Verwenden von Endpoint Privilege Management mit Microsoft Intune

Mit Microsoft Intune Endpoint Privilege Management (EPM) können Die Benutzer Ihrer organization als Standardbenutzer (ohne Administratorrechte) ausführen und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnose.

Endpoint Privilege Management unterstützt Ihre Zero Trust Journey, indem sie Ihren organization dabei helfen, eine breite Benutzerbasis zu erreichen, die mit den geringsten Rechten ausgeführt wird, während ausgewählte Aufgaben bei Bedarf erhöht werden, um produktiv zu bleiben. Weitere Informationen finden Sie unter Zero Trust mit Microsoft Intune.

Diese Übersicht enthält Informationen zu EPM, einschließlich der Vorteile, der Funktionsweise und der ersten Schritte.

Gilt für:

• Windows

Wichtige Features und Vorteile

✅ Erfahren Sie mehr über die wichtigsten Features und Vorteile von EPM

• Standard Benutzer standardmäßig. Benutzer können ihre Aufgaben ohne lokale Administratorrechte ausführen.
• Unterstützung für Just-in-Time-Rechteerweiterungen. Benutzer können bestimmte von der IT genehmigte Binärdateien oder Skripts auslösen, um vorübergehend erhöhte Rechte zu erhöhen.
• Richtlinienbasierte Steuerung. Administratoren definieren Einstellungen und Regeln, um Die Rechtebedingungen und das Verhalten zu steuern, mit präzisen Funktionen zur Erstellung von Regeln, die den Anforderungen der Organisation entsprechen.
• Überwachungsprotokollierung und -berichterstellung. Intune protokolliert jede Erhöhung mit detaillierten Metadaten.
• Ausrichtung an Zero Trust Prinzipien, indem der Zugriff mit den geringsten Rechten ermöglicht und Lateral Movement-Risiken minimiert werden.

EPM-Grundlagen

✅ Erfahren Sie, wie EPM funktioniert

EPM-Rechteerweiterungen können mit zwei Methoden ausgelöst werden:

• Automatisch, oder;
• Vom Benutzer initiiert.

EPM kann mit zwei Arten von Richtlinien konfiguriert werden, die beide auf Gruppen von Benutzern oder Geräten ausgerichtet sein können:

• Richtlinie für Rechteerweiterungseinstellungen : Steuert den EPM-Client, die Berichtsebene und die Standarderweiterungsfunktion.
• Richtlinie für Rechteerweiterungsregeln : Definiert das Rechteerweiterungsverhalten für Binärdateien oder Skripts basierend auf Kriterien.

Um die Rechteerweiterung auf dem Gerät auszuführen, verwendet der EPM-Dienst ein virtuelles Konto für die meisten Höhentypen, das vom Konto der angemeldeten Benutzer isoliert ist. Keines dieser Konten wird der lokalen Administratorgruppe hinzugefügt. Eine Ausnahme bei der Verwendung des virtuellen Kontos ist das Erhöhen als aktueller Benutzererweiterungstyp , der im folgenden Abschnitt ausführlicher erläutert wird.

Der EPM-Client wird automatisch installiert, wenn Geräten oder Benutzern eine Einstellungsrichtlinie für Rechteerweiterungen zugewiesen wird. Der EPM-Client verwendet den Dienst "Microsoft EPM Agent Service" und speichert seine Binärdateien im "C:\Program Files\Microsoft EPM Agent" Verzeichnis.

Dieses Diagramm zeigt eine allgemeine Architektur, die zeigt, wie der EPM-Client ausgelöst wird, überprüft auf Regeln und erleichtert dann die Erhöhung:

Höhentypen

✅ Steuern, wie EPM Dateien erhöht

EPM ermöglicht Benutzern ohne Administratorrechte das Ausführen von Prozessen im administrativen Kontext. Wenn Sie eine Rechteerweiterungsregel erstellen, ermöglicht diese Regel EPM das Proxyn für die Ausführung des Ziels dieser Regel mit Administratorrechten auf dem Gerät. Das Ergebnis ist, dass die Anwendung über vollständige Verwaltungsfunktionen auf dem Gerät verfügt.

Mit Ausnahme von Elevate als aktuellem Benutzertyp verwendet EPM ein virtuelles Konto zum Erhöhen von Prozessen. Die Verwendung des virtuellen Kontos isoliert erhöhte Aktionen vom Profil des Benutzers, wodurch die Offenlegung benutzerspezifischer Daten verringert und das Risiko einer Rechteausweitung verringert wird.

Wenn Sie Endpoint Privilege Management verwenden, gibt es einige Optionen für das Rechteverhalten:

• Automatisch: Für automatische Rechteerweiterungsregeln erhöht EPM diese Anwendungen automatisch ohne Eingabe des Benutzers. Umfassende Regeln in dieser Kategorie können weitreichende Auswirkungen auf den Sicherheitsstatus der organization haben.

• Benutzer bestätigt: Bei vom Benutzer bestätigten Regeln verwenden Endbenutzer ein neues Kontextmenü Mit erhöhtem Zugriff ausführen. Administratoren können verlangen, dass der Benutzer eine zusätzliche Überprüfung über eine Authentifizierungsaufforderung, eine geschäftliche Begründung oder beides durchführt.

  

• Als aktueller Benutzer erhöhen: Verwenden Sie diesen Höhentyp für Anwendungen, die Zugriff auf benutzerspezifische Ressourcen benötigen, um ordnungsgemäß zu funktionieren, z. B. Profilpfade, Umgebungsvariablen oder Laufzeiteinstellungen. Im Gegensatz zu Erhöhungen, bei denen ein virtuelles Konto verwendet wird, führt dieser Modus den Prozess mit erhöhten Rechten unter dem konto des angemeldeten Benutzers aus, wobei die Kompatibilität mit Tools und Installationsprogrammen, die auf dem aktiven Benutzerprofil basieren, erhalten bleibt. Durch die Beibehaltung derselben Benutzeridentität vor und nach der Erhöhung stellt dieser Ansatz konsistente und genaue Überwachungspfade sicher. Außerdem wird die Windows-Authentifizierung unterstützt, sodass sich der Benutzer vor der Erhöhung mit gültigen Anmeldeinformationen erneut authentifizieren muss.

  Da der Prozess mit erhöhten Rechten jedoch den vollständigen Kontext des Benutzers erbt, führt dieser Modus eine breitere Angriffsfläche ein und reduziert die Isolation von Benutzerdaten.

  Wichtige Überlegungen:

  • Kompatibilitätsanforderung: Verwenden Sie diesen Modus nur, wenn die Erhöhung virtueller Konten Anwendungsfehler verursacht.
  • Eng begrenzter Bereich: Beschränken Sie Rechteerweiterungsregeln auf vertrauenswürdige Binärdateien und Pfade, um das Risiko zu reduzieren.
  • Sicherheitskonflikt: Verstehen Sie, dass dieser Modus die Exposition gegenüber benutzerspezifischen Daten erhöht.

  Tipp

  Wenn die Kompatibilität kein Problem darstellt, bevorzugen Sie eine Methode, die die Erhöhung des virtuellen Kontos verwendet, um die Sicherheit zu erhöhen.

• Support genehmigt: Für genehmigte Supportregeln müssen Endbenutzer eine Anforderung zum Ausführen einer Anwendung mit erhöhten Berechtigungen übermitteln. Nachdem die Anforderung übermittelt wurde, kann ein Administrator die Anforderung genehmigen. Sobald die Anforderung genehmigt wurde, wird der Endbenutzer benachrichtigt, dass er die Erhöhung auf dem Gerät wiederholen kann. Weitere Informationen zur Verwendung dieses Regeltyps finden Sie unter Unterstützen genehmigter Rechteerweiterungsanforderungen.

  

• Verweigern: Eine Verweigerungsregel identifiziert eine Datei, die epm blockiert, die in einem Kontext mit erhöhten Rechten ausgeführt wird. In bestimmten Szenarien können Ablehnungsregeln sicherstellen, dass bekannte Dateien oder potenziell schädliche Software nicht in einem Kontext mit erhöhten Rechten ausgeführt werden können.

Der EPM-Client kann mit einer Standardantwort für Erhöhte Rechte oder mit bestimmten Regeln konfiguriert werden, die die angegebene Erhöhungsantwort zulassen.

Regelfunktionen

✅ Präzises Targeting von Dateien zur Erhöhung

EPM-Rechteerweiterungsregeln können basierend auf einem oder mehreren Attributen erstellt werden, z. B. Dateiname, Pfad usw. Einige Beispiele für Regelfunktionen sind:

• Untergeordnete Prozesssteuerelemente : Wenn Prozesse durch EPM erhöht werden, können Sie steuern, wie die Erstellung untergeordneter Prozesse von EPM gesteuert wird, wodurch Sie eine präzise Kontrolle über alle Teilprozesse haben können, die von Ihrer Anwendung mit erhöhten Rechten erstellt werden können.

• Argumentunterstützung : Zulassen, dass nur bestimmte Parameter für Anwendungen mit erhöhten Rechten versehen werden.

• Unterstützung von Dateihashs : Passen Sie die Anwendung basierend auf dem Hash der Datei an.

• Unterstützung von Herausgeberzertifikaten : Erstellen Sie Regeln, die auf der Vertrauenswürdigkeit des Herausgeberzertifikats der Anwendung zusammen mit anderen Attributen basieren.

Unterstützte Dateitypen

EPM unterstützt das Erhöhen dieser Dateitypen:

• Ausführbare Dateien mit einer .exe Erweiterung.
• Windows Installer-Dateien mit einer .msi Erweiterung.
• PowerShell-Skripts mit der .ps1 Erweiterung.

Reporting

✅ Nachverfolgen von Höhen in Ihrer Umgebung

EPM enthält Berichte, die Ihnen bei der Vorbereitung, Überwachung und Verwendung des Diensts helfen. Berichte für nicht verwaltete und verwaltete Rechteerweiterungen werden bereitgestellt:

• Nicht verwaltete Rechteerweiterungen: Alle Dateierweiterungen, die ohne Verwendung von Endpoint Privilege Management auftreten. Diese Erhöhungen können auftreten, wenn ein Benutzer mit Administratorrechten die Windows-Standardaktion Als Administrator ausführen verwendet.

• Verwaltete Rechteerweiterung: Alle Erhöhungen, die Endpoint Privilege Management ermöglichen. Verwaltete Rechteerweiterungen umfassen alle Erhöhungen, die EPM für den Standardbenutzer erleichtert. Diese verwalteten Erhöhungen können Erhöhungen umfassen, die als Ergebnis einer Erhöhungsregel oder als Teil einer Standardaktion für erhöhte Rechte auftreten.

Erste Schritte mit Endpoint Privilege Management

✅ Starten der Verwendung von EPM

Endpoint Privilege Management (EPM) wird über das Microsoft Intune Admin Center verwaltet. Wenn Organisationen mit EPM beginnen, verwenden sie den folgenden allgemeinen Prozess:

• Lizenz-EPM und Plan

  • Lizenz-EPM: Bevor Sie Endpoint Privilege Management Richtlinien verwenden können, müssen Sie EPM in Ihrem Mandanten als Intune-Add-On lizenzieren. Lizenzierungsinformationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.
  • Planen für EPM : Bevor Sie mit der Verwendung von EPM beginnen, gibt es einige wichtige Anforderungen und Konzepte, die Sie berücksichtigen sollten. Weitere Informationen finden Sie unter Planen von EPM.

• Bereitstellen von EPM : Aktivieren Sie die Überwachung, erstellen Sie Regeln, und überwachen Sie die Bereitstellung, um EPM bereitzustellen. Weitere Informationen finden Sie unter Bereitstellen von EPM.

• Verwalten von EPM : Nachdem Sie EPM bereitgestellt haben, können Sie genehmigte Supportanfragen und Rechteerweiterungen überwachen. Sie können Ihre Regeln verwalten und aktualisieren und Benutzerberechtigungen überprüfen.