Utilizar o Endpoint Privilege Management para fazer a transição de utilizadores de administrador para utilizador padrão

Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. Para obter mais informações, consulte Descrição Geral do EPM.

Aplicável a:

• Windows

Um cenário comum para os clientes que pretendem utilizar a Gestão de Privilégios de Ponto Final é reduzir o número de administradores locais no respetivo ambiente. Este cenário cumpre o princípio Confiança Zero de menor privilégio. Este documento descreve os passos que um cliente pode seguir para utilizar o EPM para mover utilizadores de administradores para utilizadores padrão com interrupções mínimas.

Fase 1: Auditoria

Independentemente de estar a migrar de outro produto de gestão de privilégios de ponto final ou a começar de novo, recomendamos que ative a auditoria como o primeiro passo. Ativar a auditoria permite que o cliente EPM e os dispositivos enviem dados de diagnóstico para o Intune, onde podem ser visualizados em vários relatórios. A recolha destes dados de elevação fornece informações sobre os processos que os utilizadores procuram elevar e ajudam a identificar padrões comuns. Idealmente, estes alinham-se com as suas personalidades, como programadores, técnicos de suporte de TI, etc. A implementação desta política para auditoria é totalmente integrada e pode ser direcionada para um grupo de utilizadores ou dispositivos à sua escolha, de acordo com qualquer atribuição de política normal do Intune.

Passos para criar a política:

1. Entre no Centro de administração do Microsoft Intune.
2. SelecionePolíticas deGestão de> Privilégios de Ponto Final de Segurança > do Ponto Final
3. Selecione Criar Política. Introduza os seguintes detalhes:
   • Plataforma: Windows
   • Perfil: Política de definições de elevação
4. Selecione Criar
5. Indique o nome da política, como: Política de definições do EPM – Apenas auditoria
6. Selecione Avançar
7. Expanda a secção "Definições de cliente de elevação de gestão de privilégios" e certifique-se de que os seguintes valores estão definidos:
   • Endpoint Privilege Management: Ativado
   • Resposta de elevação predefinida: Não Configurado
   • Enviar dados de elevação para relatórios: Sim
   • Âmbito dos relatórios: Dados de diagnóstico e todas as elevações de pontos finais
8. Selecione Avançar
9. Deixe as etiquetas Âmbito e selecione Seguinte
10. Adicionar um grupo de dispositivos ou utilizadores para o qual pretende direcionar a política
11. Selecione Avançar
12. Selecione Criar para criar a política

Para confirmar que a regra está a funcionar conforme esperado:

• Inicie sessão no dispositivo Windows com as credenciais de utilizador padrão.
• Iniciar>Executar>Services.msc> Ok
• Verifique se o "Serviço do Agente microsoft EPM" está presente, Em execução e definido como Tipo de arranque automático.
• Feche o snap-in Serviços.
• Iniciar>Executar>C:\Program Files\> Ok
• Verifique se existe uma pasta chamada: Microsoft EPM Agent

Após as 24 horas ou mais terem passado:

1. Entre no Centro de administração do Microsoft Intune.
2. SelecioneRelatórios deGestão de> Privilégios de Ponto Final de Segurança > de Ponto Final
3. Selecionar Relatório de elevação
4. Reveja os detalhes do relatório de elevação

Identifique grupos de utilizadores (idealmente alinhados com as pessoas que identificou anteriormente) que têm requisitos de elevação semelhantes. Identificar padrões de utilização e grupos de utilizadores ajuda nos passos subsequentes.

Fase 2: Identificação de personas

A utilização de personas de utilizador na conceção de políticas de Gerenciamento de privilégios de ponto de extremidade do Microsoft Intune (EPM) é uma forma estratégica de alinhar as definições e regras de elevação com as necessidades do utilizador do mundo real.

O que são as Pessoas Fictícias de Utilizador no EPM?

As pessoas fictícias de utilizador são representações baseadas em dados de diferentes tipos de utilizador na sua organização. Cada persona reflete um grupo de utilizadores com funções, responsabilidades e necessidades de aplicações semelhantes.

Mapeamento de personas de exemplo:

Como é que as pessoas pessoais ajudam a conceber definições e regras de elevação?

Mapear as necessidades do utilizador permite-lhe definir a estratégia de elevação para cada coorte de utilizador.

Fase 3: Criar regras

As regras EPM consistem em dois elementos fundamentais: uma deteção e uma ação de elevação.

As deteções são definidas como o conjunto de atributos utilizados para identificar uma aplicação ou binário. Estes atributos incluem o nome do ficheiro, a versão do ficheiro e as propriedades da assinatura. As ações de elevação são a elevação resultante que ocorre após a deteção de uma aplicação ou binário.

Práticas recomendadas

• Utilize atributos fortes ou múltiplos atributos para aumentar a força da deteção.
• Um hash de ficheiro ou certificado é obrigatório.

Para obter mais recomendações de segurança, veja Recomendações de Segurança.

Passos para criar uma regra com dados de relatórios de elevação

1. Entre no Centro de administração do Microsoft Intune.
2. SelecionePolíticas deGestão de> Privilégios de Ponto Final de Segurança > do Ponto Final
3. Selecionar Relatório de elevação
4. Selecione uma aplicação ou processo (por exemplo, C:\Program Files\Notepad++\)
5. Selecione Criar uma regra com estes detalhes:
   • Criar uma nova política
   • Tipo: Confirmado pelo utilizador
   • Comportamento do processo subordinado: Exigir regra para elevar
   • Exigir o mesmo caminho de ficheiro que esta elevação: selecionado
6. Selecione OK
7. Indique um Nome da política (por exemplo EPM rule – Notepad++ User Confirmed, )
8. Selecione Sim
9. Navegue para a lista de políticas EPM e selecione a política
10. Em Tarefas, selecione Editar
11. Selecione Adicionar grupos
12. Atribuir a um grupo (por exemplo, Programadores)
13. Selecionar, Rever e Guardar

Para obter mais detalhes sobre como criar uma regra, veja Criar regras de elevação.

Confirme que a regra está a funcionar

• Inicie sessão no dispositivo Windows com as credenciais de utilizador padrão.
• Clique com o botão direito do rato na aplicação (por exemplo Notepad++) e selecione "Executar com acesso elevado"
• No pop-up Endpoint Privilege Management, selecione Continuar
• Verificar se a aplicação é iniciada com permissões elevadas

Fase 4: Remover direitos de administrador local

1. Entre no Centro de administração do Microsoft Intune.

2. SelecioneProteção da Contade Segurança> de Ponto Final

3. Selecione Criar Política:

   • Plataforma: Windows
   • Perfil: Associação a grupos de utilizadores locais

4. Indique o nome da política (por exemplo Remove local admin rights (developers), )

5. Selecione Adicionar:

   • Grupo local: Administradores
   • Ação de grupo e utilizador: Adicionar (Substituir)
   • Tipo de seleção de utilizador: Manual

6. Selecionar utilizadores

7. Adicione os dois Identificadores de Segurança (SIDs) para:

   • Administrador Global
   • Administrador Local do Dispositivo Associado Microsoft Entra

   Utilize Lusrmgr.msc num dispositivo associado ao Entra para encontrar SIDs a partir do S-1-12-1-

8. Atribuir a um grupo (por exemplo Developers)

9. Selecione Salvar

Para obter mais informações sobre os perfis Utilizadores e Grupos Locais, veja Proteção de conta

Fase 5: Monitorização

• Rever regularmente os relatórios de elevação
• Adicionar elevações não geridas a regras ou negá-las
• Monitorizar pedidos aprovados pelo suporte para atrasos ou padrões
• Atualizar regras quando as versões do ficheiro ou os certificados são alterados
• Extinguir ou apertar regras desatualizadas

Próximas etapas