次の方法で共有

エンドポイント特権管理デプロイの計画と準備

注:

この機能は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

Microsoft Intune エンドポイント特権管理 (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 詳細については、「 EPM の概要」を参照してください。

適用対象:

  • Windows

この記事では、要件、重要な概念、セキュリティに関する推奨事項、ロールベースのアクセス制御など、エンドポイント特権管理 (EPM) の展開を計画するために必要な情報について説明します。

計画チェックリスト

  • テナントの技術とライセンスの前提条件を確認します。
  • ターゲット ユーザー ペルソナを定義して、これらのペルソナに論理的なグループ化を使用してルールを作成できるようにします。
  • 次のような昇格設定と昇格ルール ポリシーについて十分に理解していることを確認してください。
    • 既定の昇格設定と診断データ収集。
    • ファイル ハッシュ、メタデータ、または証明書を使用して昇格ファイルを定義する。
    • 証明書ルールで、その証明書によって署名されたアプリの昇格を許可する方法。 すべてのアプリに同じ証明書で署名する可能性があるベンダーには注意してください。
    • ルール引数のサポート、および子プロセスの動作オプション。
    • 標高の種類。
    • 重複するルールの割り当てがある場合のルールの競合の処理方法。
  • organizationとユーザーペルソナのセキュリティと柔軟性の適切なバランスを見つけます。
  • 堅牢なロールアウト戦略があることを確認します。 これには、利害関係者の管理、エンド ユーザーのコミュニケーションとトレーニング計画、監視が含まれます。

前提条件

✅ EPM に必要な情報を確認する

ライセンス

エンドポイント特権管理には、Microsoft Intune プラン 1 ライセンスを超えるアドオン ライセンスが必要です。 EPM のみを追加するスタンドアロン ライセンスと、Microsoft Intune Suiteの一部としてライセンス EPM のどちらかを選択できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

要件

エンドポイント特権管理には次の要件があります。

  • Microsoft Entra参加済みまたはハイブリッド参加済みMicrosoft Entra
  • Microsoft Intune 登録またはMicrosoft Configuration Manager共同管理デバイス (ワークロード要件なし)
  • サポートされるオペレーティング システム
  • 必要なエンドポイントへの見通し線のクリア (SSL 検査なし)

注:

  • Windows 365は、サポートされているオペレーティング システムのバージョンを使用してサポートされます
  • EPM では、ワークプレース参加デバイスと Azure Virtual Desktop はサポートされていません

エンドポイント特権管理では、次のオペレーティング システムがサポートされています。

  • Windows 11バージョン 24H2
  • Windows 11、バージョン 23H2 (22631.2506 以降) とKB5031455
  • Windows 11、バージョン 22H2 (22621.2215 以降) とKB5029351
  • Windows 11、バージョン 21H2 (22000.2713 以降) とKB5034121
  • Windows 10、バージョン 22H2 (19045.3393 以降) とKB5030211
  • Windows 10、バージョン 21H2 (19044.3393 以降) とKB5030211

重要

2025 年 10 月 14 日、Windows 10サポート終了に達し、品質と機能の更新プログラムを受け取りません。 Windows 10は、Intune で許可されているバージョンです。 このバージョンを実行しているデバイスは引き続き Intune に登録し、対象となる機能を使用できますが、機能は保証されないため、異なる場合があります。

重要

  • 昇格設定ポリシーは、サポートされているオペレーティング システムのバージョンを実行していないデバイスに対して "該当なし" と報告します。
  • エンドポイント特権管理は、Arm64 を含む 64 ビット オペレーティング システム アーキテクチャとのみ互換性があります。

政府機関向けクラウド サポート

エンドポイント特権管理は、次のソブリン クラウド環境でサポートされています。

  • 米国政府コミュニティ クラウド (GCC) High
  • 米国国防総省 (DoD)

詳細については、「 Microsoft Intune for US Government GCC サービスの説明」を参照してください。

エンドポイント特権管理の重要な概念

前に説明した昇格設定昇格ルール ポリシーを構成する場合、organizationのニーズを満たすように EPM を構成することを理解するための重要な概念がいくつかあります。 EPM を広くデプロイする前に、次の概念と、それらが環境に与える影響をよく理解しておく必要があります。

  • 管理者特権でアクセスして実行 する - デバイスで EPM がアクティブ化されたときに表示される右クリック コンテキスト メニュー オプション。 このオプションを使用すると、デバイス昇格ルール ポリシーが一致するかどうかがチェックされ、そのファイルを管理者特権で管理コンテキストで実行できるかどうかを判断できます。 該当する昇格規則がない場合、デバイスは昇格設定ポリシーで定義されている既定の昇格構成を使用します。

  • ファイルの昇格と昇格の種類 – EPM を使用すると、管理者特権のないユーザーは管理コンテキストでプロセスを実行できます。 昇格ルールを作成すると、そのルールにより、EPM はそのルールのターゲットをプロキシして、デバイス上の管理者権限で実行できます。 その結果、アプリケーションはデバイス上 の完全な管理機能 を持っています。

現在のユーザーとしての昇格を除き、EPM は仮想アカウントを使用してプロセスを昇格します。 これにより、昇格されたアクションをユーザーのプロファイルから分離し、ユーザー固有のデータへの露出を減らし、特権エスカレーションのリスクを軽減します。

エンドポイント特権管理を使用する場合、昇格動作にはいくつかのオプションがあります。

  • 自動: 自動昇格ルールの場合、EPM はユーザーからの入力なしでこれらのアプリケーションを 自動的に 昇格させます。 このカテゴリの広範なルールは、organizationのセキュリティ体制に広範な影響を与える可能性があります。

  • ユーザーの確認: ユーザーが確認したルールを使用すると、エンド ユーザーは新しい右クリック コンテキスト メニュー [管理者特権で実行] を使用します。 ユーザーが確認したルールでは、認証またはビジネス上の正当な理由による検証が必要な場合もあります。 検証を要求すると、ユーザーが昇格を確認できるため、追加の保護レイヤーが提供されます。

  • 現在のユーザーとして昇格する: この種類の昇格では、サインインしているユーザー自身のアカウントで昇格されたプロセスが実行され、アクティブなユーザー プロファイルに依存するツールやインストーラーとの互換性が維持されます。 これにより、ユーザーは Windows 認証の資格情報を入力する必要があります。 これにより、ユーザーのプロファイル パス、環境変数、および個人用設定が保持されます。 昇格されたプロセスでは昇格の前後で同じユーザー ID が維持されるため、監査証跡は一貫性があり正確なままになります。

    ただし、昇格されたプロセスはユーザーの完全なコンテキストを継承するため、このモードではより広範な攻撃面が導入され、ユーザー データからの分離が軽減されます。

    主な考慮事項:

    • 互換性が必要: このモードは、仮想アカウントの昇格によってアプリケーションエラーが発生する場合にのみ使用します。
    • スコープを厳密に設定する: 昇格ルールを信頼されたバイナリとパスに制限して、リスクを軽減します。
    • セキュリティのトレードオフ: このモードでは、ユーザー固有のデータへの露出が増加することを理解します。

    ヒント

    互換性が問題でない場合は、より強力なセキュリティのために仮想アカウントの昇格を使用する方法を選択します。

  • 拒否: 拒否規則は、EPM が昇格されたコンテキストでの実行をブロックするファイルを識別します。 拒否ルールを使用すると、既知のファイルや悪意のある可能性のあるソフトウェアを管理者特権のコンテキストで実行できないようにすることができます。

  • サポートが承認されました: サポートが承認されたルールの場合、エンド ユーザーは、昇格されたアクセス許可を持つアプリケーションを実行するための要求を送信する必要があります。 要求が送信されると、管理者は要求を承認できます。 要求が承認されると、エンド ユーザーはデバイスの昇格を再試行できることを通知されます。 この規則の種類の使用の詳細については、「承認された昇格要求をサポートする」を参照してください。

注:

各昇格ルールでは、昇格されたプロセスによって作成される子プロセスの昇格動作を設定することもできます。

  • 子プロセス制御 - プロセスが EPM によって昇格されると、子プロセスの作成を EPM によって管理する方法を制御できます。これにより、昇格されたアプリケーションによって作成される可能性があるサブプロセスをきめ細かく制御できます。

  • クライアント側コンポーネント – エンドポイント特権管理を使用するために、Intune は昇格ポリシーを受け取り、それらを適用するコンポーネントの小さなセットをデバイスにプロビジョニングします。 Intune では、昇格設定ポリシーを受け取った場合にのみコンポーネントがプロビジョニングされ、ポリシーはエンドポイント特権管理を 有効にする 意図を表します。

  • 管理された昇格と管理されていない昇格 – これらの用語は、レポートと使用状況のデータで使用される場合があります。 これらの用語は、次の説明を参照します。

    • 管理された昇格: エンドポイント特権管理が容易になる任意の昇格。 管理された昇格には、EPM が標準ユーザーを容易にするすべての昇格が含まれます。 これらの管理された昇格には、昇格ルールの結果として、または既定の昇格アクションの一部として発生する昇格が含まれる場合があります。

    • アンマネージド昇格: エンドポイント特権管理を使用せずに発生するすべてのファイル昇格。 これらの昇格は、管理者権限を持つユーザーが Windows の既定のアクションである [ 管理者として実行] を使用している場合に発生する可能性があります。

EPM ポリシー

✅ EPM ポリシーの種類について

エンドポイント特権管理は、ファイル昇格要求の処理方法を管理するために構成する 2 つのポリシーの種類を使用します。 ポリシーを組み合わせて、標準ユーザーが 管理特権を使用して実行を要求した場合のファイル昇格の動作を構成します。

これらのポリシーは次のとおりです。

  • 昇格設定ポリシー
  • 昇格ルール ポリシー

また、EPM では、複数のルールまたはルール ポリシー間で参照できる発行元証明書を格納するための再利用可能な設定グループもサポートされています。

エンドポイント特権管理のポリシー競合処理

✅ ポリシーの競合について説明します

次の状況を除き、EPM のポリシーの競合は、他の ポリシーの競合と同様に処理されます。

Windows 昇格設定ポリシー:

デバイスが、競合する値を持つ 2 つの個別の昇格設定ポリシーを受け取ると、競合が解決されるまで、EPM クライアントは既定のクライアント動作に戻ります。

注:

[Enable エンドポイント特権管理が競合している場合、クライアントの既定の動作は [EPM を有効にする] になります。

Windows 昇格ルール ポリシー:

デバイスが同じアプリケーションを対象とする 2 つのルールを受け取った場合、両方のルールがデバイスで使用されます。 EPM は、昇格に適用されるルールを解決するときに、次のロジックを使用します。

  • 昇格の種類Deny のルールが常に優先され、ファイルの昇格は拒否されます。
  • ユーザーに展開されたルールは、デバイスに展開されたルールよりも優先されます。
  • ハッシュが定義されたルールは、常に最も 具体的な ルールと見なされます。
  • 複数のルールが適用される場合 (ハッシュが定義されていない場合)、最も定義された属性を持つルールが優先されます (最も具体的)。
  • 続行するロジックを適用すると、複数のルールが生成される場合は、昇格の動作がユーザー の確認、現在の ユーザーとしての昇格サポートの承認自動の順に決定されます。

注:

昇格のルールが存在せず、昇格された アクセス権を持つ実行 右クリック コンテキスト メニューから昇格が要求された場合は、[ 既定の昇格動作] が使用されます。

エンドポイント特権管理とユーザー アカウント制御

✅ EPM とユーザー アカウント制御の間の相互作用について理解する

エンドポイント特権管理と Windows 組み込みのユーザー アカウント制御 (UAC) は、機能が異なる個別の機能です。

標準ユーザーとして実行するようにユーザーを移動し、エンドポイント特権管理を使用する場合は、標準ユーザーの既定の UAC 動作を変更することもできます。 この変更により、アプリケーションで昇格が必要な場合の混乱が軽減され、エンド ユーザー エクスペリエンスが向上します。 詳細については、標準ユーザーの昇格プロンプトの動作を調べます。

注:

エンドポイント特権管理は、デバイス上の管理者によって実行されるユーザー アカウント制御アクション (または UAC) に干渉しません。

セキュリティに関する推奨事項

✅ EPM を使用する最も安全な方法を理解する

エンドポイント特権管理の安全なデプロイを確保するために、昇格の動作とルールを構成するときに、これらの推奨事項を考慮してください。

セキュリティで保護された既定の昇格応答を設定する

既定の 昇格応答 を [ユーザーの確認が必要] ではなく [ サポートの承認が必要 ] または [拒否]設定します。 これらのオプションを使用すると、既知のバイナリの定義済みのルールで昇格が制御され、ユーザーが任意または潜在的に悪意のある実行可能ファイルを昇格するリスクが軽減されます。

すべての規則の種類でファイル パスの制限を要求する

昇格ルールを構成する場合は、必要なファイル パスを指定します。 ファイル パスは省略可能ですが、セキュリティで保護されたシステム ディレクトリなど、標準ユーザーが変更できない場所をパスが指している場合に、自動昇格またはワイルドカードベースの属性を使用するルールの重要なセキュリティ チェックになる可能性があります。 セキュリティで保護されたファイルの場所を使用すると、実行可能ファイルまたはその依存バイナリが昇格前に改ざんまたは置き換えられるのを防ぐことができます。

この推奨事項は、昇格レポートまたはサポート承認済み要求の詳細に基づいて自動的に作成されるルールと、手動で作成する昇格ルールに適用されます。

重要

ネットワーク共有にあるファイルはサポートされていないため、ルール定義では使用しないでください。

インストーラーとランタイムの昇格を区別する

インストーラー ファイルとアプリケーション ランタイムの昇格を意図的に行う。 未承認のソフトウェアのインストールを防ぐために、インストーラーの昇格を厳しく制御する必要があります。 全体的な攻撃面を減らすために、ランタイムの昇格を最小限に抑える必要があります。

リスクの高いアプリケーションに厳しい規則を適用する

Web ブラウザーや PowerShell など、より広範なアクセスまたはスクリプト機能を持つアプリケーションでは、より制限の厳しい昇格規則を使用します。 PowerShell の場合は、スクリプト固有のルールを使用して、管理者特権で実行できる信頼されたスクリプトのみを確実に使用することを検討してください。

サード パーティ製品から移行する場合でも、新たに開始する

EPM はサード パーティ製品とは異なる方法で動作するため、監査ポリシーから開始することをお勧めします。 次に、レポートから新しいルールを作成し、ファイルにルールがないが、ユーザーがジョブを完了するためにそのファイルを昇格する必要がある場合に 、サポートが承認された 昇格を利用できます。

エンドポイント特権管理のロールベースのアクセス制御

✅ EPM へのアクセスを委任する方法について説明します

エンドポイント特権管理を管理するには、目的のタスクを完了するための十分な権限を持つ次のアクセス許可を含む Intune ロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

  • エンドポイント特権管理ポリシー作成 – このアクセス許可は、エンドポイント特権管理のポリシーまたはデータとレポートを操作するために必要であり、次の権限をサポートします。

    • レポートの表示
    • 読み取り
    • 作成する
    • Update
    • 削除
    • Assign

  • エンドポイント特権管理昇格要求 - このアクセス許可は、承認のためにユーザーによって送信され、次の権限をサポートする、承認された昇格要求をサポートするために必要です。

    • 昇格要求を表示する
    • 昇格要求を変更する

このアクセス許可を 1 つ以上の権限で独自のカスタム RBAC ロールに追加することも、エンドポイント特権管理の管理専用の組み込みの RBAC ロールを使用することもできます。

  • Endpoint Privilege Manager – この組み込みロールは、Intune コンソールでのエンドポイント特権管理の管理専用です。 このロールには、エンドポイント特権管理 ポリシーの作成昇格要求のエンドポイント特権管理のすべての権限が含まれます。

  • エンドポイント特権閲覧者 - この組み込みのロールを使用して、レポートを含む Intune コンソールでエンドポイント特権管理ポリシーを表示します。 このロールには、次の権限が含まれます。

    • レポートの表示
    • 読み取り
    • 昇格要求を表示する

専用ロールに加えて、Intune の次の組み込みロールには、エンドポイント特権管理 ポリシー作成の権限も含まれています。

  • エンドポイント セキュリティ マネージャー - このロールには、エンドポイント特権管理 ポリシーの作成昇格要求のエンドポイント特権管理のすべての権限が含まれます。

  • 読み取り専用演算子 - このロールには、次の権限が含まれます。

    • レポートの表示
    • 読み取り
    • 昇格要求を表示する

詳細については、「 Microsoft Intune のロールベースのアクセス制御」を参照してください。

EpmTools PowerShell モジュール

✅ EPM PowerShell モジュールの使用方法について説明します

エンドポイント特権管理 ポリシーを受け取る各デバイスは、これらのポリシーを管理するために EPM Microsoft エージェントをインストールします。 エージェントには、デバイスにインポートできるコマンドレットのセットである EpmTools PowerShell モジュールが含まれています。 EpmTools のコマンドレットを使用すると、次のことができます。

  • エンドポイント特権管理に関する問題を診断してトラブルシューティングします。
  • 検出ルールを作成するファイルまたはアプリケーションからファイル属性を直接取得します。

EpmTools PowerShell モジュールをインストールする

EPM Tools PowerShell モジュールは、EPM ポリシーを受け取った任意のデバイスから使用できます。 EpmTools PowerShell モジュールをインポートするには:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

注:

Arm64 上の Windows では、Windows PowerShell x64 を使用する必要があります。

使用可能なコマンドレットを次に示します。

  • Get-Policies: 特定の 'PolicyType' ('ElevationRules' または 'ClientSettings' に対して EPM が受信したすべてのポリシーの一覧を取得します)。
  • Get-DeclaredConfiguration: デバイスを対象とするポリシーを識別する WinDC ドキュメントの一覧を取得します。
  • Get-DeclaredConfigurationAnalysis: MSFTPolicies 型の WinDC ドキュメントの一覧を取得し、ポリシーが Epm エージェント (処理済み列) に既に存在するかどうかを確認します。
  • Get-ElevationRules: EpmAgent ルックアップ機能に対してクエリを実行し、指定された参照とターゲットのルールを取得します。 FileName と CertificatePayload ではルックアップがサポートされています。
  • Get-ClientSettings: 既存のすべてのクライアント設定ポリシーを処理して、EPM で使用される有効なクライアント設定を表示します。
  • Get-FileAttributes: .exe ファイルのファイル属性を取得し、そのパブリッシャー証明書と CA 証明書を、特定のアプリケーションの昇格規則プロパティの設定に使用できる設定された場所に抽出します。

各コマンドレットの詳細については、デバイスの EpmTools フォルダーから readme.md ファイルを確認してください。

次の手順

次へ: プライバシー データ収集を確認する >

  • Last updated on