Управление параметрами повышения прав с помощью Управление привилегиями на конечных точках

Чтобы настроить Управление привилегиями на конечных точках (EPM) на устройствах, разверните политику параметров повышения прав Windows для пользователей или устройств:

  • Включение или отключение EPM на устройстве.
  • Задайте правила по умолчанию для запросов на повышение прав для всех файлов, которые не соответствуют правилу повышения прав.
  • Настройте сведения, которые EPM передает обратно Intune.

Если EPM включен, C:\Program Files\Microsoft EPM Agent папка создается вместе со службой microsoft EPM Agent Service, которая отвечает за обработку политик EPM.

О политике параметров повышения прав Windows

Используйте политику параметров повышения прав Windows , если вы хотите:

  • Включение или отключение Управление привилегиями на конечных точках на устройствах. При первом включении EPM устанавливаются компоненты EPM.

    Если на устройстве отключено EPM, клиентские компоненты деактивируются при следующей синхронизации политик. Перед удалением компонентов EPM возникает задержка в семь дней. Задержка помогает сократить время, необходимое для восстановления EPM, если устройство случайно отключит EPM или его политика параметров повышения прав не назначена.

  • Настройка ответа на повышение прав по умолчанию . Задайте ответ по умолчанию для запроса на повышение прав для любого файла, который не управляется политикой правила повышения прав Windows. Чтобы этот параметр действовал, для приложения не может существовать правило . Пользователь должен явно запрашивать повышение прав с помощью контекстного меню Запуск с повышенными привилегиями . По умолчанию этот параметр имеет значение Не настроено. Если параметр не настроен, компоненты EPM возвращаются к встроенным значениям по умолчанию, то есть отклоняют все запросы.

    Совет

    Мы рекомендуем использовать запрос на утверждение поддержки или Запретить все запросы в качестве ответа на повышение прав по умолчанию.

    Варианты:

    • Запретить все запросы (рекомендуется) — этот параметр блокирует действие запроса повышения уровня для файлов, которые не определены в политике правил повышения прав Windows.

    • Требовать утверждения поддержки (рекомендуется) — если требуется утверждение поддержки, администратор должен просмотреть запросы на повышение прав, прежде чем будет разрешено повышение прав.

    • Требовать подтверждение пользователя . Если требуется подтверждение пользователя, можно выбрать один из вариантов проверки, доступных для политики правил повышения прав Windows.

      • Параметры проверки . Задайте параметры проверки, если ответ на повышение прав по умолчанию определен как Требовать подтверждение пользователя. Варианты:

        • Бизнес-обоснование . Этот параметр требует, чтобы конечный пользователь предоставил обоснование перед завершением повышения, что облегчается ответом на повышение по умолчанию.
        • проверка подлинности Windows. Этот параметр требует, чтобы пользователь прошел проверку подлинности перед выполнением повышения прав, что облегчается ответом на повышение прав по умолчанию.

        Примечание.

        В соответствии с потребностями организации можно выбрать несколько вариантов проверки. Если параметры не выбраны, пользователь должен только выбрать продолжить , чтобы завершить повышение прав.

    Предостережение

    Ответ на повышение прав по умолчанию применяется ко всем файлам, которые не соответствуют правилу повышения прав. В результате параметр Требовать подтверждение пользователя позволяет повысить уровень всех файлов по умолчанию. Если вы не ищете бизнес-обоснования или запросы учетных данных для повышения прав, рекомендуется использовать варианты Отклонить все запросы или Требовать утверждения поддержки.

  • Отправка данных о повышении прав для создания отчетов . Этот параметр определяет, предоставляет ли устройство общий доступ к данным диагностики и использования корпорации Майкрософт. Используйте параметр Отчеты область для управления собранными данными.

    Диагностические данные используются корпорацией Майкрософт для измерения работоспособности клиентских компонентов EPM. Данные об использовании используются для отображения повышения прав, происходящих в клиенте. Дополнительные сведения о типах данных и их хранении см. в статье Сбор данных и конфиденциальность для Управление привилегиями на конечных точках.

    Варианты:

    • Да . Этот параметр отправляет данные в корпорацию Майкрософт на основе параметра Область создания отчетов .
    • Нет — этот параметр не отправляет данные в корпорацию Майкрософт.

  • Область создания отчетов . Этот параметр определяет объем данных, отправляемых в корпорацию Майкрософт, если для отправки данных о повышении прав для отчетов задано значение Да. По умолчанию выбраны *Диагностические данные и все повышения прав конечных точек.

    Варианты:

    • Диагностические данные и только управляемые повышения прав. Этот параметр отправляет в корпорацию Майкрософт диагностические данные о работоспособности клиентских компонентов, а также данные об повышениях прав, облегчаемых Управление привилегиями на конечных точках.
    • Диагностические данные и все повышения прав конечных точек . Этот параметр отправляет в корпорацию Майкрософт диагностические данные о работоспособности клиентских компонентов и данные обо всех повышениях прав, происходящих в конечной точке.
    • Только диагностические данные . Этот параметр отправляет в корпорацию Майкрософт только диагностические данные о работоспособности клиентских компонентов.

Создание политики параметров повышения прав Windows

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Безопасность> конечных точек Управление привилегиями на конечных точках> перейдите на вкладку >Политики, а затем выберите Создать политику. Задайте для параметра Платформазначение Windows, для параметра ProfileWindows повышение прав, а затем нажмите кнопку Создать.

  2. В разделе Основные сведения введите следующие свойства:

    • Имя. Введите описательное имя для профиля. Именуйте профили, чтобы их можно было легко идентифицировать позже.
    • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

  3. В разделе Параметры конфигурации настройте следующие параметры, чтобы определить поведение по умолчанию для запросов на повышение прав на устройстве:

    Изображение страницы конфигурации параметров оценки.

    • Управление привилегиями на конечных точках: задайте значение Включено (по умолчанию). Если параметр включен, устройство использует Управление привилегиями на конечных точках. Если задано значение Отключено, устройство не использует Управление привилегиями на конечных точках и немедленно отключает EPM, если он был включен ранее. Через семь дней устройство отменит подготовку компонентов для Управление привилегиями на конечных точках.

    • Ответ на повышение прав по умолчанию. Настройте, как это устройство управляет запросами на повышение прав для файлов, которые не соответствуют правилу:

      • Не настроено. Этот параметр работает так же, как и Запретить все запросы.

      • Запретить все запросы. EPM не упрощает повышение прав файлов, и пользователю отображается всплывающее окно со сведениями об отказе. Эта конфигурация не запрещает пользователям с административными разрешениями использовать запуск от имени администратора для запуска неуправляемых файлов.

      • Требовать утверждения поддержки. Это поведение предписывает EPM запрашивать у пользователя запрос на отправку утвержденного запроса на поддержку.

      • Требовать подтверждение пользователя. Пользователь получает простой запрос на подтверждение своего намерения запустить файл. Вы также можете потребовать дополнительные запросы, доступные в раскрывающемся списке Проверка :

        • Бизнес-обоснование. Требуется, чтобы пользователь ввел обоснование для запуска файла. Для этого обоснования не требуется формат. Входные данные пользователя сохраняются и могут быть проверены через журналы, если область отчетов включает коллекцию повышения прав конечных точек.
        • проверка подлинности Windows. Этот параметр требует, чтобы пользователь прошел проверку подлинности с помощью учетных данных организации.

        Предостережение

        Ответ на повышение прав по умолчанию применяется ко всем файлам, которые не соответствуют правилу повышения прав. В результате параметр Требовать подтверждение пользователя позволяет повысить уровень всех файлов по умолчанию. Если вы не ищете дополнительных запросов аудита или учетных данных, рекомендуется использовать варианты Отклонить все запросы или Требовать утверждения поддержки.

    • Отправка данных о повышении прав для отчетов. По умолчанию это поведение имеет значение Да. Если задано значение "Да", можно настроить область отчетов. Если задано значение Нет, устройство не сообщает диагностические данные или сведения о повышении прав файлов в Intune.

    • Отчеты область. Выберите тип информации, отчитываемой устройством для Intune:

      • Диагностические данные и все повышения прав конечных точек (по умолчанию). Устройство сообщает диагностические данные и сведения обо всех повышениях прав файлов, которые упрощает EPM.

        Этот уровень информации поможет вам определить другие файлы, которые еще не управляются правилом повышения прав, которое пользователи стремятся запустить в контексте с повышенными привилегиями.

      • Диагностические данные и только управляемые повышения прав. Устройство сообщает диагностические данные и сведения о повышении прав файлов, контролируемых EPM. Повышение прав EPM включает повышение прав, которые соответствуют правилу повышения прав или инициируются контекстным меню Выполнить с повышенными правами доступа . Запросы файлов для неуправляемых файлов и файлов с повышенными привилегиями в windows по умолчанию запуска от имени администратора не передаются как управляемые повышения прав.

      • Только диагностические данные. Собираются только диагностические данные для работы Управление привилегиями на конечных точках. Сведения о повышении прав файлов не передаются Intune.

    Затем нажмите кнопку Далее, чтобы продолжить.

  4. На странице Теги области выберите нужные теги области для применения, а затем выберите Далее.

  5. В поле Назначения выберите группы, которые получают политику. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. Нажмите кнопку Далее.

  6. В разделе Просмотр и создание просмотрите параметры и нажмите кнопку Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке политик.

Дальнейшие действия

Далее: Создание политики правил повышения прав >

  • Last updated on