Поделиться через


Настройка политик для управления привилегиями конечных точек

Примечание.

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и запуск определенных диагностика Windows.

Endpoint Privilege Management поддерживает путь без доверия, помогая вашей организации достичь широкой базы пользователей с минимальными привилегиями, позволяя пользователям по-прежнему выполнять задачи, разрешенные вашей организацией, чтобы оставаться продуктивными.

Сведения, приведенные в этой статье, помогут вам настроить следующие политики и повторно используемые параметры для EPM:

  • Политика параметров повышения прав Windows.
  • Политика правил повышения прав Windows.
  • Группы повторно используемых параметров, которые являются необязательными конфигурациями для правил повышения прав.

Применимо к:

  • Windows 10
  • Windows 11

Начало работы с политиками EPM

Управление привилегиями конечных точек использует два типа политик, которые настраиваются для управления обработкой запроса на повышение прав файлов. Вместе политики настраивают поведение для повышения прав файлов, когда обычные пользователи запрашивают выполнение с правами администратора.

Прежде чем создавать политики управления привилегиями конечных точек, необходимо лицензировать EPM в клиенте как надстройку Intune. Сведения о лицензировании см. в разделе Использование возможностей надстройки Intune Suite.

О политике параметров повышения прав Windows

Используйте политику параметров повышения прав Windows , если вы хотите:

  • Включите управление привилегиями конечных точек на устройствах. По умолчанию эта политика включает EPM. При первом включении EPM устройство подготавливает компоненты, которые собирают данные об использовании в запросах на повышение прав и применяют правила повышения прав.

    Если на устройстве отключено EPM, клиентские компоненты немедленно отключают. До полного удаления компонента EPM возникает задержка в семь дней. Задержка помогает сократить время, необходимое для восстановления EPM, если устройство случайно отключит EPM или его политика параметров повышения прав не назначена.

  • Ответ на повышение прав по умолчанию . Задайте ответ по умолчанию для запроса на повышение прав для любого файла, который не управляется политикой правила повышения прав Windows. Чтобы этот параметр действовал, для приложения не может существовать правило . Пользователь должен явно запрашивать повышение прав с помощью контекстного меню Запуск с повышенными привилегиями . По умолчанию этот параметр не настроен. Если параметр не доставлен, компоненты EPM возвращаются к встроенному по умолчанию, то есть отклоняют все запросы.

    Варианты:

    • Запретить все запросы . Этот параметр блокирует действие запроса повышения привилегии для файлов, которые не определены в политике правил повышения прав Windows.
    • Требовать подтверждение пользователя . Если требуется подтверждение пользователя, можно выбрать один из вариантов проверки, доступных для политики правил повышения прав Windows.
    • Требовать утверждения поддержки . Если требуется утверждение поддержки, администратор должен утвердить запросы на повышение прав без правила сопоставления, прежде чем требуется повышение прав.

    Примечание.

    Ответы по умолчанию обрабатываются только для запросов, поступающих через меню Выполнить с повышенными правами доступа .

  • Параметры проверки . Задайте параметры проверки, если ответ на повышение прав по умолчанию определен как Требовать подтверждение пользователя.

    Варианты:

    • Бизнес-обоснование . Этот параметр требует, чтобы конечный пользователь предоставил обоснование перед завершением повышения, что облегчается ответом на повышение по умолчанию.
    • проверка подлинности Windows. Этот параметр требует, чтобы пользователь прошел проверку подлинности перед выполнением повышения прав, что облегчается ответом на повышение прав по умолчанию.

    Примечание.

    В соответствии с потребностями организации можно выбрать несколько вариантов проверки. Если параметры не выбраны, пользователь должен только нажать кнопку "Продолжить ", чтобы завершить повышение прав.

  • Отправка данных о повышении прав для создания отчетов . Этот параметр определяет, предоставляет ли устройство общий доступ к данным диагностики и использования корпорации Майкрософт. Если включен общий доступ к данным, тип данных настраивается с помощью параметра Отчеты область.

    Диагностические данные используются корпорацией Майкрософт для измерения работоспособности клиентских компонентов EPM. Данные об использовании используются для отображения повышения прав, происходящих в клиенте. Дополнительные сведения о типах данных и способах их хранения см. в статье Сбор данных и конфиденциальность для Управления привилегиями конечных точек.

    Варианты:

    • Да . Этот параметр отправляет данные в корпорацию Майкрософт на основе параметра Область создания отчетов .
    • Нет — этот параметр не отправляет данные в корпорацию Майкрософт.
  • Область создания отчетов . Этот параметр определяет объем данных, отправляемых в корпорацию Майкрософт, если для отправки данных о повышении прав для отчетов задано значение Да. По умолчанию выбраны диагностические данные и все повышения прав конечных точек .

    Варианты:

    • Диагностические данные и только управляемые повышения прав . Этот параметр отправляет в Корпорацию Майкрософт диагностические данные о работоспособности клиентских компонентов и данные о повышении прав, облегчаемых с помощью Управления привилегиями конечных точек.
    • Диагностические данные и все повышения прав конечных точек . Этот параметр отправляет в корпорацию Майкрософт диагностические данные о работоспособности клиентских компонентов и данные обо всех повышениях прав, происходящих в конечной точке.
    • Только диагностические данные . Этот параметр отправляет в корпорацию Майкрософт только диагностические данные о работоспособности клиентских компонентов.

О политике правил повышения прав Windows

Используйте профили для политики правил повышения прав Windows для управления идентификацией определенных файлов и способом обработки запросов на повышение прав для этих файлов. Каждая политика правил повышения прав Windows включает одно или несколько правил повышения прав. Именно с помощью правил повышения прав вы настраиваете сведения об управляемом файле и требования к повышению его уровня.

Поддерживаются следующие типы файлов:

  • Исполняемые файлы с расширением .exe или .msi .
  • Скрипты PowerShell с расширением .ps1 .

Каждое правило повышения прав указывает EPM, как:

  • Определите файл с помощью:

    • Имя файла (включая расширение). Правило также поддерживает необязательные условия, такие как минимальная версия сборки, название продукта или внутреннее имя. Необязательные условия используются для дальнейшей проверки файла при попытке повышения прав.
    • Сертификат. Сертификаты можно добавлять непосредственно в правило или с помощью группы параметров для повторного использования. Если сертификат используется в правиле, он также должен быть действительным. Рекомендуется использовать повторно используемые группы параметров, так как они могут быть более эффективными и упростить изменение сертификата в будущем. Дополнительные сведения см. в следующем разделе Группы повторно используемых параметров.
  • Проверьте файл:

    • Хэш файла. Для автоматических правил требуется хэш файла. Для правил, подтвержденных пользователем, можно использовать сертификат или хэш файла. В этом случае хэш файла становится необязательным.
    • Сертификат. Если сертификат указан, для проверки сертификата и состояния отзыва используются API Windows.
    • Дополнительные свойства. Все дополнительные свойства, указанные в правилах, должны соответствовать.
  • Настройте тип повышения прав файлов. Тип повышения прав определяет, что происходит при выполнении запроса на повышение прав для файла. По умолчанию для этого параметра задано значение Пользователь подтвержден, что является нашей рекомендацией для повышения.

    • Пользователь подтвердил (рекомендуется). Для подтверждения пользователем повышения прав всегда требуется, чтобы пользователь щелкнул запрос на подтверждение, чтобы запустить файл. Есть дополнительные подтверждения для пользователей, которые можно добавить. Один из них требует, чтобы пользователи прошли проверку подлинности, используя учетные данные своей организации. Другой вариант требует, чтобы пользователь ввел бизнес-обоснование. Хотя текст, введенный для обоснования, относится к пользователю, EPM может собирать и сообщать о нем, когда устройство настроено для передачи данных о повышении прав в рамках политики параметров повышения прав Windows.
    • Автоматический. Автоматическое повышение прав происходит незаметно для пользователя. Нет запроса и нет указания на то, что файл выполняется в контексте с повышенными привилегиями.
    • Поддержка утверждена. Администратор должен утвердить любой запрос на повышение прав, необходимый для поддержки , не имеющий соответствующего правила, прежде чем приложению будет разрешено запускаться с повышенными привилегиями.
  • Управление поведением дочерних процессов. Можно задать поведение повышения прав, которое применяется к любым дочерним процессам, создаваемым процессом с повышенными привилегиями.

    • Требовать повышение уровня правила . Настройте дочерние процессы, чтобы требовать собственное правило, прежде чем этот дочерний процесс сможет выполняться в контексте с повышенными привилегиями.
    • Запретить все — все дочерние процессы запускаются без контекста с повышенными привилегиями.
    • Разрешить дочерним процессам выполняться с повышенными привилегиями . Настройте дочерний процесс так, чтобы он всегда выполнялся с повышенными привилегиями.

Примечание.

Дополнительные сведения о создании строгих правил см. в руководстве по созданию правил повышения прав с помощью Управления привилегиями конечных точек.

Вы также можете использовать Get-FileAttributes командлет PowerShell из модуля PowerShell EpmTools. Этот командлет может получить атрибуты файла для файла .exe и извлечь его сертификаты издателя и ЦС в заданное расположение, которое можно использовать для заполнения свойств правила повышения прав для конкретного приложения.

Предостережение

Мы рекомендуем использовать автоматическое повышение прав только для критически важных для бизнеса доверенных файлов. Конечные пользователи автоматически повышают уровень этих приложений при каждом запуске этого приложения.

Группа повторно используемых параметров

Endpoint Privilege Management поддерживает использование повторно используемых групп параметров для управления сертификатами вместо добавления этого сертификата непосредственно в правило повышения прав. Как и все группы повторно используемых параметров для Intune, конфигурации и изменения, внесенные в группу повторно используемых параметров, автоматически передаются политикам, которые ссылаются на группу. Рекомендуется использовать группу параметров для повторного использования, если вы планируете использовать один и тот же сертификат для проверки файлов в нескольких правилах повышения прав. Использование групп повторно используемых параметров более эффективно при использовании одного сертификата в нескольких правилах повышения прав:

  • Сертификаты, добавляемые непосредственно в правило повышения прав. Каждый сертификат, добавленный непосредственно в правило, отправляется в качестве уникального экземпляра Intune, а затем этот экземпляр сертификата связывается с этим правилом. При добавлении одного и того же сертификата непосредственно в два отдельных правила он будет отправлен дважды. Позже, если потребуется изменить сертификат, необходимо изменить каждое отдельное правило, содержащее его. При каждом изменении правила Intune отправляет обновленный сертификат один раз для каждого правила.
  • Сертификаты, которыми вы управляете с помощью группы параметров с возможностью повторного использования. Каждый раз, когда сертификат добавляется в группу повторно используемых параметров, Intune отправляет сертификат один раз независимо от того, сколько правил повышения прав включает эту группу. Затем этот экземпляр сертификата связывается с файлом из каждого правила, использующего группу. Позже любые изменения в сертификате можно будет внести один раз в группу повторно используемых параметров. Это изменение приводит к Intune отправке обновленного файла один раз и последующему применению этого изменения к каждому правилу повышения прав, которое ссылается на группу.

Политика параметров повышения прав Windows

Чтобы настроить следующие параметры на устройствах, разверните политику параметров повышения прав Windows для пользователей или устройств:

  • Включите управление привилегиями конечных точек на устройстве.
  • Задайте правила по умолчанию для запросов на повышение прав для любого файла, который не управляется правилом повышения прав конечной точки Privilege Management на этом устройстве.
  • Настройте сведения, которые EPM передает обратно Intune.

Устройство должно иметь политику параметров повышения прав, которая включает поддержку EPM, прежде чем устройство сможет обрабатывать политику правил повышения прав или управлять запросами на повышение прав. Если поддержка включена, C:\Program Files\Microsoft EPM Agent папка добавляется на устройство вместе с агентом Microsoft EPM, который отвечает за обработку политик EPM.

Создание политики параметров повышения прав Windows

  1. Войдите в центр администрирования Microsoft Intune и перейдите в раздел Управление привилегиями >для безопасности>конечных точек, перейдите на вкладку > Политики, а затем выберите Создать политику. Задайте для параметра Платформазначение Windows, для параметра ProfileWindows повышение прав, а затем нажмите кнопку Создать.

  2. В разделе Основные сведения введите следующие свойства:

    • Имя. Введите описательное имя для профиля. Именуйте профили, чтобы их можно было легко идентифицировать позже.
    • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.
  3. В разделе Параметры конфигурации настройте следующие параметры, чтобы определить поведение по умолчанию для запросов на повышение прав на устройстве:

    Изображение страницы конфигурации параметров оценки.

    • Управление привилегиями конечных точек: задайте значение Включено (по умолчанию). Если этот параметр включен, устройство использует управление привилегиями конечных точек. Если задано значение Отключено, устройство не использует управление привилегиями конечных точек и немедленно отключает EPM, если он был включен ранее. Через семь дней устройство отменит подготовку компонентов для управления привилегиями конечных точек.

    • Ответ на повышение прав по умолчанию. Настройте, как это устройство управляет запросами на повышение прав для файлов, которые не управляются правилом напрямую.

      • Не настроено. Этот параметр работает так же, как и Запретить все запросы.
      • Запретить все запросы. EPM не упрощает повышение прав файлов, и пользователю отображается всплывающее окно со сведениями об отказе. Эта конфигурация не запрещает пользователям с административными разрешениями использовать запуск от имени администратора для запуска неуправляемых файлов.
      • Требовать утверждения поддержки. Это поведение предписывает EPM запрашивать у пользователя запрос на отправку утвержденного запроса на поддержку.
      • Требовать подтверждение пользователя. Пользователь получает простой запрос на подтверждение своего намерения запустить файл. Вы также можете потребовать дополнительные запросы, доступные в раскрывающемся списке Проверка :
        • Бизнес-обоснование. Требуется, чтобы пользователь ввел обоснование для запуска файла. Для этого обоснования не требуется формат. Входные данные пользователя сохраняются и могут быть проверены через журналы, если область отчетов включает коллекцию повышения прав конечных точек.
        • проверка подлинности Windows. Этот параметр требует, чтобы пользователь прошел проверку подлинности с помощью учетных данных организации.
    • Отправка данных о повышении прав для отчетов. По умолчанию это поведение имеет значение Да. Если задано значение "Да", можно настроить область отчетов. Если задано значение Нет, устройство не сообщает диагностические данные или сведения о повышении прав файлов в Intune.

    • Отчеты область. Выберите тип информации, отчитываемой устройством для Intune:

      • Диагностические данные и все повышения прав конечных точек (по умолчанию). Устройство сообщает диагностические данные и сведения обо всех повышениях прав файлов, которые упрощает EPM.

        Этот уровень информации поможет вам определить другие файлы, которые еще не управляются правилом повышения прав, которое пользователи стремятся запустить в контексте с повышенными привилегиями.

      • Диагностические данные и только управляемые повышения прав. Устройство сообщает диагностические данные и сведения о повышении прав файлов только для тех файлов, которые управляются политикой правила повышения прав. Запросы файлов для неуправляемых файлов и файлов с повышенными привилегиями в windows по умолчанию запуска от имени администратора не передаются как управляемые повышения прав.

      • Только диагностические данные. Собираются только диагностические данные для работы управления привилегиями конечных точек. Сведения о повышении прав файлов не передаются Intune.

    Затем нажмите кнопку Далее, чтобы продолжить.

  4. На странице Теги области выберите нужные теги области для применения, а затем выберите Далее.

  5. В поле Назначения выберите группы, которые получают политику. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. Нажмите кнопку Далее.

  6. В разделе Просмотр и создание просмотрите параметры и нажмите кнопку Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке политик.

Политика правил повышения прав Windows

Разверните политику правил повышения прав Windows для пользователей или устройств, чтобы развернуть одно или несколько правил для файлов, управляемых для повышения привилегий конечных точек. Каждое правило, добавляемое в эту политику:

  • Определяет файл, для которого требуется управлять запросами на повышение прав.
  • Может включать сертификат для проверки целостности этого файла перед запуском. Вы также можете добавить группу с возможностью повторного использования, содержащую сертификат, который затем используется с одним или несколькими правилами или политиками.
  • Указывает, является ли тип повышения прав файла автоматическим (автоматическим) или требует подтверждения пользователем. С помощью подтверждения пользователя можно добавить дополнительные действия пользователя, которые необходимо выполнить перед запуском файла. В дополнение к этой политике устройству также должна быть назначена политика параметров повышения прав Windows, которая включает управление привилегиями конечных точек.

Используйте один из следующих методов для создания новых правил повышения прав, которые добавляются в политику правил повышения прав:

  • Автоматическая настройка правил повышения прав. Используйте этот метод, чтобы сэкономить время при создании правила повышения прав путем автоматического заполнения сведений об обнаружении файлов, которые уже были собраны Intune. Сведения о файле определяются Intune из отчета о повышении прав или из записи утвержденных запросов на повышение прав поддержки.

    С помощью этого метода вы:

    • Выберите файл, для которого требуется создать правило повышения прав, из отчета о повышении прав или поддержки утвержденного запроса на повышение прав.
    • Добавьте новое правило повышения прав в существующую политику правил повышения прав или создайте новую политику правил повышения прав, включающую новое правило.
      • При добавлении в существующую политику новое правило сразу же становится доступным для назначенных политик групп.
      • При создании новой политики необходимо изменить ее, чтобы назначить группы, прежде чем она станет доступной для использования.
  • Настройка правил повышения прав вручную . Этот метод требует, чтобы вы определили сведения о файлах, которые вы хотите использовать для обнаружения, и вручную ввести их в рамках рабочего процесса создания правила. Сведения о критериях обнаружения см. в разделе Определение правил для использования с управлением привилегиями конечных точек.

    С помощью этого метода вы:

    • Вручную определите сведения о файлах для использования, а затем добавьте их в правило повышения прав для идентификации файлов.
    • Настройте все аспекты политики во время создания политики, включая назначение политики группам для использования.

Автоматическая настройка правил повышения прав для политики правил повышения прав Windows

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Endpoint Security>Endpoint Privilege Management. Чтобы выбрать файл для правила повышения прав, выберите один из следующих начальных путей:

    Начните с отчета:

    1. Перейдите на вкладку Отчеты , а затем плитку Отчет о повышении прав . Найдите файл, для которого нужно создать правило, в столбце Файл .
    2. Выберите связанное имя файла, чтобы открыть область сведений о повышении прав файлов.

    Начните с утвержденного запроса на повышение уровня поддержки:

    1. Перейдите на вкладку Запрос на повышение прав .

    2. В столбце Файл выберите файл, который требуется использовать для правила повышения прав. Откроется область сведений о повышении прав файлов.

      Состояние запроса на повышение прав не имеет значения. Можно использовать ожидающий запрос или запрос, который ранее был утвержден или отклонен.

  2. На панели Сведения о повышении прав просмотрите сведения о файле. Эти сведения используются правилом повышения прав для идентификации правильного файла. Когда все будет готово, выберите Создать правило с этими сведениями о файлах.

    Изображение из пользовательского интерфейса Центра администрирования файла, выбранного в отчете Повышение прав.

  3. Выберите параметр политики для создаваемого правила повышения прав:

    Создайте новую политику:
    Этот параметр создает новую политику, которая включает правило повышения прав для выбранного файла.

    1. Для правила настройте поведение типов и дочерних процессов, а затем нажмите кнопку ОК, чтобы создать политику.
    2. При появлении запроса укажите имя политики для новой политики и подтвердите создание новой и неназначаемой политики правил повышения прав.
    3. После создания политики можно изменить политику, назначив ее, и при необходимости добавить дополнительные конфигурации.

    Добавьте в существующую политику:
    С помощью этого параметра используйте раскрывающийся список и выберите существующую политику повышения прав, к которой добавляется новое правило повышения прав.

    1. Для правила настройте поведение типа повышения прав и поведения дочернего процесса, а затем нажмите кнопку ОК. Политика обновляется новым правилом.
    2. После добавления правила в политику можно изменить политику, чтобы получить доступ к правилу, а затем изменить его, чтобы при необходимости сделать дополнительные конфигурации.

    Требуется тот же путь к файлу, что и для этого повышения прав:
    Если установить этот флажок, в поле Путь к файлу в правиле задается путь к файлу, как показано в отчете. Если флажок не установлен, путь остается пустым.

    Изображение из пользовательского интерфейса Центра администрирования области создания правила.

Настройка правил повышения прав вручную для политики правил повышения прав Windows

  1. Войдите в центр администрирования Microsoft Intune и перейдите в раздел Управление привилегиями >для безопасности>конечных точек, перейдите на вкладку > Политики, а затем выберите Создать политику. Задайте для параметра Платформа значение Windows, для параметра Профилированиеправила повышения прав Windows, а затем нажмите кнопку Создать.

  2. В разделе Основные сведения введите следующие свойства:

    • Имя. Введите описательное имя для профиля. Именуйте профили, чтобы их можно было легко идентифицировать позже.
    • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.
  3. В разделе Параметры конфигурации добавьте правило для каждого файла, которым управляет эта политика. Когда вы создаете новую политику, она начинается с пустым правилом с типом повышения прав пользователя, подтвержденным пользователем, и без имени правила. Начните с настройки этого правила, а затем вы можете нажать кнопку Добавить , чтобы добавить дополнительные правила в эту политику. Каждое новое добавляемое правило имеет тип повышения прав пользователя, который можно изменить при настройке правила.

    Изображение из пользовательского интерфейса Центра администрирования новой политики правил повышения прав.

    Чтобы настроить правило, выберите Изменить экземпляр , чтобы открыть страницу свойств правила, а затем настройте следующие параметры:

    Изображение свойств правил повышения прав.

    • Имя правила. Укажите описательное имя правила. Присвойте правилам имя, чтобы их можно было легко определить позже.
    • Описание (необязательно). Введите описание профиля.

    Условия повышения прав — это условия, определяющие, как выполняется файл, и проверки пользователей, которые должны быть выполнены, прежде чем файл, к которому применяется это правило, можно будет запустить.

    • Тип повышения прав. По умолчанию для этого параметра задано значение Пользователь подтверждено, что является типом повышения прав, который рекомендуется для большинства файлов.

      • Пользователь подтвердил: рекомендуется использовать этот параметр для большинства правил. При запуске файла пользователь получает простой запрос на подтверждение намерения запустить файл. Правило также может включать другие запросы, доступные в раскрывающемся списке Проверка :

        • Бизнес-обоснование. Требуется, чтобы пользователь ввел обоснование для запуска файла. Для записи не требуется формат. Входные данные пользователя сохраняются и могут быть проверены через журналы, если область отчетов содержит коллекцию повышения прав конечных точек.
        • проверка подлинности Windows. Этот параметр требует, чтобы пользователь прошел проверку подлинности с помощью учетных данных организации.
      • Автоматически. Этот тип повышения прав автоматически запускает рассматриваемый файл с повышенными разрешениями. Автоматическое повышение прав является прозрачным для пользователя, без запроса на подтверждение или необходимости обоснования или проверки подлинности со стороны пользователя.

        Предостережение

        Используйте автоматическое повышение прав только для файлов, которым вы доверяете. Эти файлы будут автоматически повышаться без вмешательства пользователя. Правила, которые не определены правильно, могут позволить неутвержденным приложениям повысить уровень. Дополнительные сведения о создании строгих правил см. в руководстве по созданию правил.

      • Поддержка утверждена. Для этого типа повышения прав администратор должен утвердить запрос до того, как будет разрешено выполнить повышение прав. Дополнительные сведения см. в разделе Поддержка утвержденных запросов на повышение прав.

        Важно!

        Использование поддержки утвержденного повышения прав для файлов требует, чтобы администраторы с дополнительными разрешениями проверяли и утверждали каждый запрос на повышение прав файлов перед этим файлом на устройстве с разрешениями администратора. Сведения об использовании утвержденного типа повышения прав поддержки см. в разделе Поддержка утвержденных повышений прав файлов для Управления привилегиями конечных точек.

    • Поведение дочернего процесса. По умолчанию этот параметр имеет значение Требовать повышение уровня правила, что требует, чтобы дочерний процесс соответствовал тому же правилу, что и процесс, который его создает. Другие доступные варианты:

      • Разрешить запуск всех дочерних процессов с повышенными привилегиями. Этот параметр следует использовать с осторожностью, так как он позволяет приложениям создавать дочерние процессы безоговорочно.
      • Запретить все. Эта конфигурация предотвращает создание любого дочернего процесса.

    Сведения о файле — это место, где указываются сведения, определяющие файл, к которому применяется это правило.

    • Имя файла: укажите имя файла и его расширение. Пример: myapplication.exe

    • Путь к файлу (необязательно): укажите расположение файла. Если файл можно запустить из любого расположения или он неизвестен, его можно оставить пустым. Можно также использовать переменную.

    • Источник подписи. Выберите один из следующих вариантов:

      • Использование файла сертификата в параметрах для повторного использования (по умолчанию). Этот параметр использует файл сертификата, добавленный в группу повторно используемых параметров для управления привилегиями конечных точек. Прежде чем использовать этот параметр, необходимо создать группу параметров для повторного использования.

        Чтобы определить сертификат, выберите Добавить или удалить сертификат, а затем выберите группу для повторного использования, содержащую правильный сертификат. Затем укажите тип сертификатаиздателя или центра сертификации.

      • Отправка файла сертификата. Добавьте файл сертификата непосредственно в правило повышения прав. В поле Отправка файла укажите файл .cer , который может проверить целостность файла, к которому применяется это правило. Затем укажите тип сертификатаиздателя или центра сертификации.

      • Не настроено. Используйте этот параметр, если вы не хотите использовать сертификат для проверки целостности файла. Если сертификат не используется, необходимо указать хэш файла.

    • Хэш файлов. Хэш файла является обязательным, если для источника подписи задано значение Не настроено, и необязательный, если задано значение для использования сертификата.

    • Минимальная версия: (необязательно) Используйте формат x.x.x.x, чтобы указать минимальную версию файла, поддерживаемую этим правилом.

    • Описание файла: (необязательно) Укажите описание файла.

    • Название продукта: (необязательно) Укажите имя продукта, из файла.

    • Внутреннее имя: (необязательно) Укажите внутреннее имя файла.

    Нажмите кнопку Сохранить , чтобы сохранить конфигурацию правила. Затем можно добавить дополнительные правила. После добавления всех правил, необходимых для этой политики, нажмите кнопку Далее , чтобы продолжить.

  4. На странице Теги области выберите нужные теги области для применения, а затем выберите Далее.

  5. В поле Назначения выберите группы, которые получают политику. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. Нажмите кнопку Далее.

  6. В разделе Просмотр и создание просмотрите параметры и нажмите кнопку Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке политик.

Группы параметров для повторного использования

Управление привилегиями конечных точек использует многократно используемые группы параметров для управления сертификатами, которые проверяют файлы, которыми вы управляете, с помощью правил повышения прав управления привилегиями конечных точек. Как и все группы повторно используемых параметров для Intune, изменения в многократно используемых группах автоматически передаются политикам, которые ссылаются на группу. Если необходимо обновить сертификат, используемый для проверки файла, необходимо обновить его только в группе повторно используемых параметров один раз. Intune применяет обновленный сертификат ко всем правилам повышения прав, которые используют такую группу.

Чтобы создать группу повторно используемых параметров для управления привилегиями конечных точек, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Безопасность конечных точек>Управление привилегиями> конечных точек, перейдите на вкладку >Повторно используемые параметры (предварительная версия) и нажмите кнопку Добавить.

    Снимок экрана пользовательского интерфейса для добавления группы повторно используемых параметров.

  2. В разделе Основные сведения введите следующие свойства:

    • Имя. Введите описательное имя для многократно используемой группы. Именуйте группы, чтобы можно было легко идентифицировать каждую из них позже.
    • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.
  3. В разделе Параметры конфигурации выберите значок папки для файла сертификата и перейдите к . CER-файл , чтобы добавить его в эту многократноиспользуемую группу. Поле Базовое значение 64 заполняется в зависимости от выбранного сертификата.

    Снимок экрана пользовательского интерфейса для просмотра сертификата.

  4. В разделе Просмотр и создание просмотрите параметры и нажмите кнопку Добавить. При нажатии кнопки Добавить конфигурация сохраняется, а затем группа отображается в списке групп повторно используемых параметров для управления привилегиями конечных точек.

Обработка конфликтов политик для управления привилегиями конечных точек

За исключением следующей ситуации, конфликтующие политики для EPM обрабатываются так же, как и любой другой конфликт политик.

Политика параметров повышения прав Windows:

Когда устройство получает две отдельные политики параметров повышения прав с конфликтующими значениями, клиент EPM возвращается к поведению клиента по умолчанию до тех пор, пока конфликт не будет разрешен.

Примечание.

Если параметр Включить управление привилегиями конечных точек находится в конфликте, по умолчанию клиент будет включать EPM. Это означает, что клиентские компоненты будут продолжать работать до тех пор, пока на устройство не будет доставлено явное значение.

Политика правил повышения прав Windows:

Если устройство получает два правила, предназначенные для одного приложения, оба правила используются на устройстве. Когда EPM отправляется для разрешения правил, которые применяются к повышению прав, он использует следующую логику:

  • Правила, развернутые для пользователя, имеют приоритет над правилами, развернутыми на устройстве.
  • Правила с определенным хэшом всегда считаются наиболее конкретным правилом.
  • Если применяется несколько правил (без определения хэша), выигрывает правило с наиболее определенными атрибутами (наиболее конкретным).
  • Если применение логики выполнения приводит к возникновению нескольких правил, поведение повышения прав определяется следующим порядком: "Подтверждено пользователем", "Поддержка утверждена" и "Автоматически".

Примечание.

Если правило для повышения прав не существует и это повышение было запрошено через контекстное меню Выполнить с повышенным уровнем доступа , то будет использоваться поведение повышения прав .

Дальнейшие действия