注:
この機能は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。
Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 詳細については、「 EPM の概要」を参照してください。
適用対象:
- Windows
Endpoint Privilege Management (EPM) を展開するには、まずレポートを有効にしてから、レポートを使用して昇格のルールを作成します。 この記事では、一般的な展開シナリオについて説明し、organizationに推奨される展開フェーズについて説明します。
- Windows 昇格設定ポリシー。
- Windows 昇格ルール ポリシー。
- 再利用可能な設定グループ。これは、昇格ルールのオプションの構成です。
展開の概要
EPM は、Intune でのアプリケーションの昇格を制御するのに役立ち、 ローカル ユーザーとグループ を使用してローカル管理者グループを制御し、ユーザーを管理者から標準ユーザーに切り替えることができます。
一般的なデプロイ フェーズは次のとおりです。
- フェーズ 1: 監査 - EPM クライアントを有効にし、 昇格設定ポリシーを使用してレポート収集を有効にします。
- フェーズ 2: ペルソナ ID - 一般的な要件を持つユーザーの ID グループ。
- フェーズ 3: ルールの構築 - EPM レポート を使用して、さまざまなペルソナの 昇格ルール を作成します。
- フェーズ 4: 監視 - ルールを反復および調整し、新しいシナリオを特定します。
- フェーズ 5: ユーザー特権を確認する - ローカル ユーザーとグループを使用して、ユーザーを特定し、必要に応じて管理者から標準ユーザーに移動 します。 ユーザーがルールでカバーされていないアプリの昇格を要求できるように、 サポートが承認された 昇格を有効にすることを検討してください。
フェーズ 2 ~ 5 を継続的に繰り返して、ユーザーがゼロ トラスト原則に従って最小限の権限を持っていることを確認します。
EPM の一般的な展開シナリオは次のとおりです。
| シナリオ | ローカル ユーザー (前) | ローカル ユーザー (後) | ロールの例 | 使用例 |
|---|---|---|---|---|
| 1 | 管理者 | 管理者 | IT サポート技術者 | 特定のユーザーのサブセットでは、継続的なローカル管理者が必要でしたが、EPM を使用してセキュリティを強化する必要があります。 |
| 2 | Admin | Standard ユーザー | インフォメーション ワーカー | 中断を最小限に抑えながら、ローカル管理者権限を持つユーザーを標準ユーザーに移動する必要があります。 ユーザーがアプリを管理者として実行するように要求できるようにする必要があります。
EPM でこのシナリオを実現する手順については、「EPM を使用して管理者から標準ユーザーにユーザーを移行する」を参照してください。 |
| 2 | Standard ユーザー | Standard ユーザー | 開発者 | ローカル管理者権限を付与したり LAPS を使用したりせずに、特定のユーザーが "昇格" することを許可する必要があります。 |