Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.
С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Дополнительные сведения см. в разделе Обзор EPM.
Применимо к:
- Windows
Чтобы развернуть управление привилегиями конечных точек (EPM), начните с включения отчетов, а затем используйте отчеты для создания правил повышения прав. В этой статье описаны некоторые распространенные сценарии развертывания и приведены рекомендуемые этапы развертывания для вашей организации.
- Политика параметров повышения прав Windows.
- Политика правил повышения прав Windows.
- Группы повторно используемых параметров, которые являются необязательными конфигурациями для правил повышения прав.
Обзор развертывания
EPM может помочь контролировать повышение прав приложений в Intune, а локальные пользователи и группы можно использовать для управления группой локальных администраторов и перехода пользователей от администраторов к стандартным пользователям.
Распространенные этапы развертывания:
- Этап 1. Аудит . Включение клиента EPM и включение сбора отчетов с помощью политики параметров повышения прав.
- Этап 2. Идентификация пользователей — группы удостоверений пользователей с общими требованиями.
- Этап 3. Создание правил . Использование отчетов EPM для создания правил повышения прав для разных пользователей.
- Этап 4. Мониторинг . Итерации и уточнения правил, выявления новых сценариев.
- Этап 5. Проверка привилегий пользователей . Определите и при необходимости переместите пользователей от администратора к стандартному пользователю с помощью локальных пользователей и групп. Рассмотрите возможность включения утвержденного повышения прав поддержки, чтобы пользователи могли запрашивать повышение прав для приложений, которые не охватываются правилами.
Повторяйте этапы 2–5 непрерывно, чтобы обеспечить пользователям минимальные привилегии в соответствии с принципами "Никому не доверяй".
Распространенные сценарии развертывания для EPM:
| Сценарий | Локальный пользователь (до) | Локальный пользователь (после) | Пример роли | Вариант использования |
|---|---|---|---|---|
| 1 | Администратор | Администратор | Специалисты по ИТ-поддержке | Определенное подмножество пользователей требует постоянного локального администратора, но вы хотите улучшить безопасность с помощью EPM. |
| 2 | Admin | пользователь Standard | Информационные работники | Вы хотите переместить пользователей с правами локального администратора на стандартных пользователей с минимальными нарушениями. Вы хотите разрешить им иногда запрашивать приложение для запуска от имени администратора.
Пошаговые инструкции по реализации этого сценария с помощью EPM см. в статье Использование EPM для перехода пользователей от администратора к стандартным пользователям. |
| 2 | пользователь Standard | пользователь Standard | Разработчики | Вы хотите разрешить определенным пользователям "повысить уровень" без предоставления прав локального администратора или использования LAPS. |