jeśli ustawienia w tym profilu (domyślne zachowanie podniesienia uprawnień na przykład) są zmieniane wiele razy w krótkim odstępie czasu, może to spowodować konflikt raportowania urządzeń lub powrót do domyślnego zachowania odmowy podniesienia uprawnień. Jest to stan przejściowy i rozwiązuje problem bez dalszych działań (w mniej niż 60 minut). Ten problem zostanie rozwiązany w przyszłej wersji.

Nie można podnieść poziomu zablokowanych plików pobranych z Internetu

Istnieje zachowanie w systemie Windows, aby ustawić atrybut plików pobieranych bezpośrednio z Internetu i uniemożliwić ich wykonywanie do momentu zweryfikowania. System Windows ma funkcję sprawdzania reputacji plików pobranych z Internetu. Jeśli reputacja plików nie zostanie zweryfikowana, podniesienie poziomu może zakończyć się niepowodzeniem.

Aby rozwiązać ten problem, odblokuj plik, odblokując go z okienka właściwości pliku. Odblokowywanie pliku powinno odbywać się tylko wtedy, gdy ufasz temu plikowi.

Urządzenia z systemem Windows, które są przyłączone do miejsca pracy, nie mogą włączyć usługi Endpoint Privilege Management

Urządzenia przyłączone do miejsca pracy nie są obsługiwane przez usługę Endpoint Privilege Management. Te urządzenia nie będą pokazywać powodzenia ani przetwarzania zasad EPM (ustawień podniesienia uprawnień lub reguł podniesienia uprawnień) po wdrożeniu na urządzeniu.

Nie można podnieść poziomu reguł dla pliku sieciowego

Usługa Endpoint Privilege Management obsługuje wykonywanie plików przechowywanych lokalnie na dysku. Wykonywanie plików z lokalizacji sieciowej, takich jak udział sieciowy lub zamapowany dysk, nie jest obsługiwane.

Usługa Endpoint Privilege Management nie otrzymuje zasad, gdy używam "inspekcji SSL" w infrastrukturze sieciowej

Usługa Endpoint Privilege Management nie obsługuje inspekcji protokołu SSL, która jest nazywana "podziałem i inspekcją". Aby korzystać z usługi Endpoint Privilege Management, upewnij się, że adresy URL wymienione w Intune Punkty końcowe usługi Endpoint Privilege Management są wykluczone z inspekcji.

Często zadawane pytania

Dlaczego moje urządzenie wirtualne nie jest dołączane do usługi Endpoint Privilege Management?

Obecnie usługa Endpoint Privilege Management nie jest obsługiwana w usłudze Azure Virtual Desktop. Ten problem zostanie rozwiązany w przyszłej wersji.

Obsługa Windows 365 (komputerów w chmurze) została dodana we wrześniu 2023 r.

Dlaczego w zasadach ustawień podniesienia uprawnień jest wyświetlany błąd/nie dotyczy?

Zasady ustawień podniesienia uprawnień steruje włączaniem programu EPM i konfiguracją składników po stronie klienta. Gdy te zasady są błędami lub nie mają zastosowania, oznacza to, że na urządzeniu wystąpił problem z włączeniem programu EPM. Dwa najczęstsze przyczyny to brak wymaganych aktualizacji systemu Windows lub brak komunikacji z wymaganymi punktami końcowymi Intune dla usługi Endpoint Privilege Management.

Co się stanie, gdy ktoś z uprawnieniami administracyjnymi korzysta z urządzenia, które jest włączone dla usługi EPM?

Usługa Endpoint Privilege Management nie zarządza żądaniami podniesienia uprawnień przez użytkowników z uprawnieniami administracyjnymi na urządzeniu. Mogą wystąpić wystąpienia, w których administrator uruchamia plik z regułą podniesienia uprawnień (w szczególności regułą automatycznego podniesienia uprawnień) zdefiniowaną na urządzeniu. Ta aplikacja jest uruchamiana tak jak zwykle w przypadku administratora, a zdarzenie dla niezarządzanego podniesienia uprawnień zostanie wygenerowane przez program EPM.

Jakie pliki mogą być podwyższone do administratora?

Usługa Endpoint Privilege Management obsługuje pliki wykonywalne, w tym pliki z .exe.msi rozszerzeniami i .ps1 skryptami programu PowerShell.

Dlaczego pozycja "Uruchom z podwyższonym poziomem dostępu" nie jest wyświetlana w elementach menu Start?

Niektóre elementy znajdujące się w menu start lub na pasku zadań mają wyselekcjonowane menu kliknięcia prawym przyciskiem myszy, a menu kontekstowe kliknięcia prawym przyciskiem myszy epm nie może zostać dodane do tych menu. Planujemy rozwiązać ten problem w przyszłej wersji.

Czy mogę uruchomić wiele plików z podwyższonym poziomem uprawnień za pomocą menu kontekstowego "Uruchom z podwyższonym poziomem uprawnień"?

Jednocześnie można podnieść poziom tylko jednego pliku. Aby uruchomić wiele plików z podwyższonym poziomem uprawnień, kliknij prawym przyciskiem myszy każdy plik indywidualnie i wybierz pozycję Uruchom z podwyższonym poziomem uprawnień dostępu.

Następne kroki