共用方式為


使用端點許可權管理建立提高許可權規則的指引

注意事項

這項功能可做為 Intune 附加元件。 如需詳細資訊,請參閱使用 Intune Suite 附加元件功能

概觀

使用 Microsoft Intune 端點許可權管理 (EPM) 貴組織的使用者可以執行為標準使用者 (,而不需要系統管理員許可權) 並完成需要提高許可權的工作。 通常需要系統管理許可權的工作是應用程式安裝 (,例如Microsoft 365 應用程式) 、更新設備驅動器,以及執行特定 Windows 診斷。

端點許可權管理可協助您的組織達到以最低許可權執行的廣泛使用者基礎,同時讓使用者仍能執行貴組織允許的工作維持生產力,以支援您的零信任旅程。

定義要搭配端點許可權管理使用的規則

端點許可權管理規則包含兩個基本元素: 偵測提高許可權動作

偵測會 分類為用來識別應用程式或二進位檔的一組屬性。 偵測是由檔名、檔案版本或簽章屬性等屬性所組成。

提高許可權動作 是在偵測到應用程式或二進位檔之後所產生的提高許可權。

定義 偵測 時,請務必盡可能將其定義為 描述性 。 若要描述性,請使用強屬性或多個屬性來增加偵測的強度。 定義偵測時的目標應該是排除多個檔案進入相同規則的能力,除非這是明確的意圖。

檔案哈希規則

檔案哈希規則是可使用端點許可權管理建立的最強規則。 強烈建議使用這些規則,以確保您想要提升的檔案是提升許可權的檔案。

您可以使用 Get-Filehash PowerShell 方法 ,或直接從 端點許可權管理的報告,從直接二進位檔收集檔案哈希。

憑證規則

憑證規則是強式屬性類型,應該與其他屬性配對。 將憑證與產品名稱、內部名稱和描述等屬性配對,可大幅改善規則的安全性。 這些屬性會受到檔案簽章的保護,而且通常會指出已簽署檔案的相關細節。

注意

只使用憑證和檔名可提供非常有限的規則誤用保護。 檔名可以由任何 標準用戶 變更,前提是他們可以存取檔案所在的目錄。 這可能不是寫入保護目錄中檔案的問題。

包含檔名的規則

檔名是可用來偵測需要提升許可權之應用程式的屬性。 不過,檔名不會受到檔案簽章的保護。

這表示檔名 很容易 變更。 由您信任的憑證所簽署的檔案,其名稱可能會變更為 偵測並 後續 提高許可權,這可能不是您想要的行為。

重要事項

請務必確定包含檔名的規則包含其他屬性,這些屬性會提供強式判斷提示給檔案的身分識別。 檔案簽章中包含的檔案哈希或屬性等屬性,是您想要之檔案可能提升許可權的良好指標。

以 PowerShell 所收集屬性為基礎的規則

為了協助您建置更精確的檔案偵測規則,您可以使用 Get-FileAttributes PowerShell Cmdlet。 Get-FileAttributes 可從 EpmTools PowerShell 模組取得,可擷取檔案的文件屬性和憑證鏈結數據,而且您可以使用輸出來填入特定應用程式的提高許可權規則屬性。

範例模組匯入步驟和來自 Get-FileAttributes 的輸出會針對 Windows 11 10.0.22621.2506 版上的 msinfo32.exe 執行:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

注意事項

msinfo32.exe 的憑證鏈結會輸出至上述命令中所列的 C:\CertsForMsInfo 目錄。

如需詳細資訊,請參閱 EpmTools PowerShell 模組

控制子進程行為

子進程行為可讓您在使用 EPM 提升許可權的進程建立子進程時控制內容。 此行為可讓您進一步限制通常會自動委派其父進程內容的進程。

Windows 會自動將父系的內容委派給子系,因此請特別小心控制所允許應用程式的行為。 請確定您在建立提高許可權規則時評估所需的專案,並實作最低許可權原則。

注意事項

變更子進程行為可能會有預期預設 Windows 行為的特定應用程式相容性問題。 請確定您在操作子進程行為時徹底測試應用程式。

部署使用端點許可權管理建立的規則

端點許可權管理規則的部署方式與 Microsoft Intune 中的任何其他原則一樣。 這表示規則可以部署至使用者或裝置,而規則會在客戶端合併,並在運行時間選取。 任何衝突都會根據 原則衝突行為來解決。

部署至裝置的規則會套用至使用該裝置 的每位使用者 。 部署至 用戶 的規則只會套用至他們所使用之每個裝置上的該使用者。 發生提高許可權動作時,部署至使用者的規則會優先於部署至裝置的規則。 此行為可讓您將一組規則部署到可能套用至該裝置上所有使用者的裝置,以及一組更寬鬆的規則給支持系統管理員,讓他們在暫時登入裝置時提高一組更廣泛的應用程式。

只有在找不到規則相符專案時,才會使用預設提高許可權行為。 這也需要使用 [以 提高許可權的存取權 執行] 單擊滑鼠右鍵功能表,這會解譯為用戶 明確 要求提高應用程式許可權。

端點許可權管理和用戶帳戶控制

端點許可權管理和 Windows 內建用戶帳戶控制 (UAC) 是具有不同功能的個別產品。

將使用者移至以標準使用者身分執行並使用端點許可權管理時,您可以選擇變更標準使用者的預設 UAC 行為。 當應用程式需要提高許可權並建立更好的用戶體驗時,這項變更可以減少混淆。 如需詳細資訊,請檢查 標準使用者提高許可權提示的行為

注意事項

端點許可權管理不會干擾使用者帳戶控制動作, (或 UAC) 由系統管理員在裝置上執行。 您可以建立適用於裝置上系統管理員的規則,因此應特別考慮套用至裝置上所有用戶的規則,以及對具有系統管理員許可權之使用者的影響。

後續步驟