Поделиться через


Рекомендации по развертыванию и часто задаваемые вопросы о Службе управления привилегиями конечных точек

Примечание.

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и запуск определенных диагностика Windows.

Endpoint Privilege Management поддерживает путь без доверия, помогая вашей организации достичь широкой базы пользователей с минимальными привилегиями, позволяя пользователям по-прежнему выполнять задачи, разрешенные вашей организацией, чтобы оставаться продуктивными.

В следующих разделах этой статьи рассматриваются рекомендации по развертыванию и часто задаваемые вопросы по EPM.

Применимо к:

  • Windows 10
  • Windows 11

Рекомендации по развертыванию для управления привилегиями конечных точек

Windows 10 устройства могут не сразу получить подтверждение об утверждении поддержки

Мы работаем над решением нескольких сценариев, которые не позволяют Windows 10 устройствам автоматически получать уведомление о том, что новое утверждение готово для устройства при использовании утвержденных повышений. Мы работаем с владельцем, чтобы решить эту проблему как можно быстрее.

Организация, которая отключает контроль учетных записей (UAC), может столкнуться с проблемами с управлением привилегиями конечных точек

Управление привилегиями конечных точек не поддерживает явное отключение контроля учетных записей. Элементы управления политикой Windows для поведения запросов UAC существуют для управления поведением UAC. Если организации принимают дополнительные меры по отключению контроля учетных записей за пределами существующих элементов управления политикой, например отключение служб Windows, они могут столкнуться с проблемами с управлением привилегиями конечных точек.

Организации, включиющие защиту администратора, могут столкнуться с проблемами с управлением привилегиями конечных точек

Защита администратора в настоящее время не поддерживает повышение прав, инициированных из управления привилегиями конечных точек. Если организации включили защиту администратора на устройствах, где обычные пользователи используют EPM для обработки повышения прав, повышение прав будет завершатся ошибкой. Мы работаем над решением этой проблемы в будущем выпуске.

В организациях, использующих Управление приложениями для бизнеса, могут возникнуть проблемы с управлением привилегиями конечных точек

Политики управления приложениями для бизнеса, которые не учитывают клиентские компоненты EPM, могут помешать работе компонентов EPM. Чтобы использовать EPM с AppControl, убедитесь, что политика управления приложениями содержит правила, позволяющие EPM работать. Дополнительные сведения об устранении неполадок с управлением приложениями см. в разделе Отладка и устранение неполадок WDAC.

Примечание.

EPM не входит в политики по умолчанию для управления приложениями и может потребовать создания пользовательских политик.

Организации, ограничивающие пользователей, которые могут входить в систему в интерактивном режиме, могут столкнуться с проблемами с управлением привилегиями конечных точек

Управление привилегиями конечных точек использует изолированную учетную запись для упрощения повышения прав. Для этой учетной записи требуется возможность создания интерактивного сеанса входа. Организациям, которые ограничивают возможность создания интерактивных сеансов пользователями, необходимо внести изменения для правильной работы EPM.

Пользователи, запрашивающие утверждение поддержки для повышения прав, должны быть основными пользователями на устройстве

В настоящее время управление привилегиями конечных точек требует, чтобы пользователь, запрашивающий повышение прав, был основным пользователем устройства. Мы работаем над тем, чтобы удалить это ограничение в будущем выпуске.

Создание файлов с именем файла в качестве одного из единственных атрибутов для идентификации

Имя файла — это атрибут, который можно использовать для обнаружения приложения, которому требуется повысить уровень. Однако он не защищен сигнатурой файла.

Имена файлов очень восприимчивы к изменению, и файлы, подписанные сертификатом, которому вы доверяете, могут изменить их имя, чтобы обнаружить и впоследствии повысить уровень , что может не быть вашим предполагаемым поведением.

Важно!

Всегда убедитесь, что правила, включая имя файла, включают другие атрибуты, которые обеспечивают строгое утверждение удостоверения файла. Такие атрибуты, как хэш файла или свойства, включенные в сигнатуру файлов, являются хорошими индикаторами того, что файл, который вы планируете, скорее всего, имеет повышенный уровень.

Политики параметров повышения прав могут отображать конфликт при быстром изменении последовательности

Конечная точка Privilege Management сообщает о состоянии отдельных параметров, примененных с помощью профиля параметров повышения прав . Если параметры в этом профиле (например, поведение повышения прав по умолчанию) изменяются несколько раз с быстрой последовательности, это может привести к конфликту отчетов устройства или возврату к поведению по умолчанию Запрет повышения прав. Это временное состояние, которое разрешается без дальнейших действий (менее чем за 60 минут). Эта проблема будет устранена в следующем выпуске.

Не удается повысить уровень заблокированных файлов, скачанных из Интернета

В Windows существует поведение, позволяющее задать атрибут для файлов, скачанных непосредственно из Интернета, и предотвратить их выполнение до проверки. Windows предоставляет функциональные возможности для проверки репутации файлов, скачанных из Интернета. Если репутация файлов не проверяется, это может привести к сбою повышения.

Чтобы исправить это поведение, разблокируйте файл, разблокируя файл из области свойств файла. Разблокировка файла должна выполняться только в том случае, если вы доверяете файлу.

Устройства Windows, присоединенные к рабочему месту, не могут включить управление привилегиями конечных точек

Устройства, присоединенные к рабочему месту, не поддерживаются управлением привилегиями конечных точек. При развертывании на устройстве эти устройства не будут отображаться успешно или обработать политики EPM (параметры повышения прав или правила повышения прав).

Правила для сетевого файла могут не повысить уровень

Endpoint Privilege Management поддерживает выполнение файлов, которые хранятся локально на диске. Выполнение файлов из сетевого расположения, например из сетевой папки или сопоставленного диска, не поддерживается.

Управление привилегиями конечных точек не получает политику при использовании проверки SSL в сетевой инфраструктуре

Endpoint Privilege Management не поддерживает проверку SSL, которая называется "прерывание и проверка". Чтобы использовать управление привилегиями конечных точек, убедитесь, что URL-адреса, перечисленные в Intune Конечные точки для управления привилегиями конечных точек, исключены из проверки.

Вопросы и ответы

Почему мое виртуальное устройство не подключено к Endpoint Privilege Management?

В настоящее время управление привилегиями конечных точек не поддерживается с Виртуальным рабочим столом Azure. Эта проблема будет исправлена в следующем выпуске.

Поддержка Windows 365 (облачных компьютеров) была добавлена в сентябре 2023 г.

Почему политика параметров повышения прав отображает ошибку или неприменимо?

Политика параметров повышения прав управляет включением EPM и конфигурацией клиентских компонентов. Если эта политика содержит ошибку или не применяется, это означает, что на устройстве возникла проблема с включением EPM. Две наиболее распространенные причины — отсутствие необходимых обновлений Windows или сбой связи с необходимыми Intune конечными точками для управления привилегиями конечных точек.

Что происходит, когда пользователь с правами администратора использует устройство, которое включено для EPM?

Endpoint Privilege Management не управляет запросами на повышение прав пользователей, имеющих административные разрешения на устройстве. Могут быть случаи, когда администратор запускает файл с правилом повышения прав (в частности, правилом автоматического повышения прав), определенным на устройстве. Это приложение запускается так же, как это обычно делает для администратора, и EPM создает событие для неуправляемого повышения прав.

Какие файлы могут быть повышены до уровня администратора?

Endpoint Privilege Management поддерживает исполняемые файлы, включая файлы с расширением .msi и .ps1 скриптами PowerShell.

Почему в пунктах меню "Пуск" не отображается сообщение "Запуск с повышенными привилегиями"?

Некоторые элементы, которые находятся в меню "Пуск" или на панели задач, имеют проверенное меню правой кнопкой мыши, и контекстное меню EPM не может быть добавлено в эти меню. Мы планируем устранить эту проблему в будущем выпуске.

Можно ли запустить несколько файлов с повышенными привилегиями с помощью контекстного меню "Запуск с повышенными привилегиями"?

Одновременно можно повысить уровень только одного файла. Чтобы запустить несколько файлов с повышенными привилегиями, щелкните правой кнопкой мыши каждый файл по отдельности и выберите Запустить с повышенным доступом.

Дальнейшие действия