Compartilhar via

Gerir definições de elevação com a Gestão de Privilégios de Ponto Final

Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. Para obter mais informações, consulte Descrição Geral do EPM.

Aplicável a:

  • Windows

Para configurar a Gestão de Privilégios de Ponto Final (EPM) em dispositivos, implemente a política de definições de elevação do Windows para utilizadores ou dispositivos:

  • Ativar ou desativar o EPM num dispositivo.
  • Defina regras predefinidas para pedidos de elevação para quaisquer ficheiros que não correspondam a uma regra de elevação.
  • Configure as informações comunicadas pelo EPM ao Intune.

Quando o EPM está ativado, a C:\Program Files\Microsoft EPM Agent pasta é criada juntamente com o serviço "Microsoft EPM Agent Service", que é responsável pelo processamento das políticas EPM.

Acerca da política de definições de elevação do Windows

Utilize a política de definições de elevação do Windows quando quiser:

  • Ativar ou Desativar a Gestão de Privilégios de Ponto Final em dispositivos. Quando ativado pela primeira vez para o EPM, os componentes EPM são instalados.

    Se um dispositivo tiver o EPM desativado, os componentes do cliente serão desativados na próxima sincronização de políticas. Há um atraso de sete dias antes de os componentes EPM serem removidos. O atraso ajuda a reduzir o tempo necessário para restaurar o EPM caso um dispositivo tenha acidentalmente o EPM desativado ou a política de definições de elevação não atribuída.

  • Definir uma Resposta de elevação predefinida – defina uma resposta predefinida para um pedido de elevação de qualquer ficheiro que não seja gerido por uma política de regra de elevação do Windows. Para que esta definição tenha um efeito, não pode existir nenhuma regra para a aplicação E um utilizador final tem de pedir explicitamente a elevação através do menu Executar com acesso elevado ao clique com o botão direito do rato. Por predefinição, esta opção está definida como Não Configurada. Se não estiver configurada nenhuma definição, os componentes EPM reverterão para a predefinição incorporada, que consiste em negar todos os pedidos.

    Dica

    Recomendamos a utilização de Exigir aprovação de suporte ou Negar todos os pedidos como uma resposta de elevação predefinida.

    As opções são:

    • Negar todos os pedidos (recomendado) – esta opção bloqueia a ação elevar o pedido para ficheiros que não estão definidos numa política de regras de elevação do Windows.

    • Exigir aprovação de suporte (recomendado) – quando a aprovação do suporte é necessária, um administrador tem de rever os pedidos de elevação antes de a elevação ser permitida.

    • Exigir confirmação do utilizador – quando a confirmação do utilizador é necessária, pode escolher entre as mesmas opções de validação encontradas para a política de regras de elevação do Windows.

      • Opções de validação – defina opções de validação quando a resposta de elevação predefinida for definida como Exigir confirmação do utilizador. As opções são:

        • Justificação comercial – esta opção requer que o utilizador final forneça uma justificação antes de concluir uma elevação que seja facilitada pela resposta de elevação predefinida.
        • autenticação do Windows – esta opção requer que o utilizador final se autentique antes de concluir uma elevação facilitada pela resposta de elevação predefinida.

        Observação

        Podem ser selecionadas várias opções de validação para satisfazer as necessidades da organização. Se não estiverem selecionadas opções, o utilizador só tem de selecionar continuar para concluir a elevação.

    Cuidado

    A resposta de elevação predefinida aplica-se a todos os ficheiros que não correspondem a uma regra de elevação. Como resultado, a definição Exigir confirmação do utilizador permite que todos os ficheiros sejam elevados por predefinição. Se não estiver à procura de justificações comerciais ou pedidos de credenciais para elevações, recomendamos a utilização de Negar todos os pedidos ou Exigir aprovação de suporte.

  • Enviar dados de elevação para relatórios – esta definição controla se o seu dispositivo partilha dados de diagnóstico e utilização com a Microsoft. Utilize a definição Âmbito de relatórios para controlar os dados recolhidos.

    Os dados de diagnóstico são utilizados pela Microsoft para medir o estado de funcionamento dos componentes do cliente EPM. Os dados de utilização são utilizados para mostrar elevações que ocorrem no seu inquilino. Para obter mais informações sobre os tipos de dados e como são armazenados, veja Recolha de dados e privacidade para o Endpoint Privilege Management.

    As opções são:

    • Sim – esta opção envia dados para a Microsoft com base na definição Âmbito de Relatórios .
    • Não - Esta opção não envia dados para a Microsoft.

  • Âmbito dos Relatórios – esta definição controla a quantidade de dados que estão a ser enviados para a Microsoft quando Enviar dados de elevação para relatórios está definido como Sim. Por predefinição, estão selecionados *Dados de diagnóstico e todas as elevações de pontos finais.

    As opções são:

    • Apenas dados de diagnóstico e elevações geridas – esta opção envia dados de diagnóstico à Microsoft sobre o estado de funcionamento dos componentes do cliente E dados sobre as elevações que estão a ser facilitadas pelo Endpoint Privilege Management.
    • Dados de diagnóstico e todas as elevações de pontos finais – esta opção envia dados de diagnóstico à Microsoft sobre o estado de funcionamento dos componentes do cliente E dados sobre todas as elevações que ocorrem no ponto final.
    • Apenas dados de diagnóstico – esta opção envia apenas os dados de diagnóstico à Microsoft sobre o estado de funcionamento dos componentes do cliente.

Criar uma política de definições de elevação do Windows

  1. Inicie sessão no centro de administração do Microsoft Intune e aceda a Endpoint security>Endpoint Security Privilege Management> selecione o separador >Políticas e, em seguida, selecione Criar Política. Defina a política Plataforma como Windows, Perfil para definições de elevação do Windows e, em seguida, selecione Criar.

  2. Em Noções básicas, introduza as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Atribua um nome aos perfis para que possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  3. Em Definições de configuração, configure o seguinte para definir comportamentos predefinidos para pedidos de elevação num dispositivo:

    Imagem da página de configuração das definições de avaliação.

    • Endpoint Privilege Management: definido como Ativado (predefinição ). Quando ativado, um dispositivo utiliza a Gestão de Privilégios de Ponto Final. Quando definido como Desativado, o dispositivo não utiliza a Gestão de Privilégios de Ponto Final e desativa imediatamente o EPM se tiver sido ativado anteriormente. Após sete dias, o dispositivo desaprovisionará os componentes para a Gestão de Privilégios de Ponto Final.

    • Resposta de elevação predefinida: configure a forma como este dispositivo gere pedidos de elevação para ficheiros que não correspondem a uma regra:

      • Não Configurado: esta opção funciona da mesma forma que Negar todos os pedidos.

      • Negar todos os pedidos: o EPM não facilita a elevação de ficheiros e é apresentada ao utilizador uma janela de pop-up com informações sobre a negação. Esta configuração não impede que os utilizadores com permissões administrativas utilizem Executar como administrador para executar ficheiros não geridos.

      • Exigir aprovação de suporte: este comportamento instrui o EPM a pedir ao utilizador para submeter um pedido aprovado pelo suporte.

      • Exigir confirmação do utilizador: o utilizador recebe um pedido simples para confirmar a intenção de executar o ficheiro. Também pode exigir mais pedidos disponíveis no menu pendente Validação :

        • Justificação comercial: exija que o utilizador introduza uma justificação para executar o ficheiro. Não existe um formato necessário para esta justificação. A entrada do utilizador é guardada e pode ser revista através de registos se o âmbito de Relatórios incluir uma coleção de elevações de pontos finais.
        • autenticação do Windows: esta opção requer que o utilizador se autentique com as credenciais da organização.

        Cuidado

        A resposta de elevação predefinida aplica-se a todos os ficheiros que não correspondem a uma regra de elevação. Como resultado, a definição Exigir confirmação do utilizador permite que todos os ficheiros sejam elevados por predefinição. Se não estiver à procura de auditorias ou pedidos de credenciais adicionais, recomendamos a utilização de Negar todos os pedidos ou Exigir aprovação de suporte.

    • Enviar dados de elevação para relatórios: por predefinição, este comportamento está definido como Sim. Quando definido como sim, pode configurar um âmbito de Relatórios. Quando definido como Não, um dispositivo não comunica dados de diagnóstico ou informações sobre elevações de ficheiros para o Intune.

    • Âmbito dos relatórios: escolha o tipo de informação que um dispositivo reporta ao Intune:

      • Dados de diagnóstico e todas as elevações de pontos finais (Predefinição): o dispositivo comunica dados de diagnóstico e detalhes sobre todas as elevações de ficheiros facilitadas pelo EPM.

        Este nível de informações pode ajudá-lo a identificar outros ficheiros que ainda não são geridos por uma regra de elevação que os utilizadores procuram executar num contexto elevado.

      • Apenas dados de diagnóstico e elevações geridas: o dispositivo comunica dados de diagnóstico e detalhes sobre elevações de ficheiros controladas pelo EPM. As elevações EPM incluem elevações que correspondem a uma regra de elevação ou são iniciadas pelo menu de contexto Executar com acesso elevado . Os pedidos de ficheiros para ficheiros não geridos e ficheiros elevados através da ação predefinida do Windows de Executar como administrador não são comunicados como elevações geridas.

      • Apenas dados de diagnóstico: são recolhidos apenas os dados de diagnóstico para a operação do Endpoint Privilege Management. As informações sobre elevações de ficheiros não são comunicadas ao Intune.

    Quando estiver pronto, selecione Avançar para continuar.

  4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

  5. Para Atribuições, selecione os grupos que recebem a política. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo. Selecione Avançar.

  6. Para Rever + criar, reveja as suas definições e, em seguida, selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é apresentada na lista de políticas.

Próximas etapas

Seguinte: Criar uma política de regras de elevação >

  • Last updated on