Utilizar o Endpoint Privilege Management com Microsoft Intune

Artigo
11/19/2024

Observação

Esta capacidade está disponível como um suplemento Intune. Para obter mais informações, veja Use Intune Suite add-on capabilities (Utilizar capacidades de suplementos do Intune Suite).

Com Microsoft Intune Endpoint Privilege Management (EPM), os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnóstico do Windows.

A Gestão de Privilégios de Ponto Final suporta o seu percurso de Confiança Zero ao ajudar a sua organização a alcançar uma ampla base de utilizadores em execução com menos privilégios, ao mesmo tempo que permite que os utilizadores continuem a executar tarefas permitidas pela sua organização para se manterem produtivos. Para obter mais informações, consulte Confiança Zero com Microsoft Intune.

As secções seguintes deste artigo abordam os requisitos para utilizar o EPM, fornecem uma descrição geral funcional de como esta capacidade funciona e introduzem conceitos importantes para o EPM.

Aplicável a:

Windows 10
Windows 11

Pré-requisitos

Licenciamento

A Gestão de Privilégios de Ponto Final requer uma licença adicional para além da licença Microsoft Intune (plano 1). Pode escolher entre uma licença autónoma que adiciona apenas o EPM ou licencie o EPM como parte do Microsoft Intune Suite. Para obter mais informações, veja Use Intune Suite add-on capabilities (Utilizar capacidades de suplementos do Intune Suite).

Requisitos

O Endpoint Privilege Management tem os seguintes requisitos:

Microsoft Entra associados ou Microsoft Entra associados híbridos
Microsoft Intune Inscrição ou Microsoft Configuration Manager dispositivos cogeridos (sem requisitos de carga de trabalho)
Sistema Operacional com Suporte
Limpar linha de visão (sem Inspeção SSL) para os pontos finais necessários

Observação

Windows 365 (CloudPC) é suportado com uma versão suportada do sistema operativo
Os dispositivos associados à área de trabalho não são suportados pela Gestão de Privilégios de Ponto Final
O Azure Virtual Desktop não é suportado pela Endpoint Privilege Management

O Endpoint Privilege Management suporta os seguintes sistemas operativos:

Windows 11, versão 24H2
Windows 11, versão 23H2 (22631.2506 ou posterior) com KB5031455
Windows 11, versão 22H2 (22621.2215 ou posterior) com KB5029351
Windows 11, versão 21H2 (22000.2713 ou posterior) com KB5034121
Windows 10, versão 22H2 (19045.3393 ou posterior) com KB5030211
Windows 10, versão 21H2 (19044.3393 ou posterior) com KB5030211

Importante

A política de definições de elevação será apresentada como não aplicável para dispositivos que não executam uma versão do sistema operativo suportada.
A Gestão de Privilégios de Ponto Final só é compatível com Arquiteturas do Sistema Operativo de 64 bits. O Windows no ARM não é atualmente suportado.
A Gestão de Privilégios de Ponto Final tem alguns novos requisitos de rede. Veja Pontos Finais de Rede para Intune.

Suporte de nuvem do Governo

A Gestão de Privilégios de Ponto Final é suportada com os seguintes ambientes de cloud soberana:

Cloud da Comunidade Governamental dos E.U.A. (GCC) Elevada
Departamento de Defesa dos E.U.A. (DoD)

Para obter mais informações, veja Microsoft Intune para a descrição do serviço GCC do Governo dos EUA.

Introdução à Gestão de Privilégios de Ponto Final

A Gestão de Privilégios de Ponto Final (EPM) está incorporada no Microsoft Intune, o que significa que toda a configuração é concluída no Centro de Microsoft Intune Administração. Quando as organizações começarem a utilizar o EPM, utilizam o seguinte processo de alto nível:

Gestão de Privilégios de Ponto Final de Licença – antes de poder utilizar as políticas de Gestão de Privilégios de Ponto Final, tem de licenciar o EPM no seu inquilino como um suplemento Intune. Para obter informações de licenciamento, veja Utilizar as capacidades de suplemento do Intune Suite.
Implementar uma política de definições de elevação – uma política de definições de elevação ativa o EPM no dispositivo cliente. Esta política também lhe permite configurar definições específicas do cliente, mas que não estão necessariamente relacionadas com a elevação de aplicações ou tarefas individuais.
Implementar políticas de regras de elevação – uma política de regra de elevação liga uma aplicação ou tarefa a uma ação de elevação. Utilize esta política para configurar o comportamento de elevação das aplicações que a sua organização permite quando as aplicações são executadas no dispositivo.

Conceitos importantes para a Gestão de Privilégios de Ponto Final

Quando configura as definições de elevação e as políticas de regras de elevação mencionadas anteriormente, existem alguns conceitos importantes para compreender se configura o EPM para satisfazer as necessidades da sua organização. Antes de implementar amplamente o EPM, os seguintes conceitos devem ser bem compreendidos, bem como o efeito que têm no seu ambiente:

Executar com acesso elevado – uma opção de menu de contexto de clique com o botão direito do rato que aparece quando o EPM é ativado num dispositivo. Quando esta opção é utilizada, as políticas de regras de elevação de dispositivos são verificadas para uma correspondência para determinar se, e como, esse ficheiro pode ser elevado para ser executado num contexto administrativo. Se não existir nenhuma regra de elevação aplicável, o dispositivo utilizará as configurações de elevação predefinidas, conforme definido pela política de definições de elevação.
Tipos de elevação e elevação de ficheiros – o EPM permite que os utilizadores sem privilégios administrativos executem processos no contexto administrativo. Quando cria uma regra de elevação, essa regra permite que o EPM execute o proxy do destino dessa regra com privilégios de administrador no dispositivo. O resultado é que a aplicação tem capacidade administrativa total no dispositivo.

Quando utiliza o Endpoint Privilege Management, existem algumas opções para o comportamento de elevação:
- Para regras de elevação automática, o EPM eleva automaticamente estas aplicações sem a entrada do utilizador. As regras abrangentes nesta categoria podem ter um impacto generalizado na postura de segurança da organização.
- Para as regras confirmadas pelo utilizador, os utilizadores finais utilizam um novo menu de contexto com o botão direito do rato Executar com acesso elevado. As regras confirmadas pelo utilizador exigem que o utilizador final preencha alguns requisitos adicionais antes de a aplicação ser autorizada a elevar. Estes requisitos fornecem uma camada adicional de proteção ao fazer com que o utilizador reconheça que a aplicação será executada num contexto elevado, antes de essa elevação ocorrer.
- Para regras aprovadas pelo suporte, os utilizadores finais têm de submeter um pedido para aprovar uma aplicação. Assim que o pedido for submetido, um administrador pode aprovar o pedido. Assim que o pedido for aprovado, o utilizador final é notificado de que pode concluir a elevação no dispositivo. Para obter mais informações sobre como utilizar este tipo de regra, veja Suporte de pedidos de elevação aprovados
Observação

Cada regra de elevação também pode definir o comportamento de elevação para processos subordinados que o processo elevado cria.
Controlos de processo subordinado – quando os processos são elevados pelo EPM, pode controlar a forma como a criação de processos subordinados é regida pelo EPM, o que lhe permite ter controlo granular sobre quaisquer subprocessos que possam ser criados pela sua aplicação elevada.
Componentes do lado do cliente – para utilizar a Gestão de Privilégios de Ponto Final, Intune aprovisiona um pequeno conjunto de componentes no dispositivo que recebem políticas de elevação e os impõem. Intune aprovisiona os componentes apenas quando é recebida uma política de definições de elevação e a política expressa a intenção de ativar a gestão de Privilégios de Ponto Final.
Desativar e desaprovisionar – como um componente que é instalado num dispositivo, o Endpoint Privilege Management pode ser desativado a partir de uma política de definições de elevação. A utilização da política de definições de elevação é necessária para remover a Gestão de Privilégios de Ponto Final de um dispositivo.

Assim que o dispositivo tiver uma política de definições de elevação que exija a desativação do EPM, Intune desativa imediatamente os componentes do lado do cliente. O EPM removerá o componente EPM após um período de sete dias. O atraso é garantir que as alterações temporárias ou acidentais na política ou atribuições não resultem em eventos dereaprovisionamento de desaprovisionamento / em massa que possam ter um impacto substancial nas operações empresariais.
Elevações geridas vs. elevações não geridas – estes termos podem ser utilizados nos nossos dados de relatórios e utilização. Estes termos referem-se às seguintes descrições:
- Elevação gerida: qualquer elevação que a Endpoint Privilege Management facilite. As elevações geridas incluem todas as elevações que o EPM acaba por facilitar para o utilizador padrão. Estas elevações geridas podem incluir elevações que ocorrem como resultado de uma regra de elevação ou como parte da ação de elevação predefinida.
- Elevação não gerida: todas as elevações de ficheiros que ocorrem sem a utilização do Endpoint Privilege Management. Estas elevações podem ocorrer quando um utilizador com direitos administrativos utiliza a ação predefinida do Windows de Executar como administrador.

Controlos de acesso baseado em funções para a Gestão de Privilégios de Ponto Final

Para gerir a Gestão de Privilégios de Ponto Final, tem de ser atribuída à sua conta uma função de controlo de acesso baseado em funções (RBAC) Intune que inclua a seguinte permissão com direitos suficientes para concluir a tarefa pretendida:

Criação de Políticas de Gestão de Privilégios de Ponto Final – esta permissão é necessária para trabalhar com políticas ou dados e relatórios para o Endpoint Privilege Management e suporta os seguintes direitos:
- Exibir relatórios
- Leitura
- Criar
- Atualizar
- Excluir
- Atribuir
Pedidos de Elevação do Endpoint Privilege Management – esta permissão é necessária para trabalhar com pedidos de elevação submetidos pelos utilizadores para aprovação e suporta os seguintes direitos:
- Ver pedidos de elevação
- Modificar pedidos de elevação

Pode adicionar esta permissão com um ou mais direitos às suas próprias funções RBAC personalizadas ou utilizar uma função RBAC incorporada dedicada à gestão do Endpoint Privilege Management:

Endpoint Privilege Manager – esta função incorporada é dedicada à gestão do Endpoint Privilege Management na consola do Intune. Esta função inclui todos os direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final e Pedidos de Elevação de Gestão de Privilégios de Ponto Final.
Endpoint Privilege Reader - utilize esta função incorporada para ver as políticas de Endpoint Privilege Management na consola do Intune, incluindo relatórios. Esta função inclui os seguintes direitos:
- Exibir relatórios
- Leitura
- Ver pedidos de elevação

Além das funções dedicadas, as seguintes funções incorporadas para Intune também incluem direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final:

Endpoint Security Manager – esta função inclui todos os direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final e Pedidos de Elevação de Privilégios de Ponto Final.
Operador Só de Leitura – esta função inclui os seguintes direitos:
- Exibir relatórios
- Leitura
- Ver pedidos de elevação

Para obter mais informações, veja Controlo de acesso baseado em funções para Microsoft Intune.

Módulo EpmTools do PowerShell

Cada dispositivo que recebe políticas de Endpoint Privilege Management instala o EPM Microsoft Agent para gerir essas políticas. O agente inclui o módulo EpmTools do PowerShell, um conjunto de cmdlets que pode importar para um dispositivo. Pode utilizar os cmdlets do EpmTools para:

Diagnosticar e resolver problemas com a Gestão de Privilégios de Ponto Final.
Obtenha atributos de Ficheiro diretamente a partir de um ficheiro ou aplicação para o qual pretende criar uma regra de deteção.

Instalar o módulo EpmTools do PowerShell

O módulo EPM Tools do PowerShell está disponível a partir de qualquer dispositivo que tenha recebido a política EPM. Para importar o módulo EpmTools do PowerShell:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Seguem-se os cmdlets disponíveis:

Get-Policies: obtém uma lista de todas as políticas recebidas pelo Agente Epm para um determinado PolicyType (ElevationRules, ClientSettings).
Get-DeclaredConfiguration: obtém uma lista de documentos WinDC que identificam as políticas direcionadas para o dispositivo.
Get-DeclaredConfigurationAnalysis: obtém uma lista de documentos WinDC do tipo MSFTPolicies e verifica se a política já está presente no Agente Epm (coluna Processada).
Get-ElevationRules: consulte a funcionalidade de pesquisa EpmAgent e obtenha as regras fornecidas com a pesquisa e o destino. A pesquisa é suportada para FileName e CertificatePayload.
Get-ClientSettings: processe todas as políticas de definições de cliente existentes para apresentar as definições de cliente efetivas utilizadas pelo Agente EPM.
Get-FileAttributes: obtém atributos de ficheiro para um ficheiro de .exe e extrai os respetivos certificados de Publicador e AC para uma localização definida que pode ser utilizada para preencher as Propriedades da Regra de Elevação de uma determinada aplicação.

Para obter mais informações sobre cada cmdlet, reveja o ficheiro readme.txt da pasta EpmTools no dispositivo.

Compartilhar via