エンドポイント特権管理を使用してユーザーを管理者から標準ユーザーに移行する

Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 詳細については、「 EPM の概要」を参照してください。

適用対象:

• Windows

エンドポイント特権管理を使用する顧客の一般的なシナリオは、環境内のローカル管理者の数を減らすことです。 このシナリオは、最小特権のゼロ トラスト原則に準拠しています。 このドキュメントでは、EPM を使用して、中断を最小限に抑えて管理者から標準ユーザーにユーザーを移動するために、お客様が従うことができる手順を実行します。

フェーズ 1: 監査

別のエンドポイント特権管理製品から移行する場合も、新たに開始する場合でも、最初の手順として監査を有効にすることをお勧めします。 監査を有効にすると、EPM クライアントとデバイスは Intune に診断データを送信でき、さまざまなレポートで表示できます。 この昇格データを収集すると、ユーザーが昇格しようとしているプロセスに関する分析情報が得られ、一般的なパターンを特定するのに役立ちます。 理想的には、これらは開発者、IT サポート技術者など、ペルソナに合わせて調整されます。監査のためのこのポリシーの展開はシームレスであり、通常の Intune ポリシー割り当てに従って、選択したユーザーまたはデバイスのグループを対象にすることができます。

ポリシーを作成する手順:

1. Microsoft Intune 管理センターにサインインします。
2. [ エンドポイント セキュリティ>Endpoint Privilege Management>Policies を選択します
3. [ポリシーを作成する] を選択します。 次の詳細を入力します:
   • プラットホーム： ウィンドウズ
   • プロフィール： 昇格設定ポリシー
4. [作成] を選択します
5. ポリシーの名前を指定します(例: EPM 設定ポリシー – 監査のみ)
6. [次へ] を選択します。
7. [特権管理昇格クライアント設定] セクションを展開し、次の値が設定されていることを確認します。
   • エンドポイント特権管理: 有効
   • 既定の昇格応答: 未構成
   • レポート用に昇格データを送信する: はい
   • レポートスコープ: 診断データとすべてのエンドポイント昇格
8. [次へ] を選択します。
9. スコープ タグはそのままにして、[次へ] を選択します
10. ポリシーを対象とするデバイスまたはユーザーのグループを追加する
11. [次へ] を選択します。
12. [ 作成] を 選択してポリシーを作成します

ルールが期待どおりに機能していることを確認するには:

• 標準のユーザー資格情報を使用して Windows デバイスにサインインします。
• 開始>実行>Services.msc> Ok
• "Microsoft EPM エージェント サービス" が存在することを確認し、[実行中] を [自動スタートアップの種類] に設定します。
• [サービス] スナップインを閉じます。
• 開始>実行>C:\Program Files\>わかりました
• Microsoft EPM エージェントという名前のフォルダーがあることを確認します

24 時間以上経過した後:

1. Microsoft Intune 管理センターにサインインします。
2. [エンドポイント セキュリティ>Endpoint Privilege Management>Reports を選択します
3. [昇格レポート] を選択する
4. 昇格レポートの詳細を確認する

同様の昇格要件を持つユーザーのグループを特定します (理想的には、前に特定したペルソナに合わせて調整します)。 使用パターンとユーザー グループの両方を識別すると、後続の手順に役立ちます。

フェーズ 2: ペルソナ識別

Microsoft Intune エンドポイント特権管理 (EPM) ポリシーの設計でユーザー ペルソナを使用することは、昇格設定とルールを実際のユーザーニーズに合わせる戦略的な方法です。

EPM のユーザー ペルソナとは

ユーザー ペルソナは、organization内のさまざまなユーザーの種類のデータドリブン表現です。 各ペルソナには、同様のロール、責任、アプリケーションのニーズを持つユーザーのグループが反映されます。

ペルソナ マッピングの例:

ペルソナは昇格設定とルールの設計にどのように役立ちますか?

ユーザーのニーズをマッピングすると、各ユーザー コーホートの昇格戦略を定義できます。

フェーズ 3: ルールを作成する

EPM ルールは、検出と昇格アクションという 2 つの基本的な要素で構成されます。

検出は、アプリケーションまたはバイナリを識別するために使用される属性のセットとして定義されます。 これらの属性には、ファイル名、ファイル バージョン、署名プロパティが含まれます。 昇格アクションは、アプリケーションまたはバイナリが検出された後に発生する結果の昇格です。

ベスト プラクティス

• 検出強度を高めるために、強力な属性または複数の属性を使用します。
• ファイル ハッシュまたは証明書は必須です。

セキュリティに関する推奨事項の詳細については、「 セキュリティに関する推奨事項」を参照してください。

昇格レポート データを使用してルールを作成する手順

1. Microsoft Intune 管理センターにサインインします。
2. [ エンドポイント セキュリティ>Endpoint Privilege Management>Policies を選択します
3. [昇格レポート] を選択する
4. アプリケーションまたはプロセスを選択します (例: C:\Program Files\Notepad++\)
5. [次の詳細を含むルールの作成] を選択します。
   • 新しいポリシーの作成
   • 種類： ユーザーが確認した
   • 子プロセスの動作: 昇格するルールを要求する
   • この昇格と同じファイル パスが必要: 選択済み
6. [OK] を選択します。
7. ポリシー名を指定します (例: EPM rule – Notepad++ User Confirmed)
8. [ はい] を選択します
9. EPM ポリシーの一覧に移動し、ポリシーを選択します
10. [ 割り当て] で、[編集] を選択 します
11. [ グループの追加] を選択します
12. グループに割り当てる (開発者など)
13. 選択、 確認、 保存

ルールの作成の詳細については、「 昇格ルールの作成」を参照してください。

ルールが機能していることを確認する

• 標準ユーザー資格情報を使用して Windows デバイスにサインインします。
• アプリケーション (Notepad++など) を右クリックし、[管理者特権で実行] を選択します。
• [Endpoint Privilege Management]\(エンドポイント特権管理\) ポップアップで、[続行] を選択 します
• 昇格されたアクセス許可でアプリケーションが起動されていることを確認する

フェーズ 4: ローカル管理者権限を削除する

1. Microsoft Intune 管理センターにサインインします。

2. [エンドポイント セキュリティ>Account protection] を選択します

3. [ポリシーの作成] を選択します。

   • プラットホーム： ウィンドウズ
   • プロフィール： ローカル ユーザー グループ メンバーシップ

4. ポリシーの名前を指定します (例: Remove local admin rights (developers))

5. [追加] を選択します。

   • ローカル グループ: 管理者
   • グループとユーザーのアクション: 追加 (置換)
   • ユーザー選択の種類: 手動

6. ユーザーの選択

7. 次の 2 つのセキュリティ識別子 (SID) を追加します。

   • グローバル管理者
   • 参加済みデバイスローカル管理者のMicrosoft Entra

   Entra 参加済みデバイスで Lusrmgr.msc を使用して、S-1-12-1 以降の SID を見つけます。

8. グループに割り当てる (たとえば、 Developers)

9. [保存] を選びます。

ローカル ユーザーとグループのプロファイルの詳細については、「アカウント保護」を参照してください。

フェーズ 5: 監視

• 昇格レポートを定期的に確認する
• アンマネージド昇格をルールに追加するか、拒否する
• 遅延またはパターンのサポートが承認された要求を監視する
• ファイルのバージョンまたは証明書が変更されたときにルールを更新する
• 古いルールを廃止または厳格化する

次の手順