配置 Endpoint Privilege Management 的策略
注意
此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能。
使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限,并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (例如Microsoft 365 应用程序) 、更新设备驱动程序以及运行某些 Windows 诊断。
Endpoint Privilege Management 通过帮助组织实现以最低特权运行的广泛用户群,同时允许用户仍运行组织允许的任务来保持高效,从而支持零信任旅程。
本文中的信息可帮助你为 EPM 配置以下策略和可重用设置:
- Windows 提升设置策略。
- Windows 提升规则策略。
- 可重用设置组,它们是提升规则的可选配置。
应用于:
- Windows 10
- Windows 11
EPM 策略入门
Endpoint Privilege Management 使用配置两种策略类型来管理文件提升请求的处理方式。 当标准用户请求 使用管理特权运行时,这些策略共同配置文件提升的行为。
在创建终结点特权管理策略之前,必须在租户中将 EPM 许可为Intune加载项。 有关许可信息,请参阅使用 Intune Suite 加载项功能。
关于 Windows 提升设置策略
需要以下情况时,请使用 Windows 提升设置策略 :
在设备上启用终结点特权管理 。 默认情况下,此策略启用 EPM。 首次启用 EPM 时,设备将预配用于收集提升请求的使用情况数据和强制实施提升规则的组件。
如果设备禁用了 EPM,客户端组件会立即禁用。 在完全删除 EPM 组件之前,有 7 天的延迟。 如果设备意外禁用了 EPM 或取消分配其提升设置策略,则延迟有助于减少还原 EPM 所需的时间。
默认提升响应 - 为不受 Windows 提升规则策略管理的任何文件的提升请求设置默认响应。 若要使此设置生效,应用程序不能存在任何规则,并且最终用户必须通过提升的访问权限右键单击菜单通过“运行”显式请求提升。 默认情况下,未配置此选项。 如果未传递任何设置,EPM 组件将回退到其内置默认值,即 拒绝所有请求。
选项包括:
- 拒绝所有请求 - 此选项阻止未在 Windows 提升规则策略中定义的文件的 提升请求 操作。
- 需要用户确认 - 需要用户确认时,可以从 Windows 提升规则策略找到的相同验证选项中进行选择。
- 需要支持批准 - 需要支持审批时,管理员必须在需要提升之前批准没有匹配规则的提升请求。
注意
仅针对通过 权限提升的“运行 ”右键单击菜单的请求处理默认响应。
验证选项 - 将默认提升响应定义为 “需要用户确认”时设置验证选项。
选项包括:
- 业务理由 - 此选项要求最终用户在完成默认提升响应促进的提升之前提供理由。
- Windows 身份验证 - 此选项要求最终用户在完成默认提升响应促进的提升之前进行身份验证。
注意
可以选择多个验证选项来满足组织的需求。 如果未选择任何选项,则用户只需单击“ 继续 ”即可完成提升。
发送用于报告的提升数据 - 此设置控制设备是否与Microsoft共享诊断和使用情况数据。 启用共享数据后,数据的类型由 报告范围 设置配置。
Microsoft使用诊断数据来测量 EPM 客户端组件的运行状况。 使用情况数据用于显示租户中发生的提升。 有关数据类型及其存储方式的详细信息,请参阅 Endpoint Privilege Management 的数据收集和隐私。
选项包括:
- 是 - 此选项根据 “报告范围 ”设置将数据发送到 Microsoft。
- 否 - 此选项不会将数据发送到Microsoft。
报告范围 - 当“发送报表的 提升 数据”设置为“ 是”时,此设置控制发送到Microsoft的数据量。 默认情况下,选择 诊断数据和所有终结点提升 。
选项包括:
- 仅诊断数据和托管提升 - 此选项向Microsoft发送有关客户端组件运行状况的诊断数据 ,以及 终结点特权管理正在促进的提升数据。
- 诊断数据和所有终结点提升 - 此选项向Microsoft发送有关客户端组件运行状况的诊断数据 ,以及 有关终结点上发生 的所有 提升的数据。
- 仅限诊断数据 - 此选项仅将诊断数据发送到有关客户端组件的运行状况的Microsoft。
关于 Windows 提升规则策略
使用 Windows 提升规则策略 的配置文件来管理特定文件的标识以及如何处理这些文件的提升请求。 每个 Windows 提升规则策略 包括一个或多个 提升规则。 它与提升规则一起配置有关所管理文件的详细信息以及提升该文件的要求。
支持以下类型的文件:
- 扩展名为 或
.msi的.exe可执行文件。 - 具有 扩展的
.ps1PowerShell 脚本。
每个提升规则都指示 EPM 如何:
使用以下方法标识文件:
- 文件名 (包括扩展名) 。 该规则还支持可选条件,例如最低生成版本、产品名称或内部名称。 可选条件用于在尝试提升时进一步验证文件。
- 证书。 可以直接将证书添加到规则,也可以使用可重用的设置组。 在规则中使用证书时,它还需要有效。 建议使用可重用设置组,因为它们可以提高效率并简化将来对证书的更改。 有关详细信息,请参阅下一节 可重用设置组。
验证文件:
- 文件哈希。 自动规则需要文件哈希。 对于用户确认的规则,可以选择使用证书或文件哈希,在这种情况下,文件哈希变为可选。
- 证书。 如果提供了证书,则 Windows API 用于验证证书和吊销状态。
- 其他属性。 规则中指定的任何其他属性都必须匹配。
配置文件提升类型。 提升类型标识对文件发出提升请求时发生的情况。 默认情况下,此选项设置为 “用户确认”,这是我们针对提升的建议。
- 用户确认 (建议) :用户确认提升始终要求用户单击确认提示以运行文件。 可以添加更多用户确认。 其中一个要求用户使用其组织凭据进行身份验证。 另一个选项要求用户输入业务理由。 虽然输入的理由的文本由用户决定,但当设备配置为在其 Windows 提升设置策略中报告高程数据时,EPM 可以收集和报告它。
- 自动:自动提升对用户不可见。 没有提示,也没有指示文件正在提升的上下文中运行。
- 支持已批准:在允许应用程序使用提升的权限运行之前,管理员必须批准任何没有匹配规则 的支持要求提升请求 。
管理子进程的行为。 可以设置适用于提升进程创建的任何子进程的提升行为。
- 需要提升规则 - 将子进程配置为在提升的上下文中运行之前需要自己的规则。
- 全部拒绝 - 所有子进程在没有提升的上下文的情况下启动。
- 允许子进程以提升方式运行 - 将子进程配置为始终以提升方式运行。
注意
有关创建 强规则的详细信息,请参阅使用 Endpoint Privilege Management 创建提升规则的指南。
还可以使用 Get-FileAttributesEpmTools PowerShell 模块中的 PowerShell cmdlet。 此 cmdlet 可以检索 .exe 文件的文件属性,并将其发布服务器和 CA 证书提取到可用于填充特定应用程序的提升规则属性的设置位置。
警告
建议谨慎使用自动提升,并且仅适用于业务关键型的受信任文件。 最终用户将在 每次 启动该应用程序时自动提升这些应用程序。
可重用设置组
Endpoint Privilege Management 支持使用可重用的设置组来管理证书,以取代将证书直接添加到提升规则。 与Intune的所有可重用设置组一样,对可重用设置组所做的配置和更改会自动传递给引用该组的策略。 如果计划使用相同的证书来验证多个提升规则中的文件,建议使用可重用设置组。 在多个提升规则中使用同一证书时,可重用设置组的使用效率更高:
- 直接添加到提升规则的证书:Intune将直接添加到规则的每个证书作为唯一实例上传,然后该证书实例与该规则相关联。 将同一证书直接添加到两个单独的规则会导致上传两次。 以后,如果必须更改证书,则必须编辑包含该证书的每个单独规则。 每次更改规则后,Intune为每个规则上传一次更新的证书。
- 通过可重用设置组管理的证书:每次将证书添加到可重用设置组时,Intune一次上传证书,无论该组包含多少个提升规则。 然后,该证书实例与使用该组的每个规则中的文件相关联。 稍后,对证书所做的任何更改都可以在可重用设置组中进行一次。 此更改会导致Intune上传更新的文件一次,然后将该更改应用于引用该组的每个提升规则。
Windows 提升设置策略
若要在设备上配置以下选项,请将 Windows 提升设置策略 部署到用户或设备:
- 在设备上启用终结点特权管理。
- 为设备上未由 Endpoint Privilege Management 提升规则管理的任何文件设置提升请求的默认规则。
- 配置 EPM 向Intune报告的信息。
设备必须具有支持 EPM 的提升设置策略,设备才能处理提升规则策略或管理提升请求。 启用支持后,文件夹 C:\Program Files\Microsoft EPM Agent 将连同负责处理 EPM 策略的 EPM Microsoft 代理一起添加到设备。
创建 Windows 提升设置策略
登录到Microsoft Intune管理中心,转到“终结点安全>终结点特权管理>”,选择“策略”选项卡>,然后选择“创建策略”。 将“平台”设置为“Windows”,将“配置文件”设置为“Windows 提升设置”策略,然后选择“创建”。
在 “基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
在 “配置设置”中,配置以下内容以定义设备上提升请求的默认行为:
终结点特权管理:设置为 “启用 ” (默认) 。 启用后,设备使用 Endpoint Privilege Management。 设置为“已禁用”时,设备不使用 Endpoint Privilege Management,如果之前已启用 EPM,则立即禁用 EPM。 七天后,设备将取消预配 Endpoint Privilege Management 的组件。
默认提升响应:配置此设备如何管理不是由规则直接管理的文件的提升请求:
- 未配置:此选项的功能与 拒绝所有请求相同。
- 拒绝所有请求:EPM 不会促进文件提升,并且向用户显示一个弹出窗口,其中包含有关拒绝的信息。 此配置不会阻止具有管理权限的用户使用 “以管理员身份运行” 来运行非托管文件。
- 需要支持批准:此行为指示 EPM 提示用户提交支持批准的请求。
-
需要用户确认:用户会收到一个简单的提示,用于确认其运行文件的意图。 还可以要求从 “验证” 下拉列表中获取更多提示:
- 业务理由:要求用户输入运行文件的理由。 此理由没有必需的格式。 如果 报告范围 包含终结点提升的集合,则会保存用户输入,并且可以通过日志查看用户输入。
- Windows 身份验证:此选项要求用户使用其组织凭据进行身份验证。
发送用于报告的提升数据:默认情况下,此行为设置为 “是”。 如果设置为“是”,则可以配置 报告范围。 设置为“否”时,设备不会向Intune报告诊断数据或有关文件提升的信息。
报告范围:选择设备报告的信息类型,以Intune:
诊断数据和所有终结点提升 (默认) :设备报告诊断数据和有关 EPM 促进的所有文件提升的详细信息。
此级别的信息可帮助你识别用户寻求在提升上下文中运行的提升规则尚未管理的其他文件。
仅诊断数据和托管提升:设备仅报告由提升规则策略管理的文件的诊断数据和有关文件提升的详细信息。 非托管文件的文件请求以及通过 Windows 默认操作“ 以管理员身份运行”提升的文件不会报告为托管提升。
仅限诊断数据:仅收集 Endpoint Privilege Management 操作的诊断数据。 有关文件提升的信息不会报告给 Intune。
准备就绪后,选择“下一步”继续操作。
在“范围标记”页上,选择要应用的任何所需范围标记,然后选择“下一步”。
对于 “分配”,请选择接收策略的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。 选择 下一步。
对于 “查看 + 创建”,请查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 策略也会显示在策略列表中。
Windows 提升规则策略
将 Windows 提升规则策略 部署到用户或设备,以便为由 Endpoint Privilege Management 管理的提升文件部署一个或多个规则。 添加到此策略的每个规则:
- 标识要管理其提升请求的文件。
- 可以包含证书,以帮助在文件运行之前验证该文件的完整性。 还可以添加一个可重用的组,其中包含一个证书,然后与一个或多个规则或策略一起使用。
- 指定文件的提升类型是否为自动 (静默) 还是需要用户确认。 通过用户确认,可以添加在运行文件之前必须完成的其他用户操作。 除了此策略,还必须为设备分配启用 Endpoint Privilege Management 的 Windows 提升设置策略。
使用以下方法之一创建新的提升规则,这些规则将添加到提升规则策略:
自动配置提升规则 – 使用此方法可自动填充Intune已收集的文件检测详细信息,从而在创建提升规则时节省时间。 文件详细信息由Intune从提升报告或支持批准的提升请求记录中标识。
使用此方法,可以:
- 从提升报告或 支持批准的 提升请求中选择要为其创建提升规则的文件。
- 选择将新的提升规则添加到现有提升规则策略,或创建包含新规则的新提升规则策略。
- 添加到现有策略后,新规则将立即可用于策略分配的组。
- 创建新策略时,必须编辑该策略以分配组,然后才能使用它。
手动配置提升规则 – 此方法要求你已确定要用于检测的文件详细信息,并在规则创建工作流中手动输入它们。 有关检测条件的信息,请参阅 定义用于 Endpoint Privilege Management 的规则。
使用此方法,可以:
- 手动确定要使用的文件详细信息,然后将其添加到文件标识的提升规则。
- 在策略创建期间配置策略的所有方面,包括将策略分配给组以供使用。
自动为 Windows 提升规则策略配置提升规则
登录到 Microsoft Intune 管理中心,然后转到“终结点安全>终结点特权管理”。 若要选择要用于提升规则的文件,请选择以下起始路径之一:
从报表开始:
- 选择“ 报表 ”选项卡,然后选择“ 提升报表 ”磁贴。 在“文件”列中找到要为其创建规则 的文件 。
- 选择文件的链接名称以打开该文件 的“提升详细信息 ”窗格。
从支持批准的提升请求开始:
选择“ 提升请求 ”选项卡。
从“ 文件 ”列中,选择要用于提升规则的文件,这将打开该文件 “提升详细信息 ”窗格。
提升请求的状态并不重要。 可以使用挂起的请求或以前已批准或拒绝的请求。
在“ 提升详细信息 ”窗格中,查看文件详细信息。 提升规则使用此信息来标识正确的文件。 准备就绪后,选择“ 创建包含这些文件详细信息的规则”。
为要创建的新提升规则选择策略选项:
创建新策略:
此选项创建一个新策略,其中包含所选文件的提升规则。- 对于规则,请配置 “类型 ”和“ 子进程行为”,然后选择“ 确定 ”以创建策略。
- 出现提示时,请为新 策略提供策略名称 ,并确认创建哪些是新的和未分配的提升规则策略。
- 创建策略后,可以编辑策略以分配它,并根据需要添加其他配置。
将 添加到现有策略:
使用此选项时,使用下拉列表并选择新提升规则添加到的现有提升策略。- 对于规则,配置提升类型和子进程行为,然后选择“确定”。 使用新规则更新策略。
- 将规则添加到策略后,可以编辑策略以获取对规则的访问权限,然后根据需要对其进行修改以进行其他配置。
需要与此提升相同的文件路径:
选中此复选框时,规则中的“文件路径”字段将设置为报告中显示的文件路径。 如果未选中该复选框,则路径将保持为空。
为 Windows 提升规则策略手动配置提升规则
登录到Microsoft Intune管理中心,转到“终结点安全>终结点特权管理>”,选择“策略”选项卡>,然后选择“创建策略”。 将“平台”设置为“Windows”,将“配置文件”设置为“Windows 提升规则”策略,然后选择“创建”。
在 “基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
在 “配置设置”上,为此策略管理的每个文件添加规则。 创建新策略时,策略将开始包含提升类型为 “用户确认 ”且没有规则名称的空白规则。 首先配置此规则,稍后可以选择“ 添加” ,向此策略添加更多规则。 添加的每个新规则都有一个提升类型“用户确认”,可以在配置规则时更改该类型。
若要配置规则,请选择 “编辑实例” 以打开其“规则属性”页,然后配置以下内容:
- 规则名称:指定规则的描述性名称。 为规则命名,以便稍后可以轻松识别它们。
- 说明 (可选) :输入配置文件的说明。
提升条件 是定义文件运行方式的条件,以及运行此规则应用到的文件之前必须满足的用户验证。
提升类型:默认情况下,此选项设置为 “用户确认”,这是我们建议为大多数文件使用的提升类型。
用户确认:建议对大多数规则使用此选项。 运行文件时,用户会收到一条简单的提示,用于确认其运行该文件的意图。 该规则还可以包含“ 验证” 下拉列表中提供的其他提示:
- 业务理由:要求用户输入运行文件的理由。 条目没有必需的格式。 如果 报告范围 包含终结点提升的集合,则会保存用户输入,并且可以通过日志进行查看。
- Windows 身份验证:此选项要求用户使用其组织凭据进行身份验证。
自动:此提升类型使用提升的权限自动运行相关文件。 自动提升对用户是透明的,无需提示确认或要求用户进行理由或身份验证。
警告
仅对信任的文件使用自动提升。 这些文件将自动提升,无需用户交互。 未明确定义的规则可能允许未批准的应用程序提升。 有关创建强规则的详细信息,请参阅 创建规则的指南。
支持已批准:此提升类型要求管理员在允许提升完成之前批准请求。 有关详细信息,请参阅 支持已批准的提升请求。
重要
对文件使用支持批准的提升要求具有其他权限的管理员在设备上具有管理员权限的文件之前审阅和批准每个文件提升请求。 有关使用支持批准的提升类型的信息,请参阅 支持 Endpoint Privilege Management 的已批准文件提升。
子进程行为:默认情况下,此选项设置为 “需要提升规则”,这要求子进程与创建规则的进程匹配同一规则。 其他选项包括:
- 允许所有子进程以提升方式运行:应谨慎使用此选项,因为它允许应用程序无条件地创建子进程。
- 全部拒绝:此配置阻止创建任何子进程。
文件信息 是指定用于标识应用此规则的文件的详细信息的位置。
文件名:指定文件名及其扩展名。 例如:
myapplication.exe文件路径 (可选) :指定文件的位置。 如果文件可以从任何位置运行或未知,则可以将此文件留空。 还可以使用变量。
签名源:选择以下选项之一:
在可重用设置中使用证书文件 (默认) :此选项使用已添加到 Endpoint Privilege Management 的可重用设置组中的证书文件。 必须先 创建可重用的设置组 ,然后才能使用此选项。
若要标识 证书,请选择“ 添加或删除证书”,然后选择包含正确证书的可重用组。 然后,指定发布服务器或证书颁发机构的证书类型。
上传证书文件:将证书文件直接添加到提升规则。 对于 “文件上传”,请指定一个 .cer 文件,该文件可以验证应用此规则的文件的完整性。 然后,指定发布服务器或证书颁发机构的证书类型。
未配置:如果不想使用证书来验证文件的完整性,请使用此选项。 如果未使用证书,则必须提供 文件哈希。
文件哈希:当“签名源”设置为“ 未配置”时,需要文件哈希;如果设置为使用证书,则为可选。
最低版本: (可选) 使用 x.x.x.x 格式指定此规则支持的文件的最低版本。
文件说明: (可选) 提供文件的说明。
产品名称: (可选) 指定文件来自的产品的名称。
内部名称: (可选) 指定文件的内部名称。
选择“ 保存” 以保存规则配置。 然后,可以 添加 更多规则。 添加此策略所需的所有规则后,选择“ 下一步 ”以继续。
在“范围标记”页上,选择要应用的任何所需范围标记,然后选择“下一步”。
对于 “分配”,请选择接收策略的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。 选择 下一步。
在 “查看 + 创建”中,查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 策略也会显示在策略列表中。
可重用设置组
Endpoint Privilege Management 使用可重用的设置组来管理证书,用于验证使用 Endpoint Privilege Management 提升规则管理的文件。 与Intune的所有可重用设置组一样,对可重用组的更改会自动传递给引用该组的策略。 如果必须更新用于文件验证的证书,则只需在可重用设置组中更新一次。 Intune将更新的证书应用于使用该组的所有提升规则。
若要为 Endpoint Privilege Management 创建可重用设置组,请执行以下操作:
登录到Microsoft Intune管理中心,转到“终结点安全>终结点特权管理>”,选择“可重用设置 (预览) ”选项卡>,然后选择“添加”。
在 “基本信息”中,输入以下属性:
- 名称:输入可重用组的描述性名称。 命名组,以便稍后可以轻松识别每个组。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
在 “配置设置”中,选择 “证书文件”的文件夹图标,然后浏览到 。CER 文件,用于将其添加到此可重用组。 根据所选证书填充 Base 64 值 字段。
在 “查看 + 创建”中,查看设置,然后选择“ 添加”。 选择“ 添加”时,将保存配置,然后组会显示在 Endpoint Privilege Management 的可重用设置组列表中。
Endpoint Privilege Management 的策略冲突处理
除以下情况外,EPM 冲突策略的处理方式与处理任何其他 策略冲突一样。
Windows 提升设置策略:
当设备收到两个具有冲突值的单独提升设置策略时,EPM 客户端将还原为默认客户端行为,直到冲突得到解决。
注意
如果 “启用终结点特权管理” 存在冲突,则客户端的默认行为是 “启用 EPM”。 这意味着客户端组件将继续运行,直到将显式值传递到设备。
Windows 提升规则策略:
如果设备收到针对同一应用程序的两个规则,则会在设备上使用这两个规则。 当 EPM 解析适用于提升的规则时,它将使用以下逻辑:
- 部署到用户的规则优先于部署到设备的规则。
- 定义了哈希的规则始终被视为最 具体的 规则。
- 如果多个规则应用没有) 定义哈希的 (,则具有最多定义属性的规则将赢得 (最 具体的) 。
- 如果应用继续逻辑会导致多个规则,则以下顺序确定提升行为:用户确认、支持已批准,然后是自动。
注意
如果提升规则不存在,并且该提升是通过提升的访问权限右键单击上下文菜单请求 的 ,则将使用 默认提升行为 。