Создание правил повышения прав с помощью Управление привилегиями на конечных точках

С помощью Microsoft Intune Управление привилегиями на конечных точках (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Дополнительные сведения см. в разделе Обзор EPM.

Применимо к:

• Windows

Политики правил повышения прав позволяют Управление привилегиями на конечных точках (EPM) определять определенные файлы и скрипты и выполнять связанное с ним действие повышения прав. Чтобы правила повышения прав вступают в силу, на устройствах должна быть настроена политика параметров повышения прав , которая включает EPM. Дополнительные сведения см. в разделе Параметры повышения прав EPM.

Помимо сведений, приведенных в этой статье, помните о важных рекомендациях по безопасности при управлении правилами повышения прав.

Сведения о политике правил повышения прав

Политика правил повышения прав используется для управления идентификацией определенных файлов и способом обработки запросов на повышение прав для этих файлов. Каждая политика правил повышения прав включает одно или несколько правил повышения прав. Именно с помощью правил повышения прав вы настраиваете сведения об управляемом файле и требования к повышению его уровня.

Поддерживаются следующие типы файлов:

• Исполняемые файлы с расширением .exe или .msi .
• Скрипты PowerShell с расширением .ps1 .

Каждое правило повышения прав указывает EPM, как:

• Определите файл с помощью:

  • Имя файла (включая расширение). Правило также поддерживает необязательные условия, такие как минимальная версия сборки, название продукта или внутреннее имя. Необязательные условия используются для дальнейшей проверки файла при попытке повышения прав. Имя файла (за исключением расширений) может включать в себя использование переменных для отдельных символов путем использования вопросительного знака ? или строк с помощью звездочки *.
  • Сертификат. Сертификаты можно добавлять непосредственно в правило или с помощью группы параметров для повторного использования. Сертификаты должны быть доверенными и действительными. Рекомендуется использовать повторно используемые группы параметров, так как они могут быть более эффективными и упростить изменение сертификата в будущем. Дополнительные сведения см. в разделе Группы повторно используемых параметров.

• Проверьте файл:

  • Хэш файла. Для автоматических правил требуется хэш файла. Для правил с типом повышения прав пользователем подтверждено или Повышение прав как текущего пользователя можно использовать сертификат или хэш файла. В этом случае хэш файла становится необязательным.
  • Сертификат. Свойства файла можно проверить вместе с сертификатом издателя, используемым для подписи файла. Сертификаты проверяются с помощью API-интерфейсов Windows, которые проверка такие атрибуты, как доверие, срок действия сертификата и состояние отзыва.
  • Свойства файла. Все другие свойства, указанные в правилах, должны соответствовать.

• Настройте тип повышения прав файлов. Тип повышения прав определяет, что происходит при выполнении запроса на повышение прав для файла. По умолчанию этот параметр имеет значение Пользователь подтвержден. За исключением Повышения в качестве текущего пользователя, EPM использует виртуальную учетную запись для повышения уровня процессов. Это изолирует действия с повышенными привилегиями от профиля пользователя, уменьшая уязвимость к данным пользователя и снижая риск повышения привилегий.

  • Запретить. Правила запрета предотвращают запуск идентифицированного файла в контексте с повышенными привилегиями.

  • Поддержка утверждена. Администратор должен утвердить запрос на повышение прав, необходимый для поддержки , прежде чем приложению будет разрешено запускать с повышенными привилегиями.

  • Пользователь подтвердил: повышение прав пользователя всегда требуется, чтобы пользователь нажимал запрос на подтверждение для запуска файла. Подтверждение можно настроить только так, чтобы требуется проверка подлинности пользователя, бизнес-обоснование (видимое в отчетах) или и то, и другое.

  • Повышение прав как текущего пользователя. Этот тип повышения прав выполняет процесс с повышенными привилегиями под собственной учетной записью пользователя, вошедшего в систему, сохраняя совместимость со средствами и установщиками, которые используют активный профиль пользователя. Для этого пользователь должен ввести свои учетные данные для проверки подлинности Windows. Это позволяет сохранить пути к профилям пользователя, переменные среды и персонализированные параметры. Так как процесс с повышенными привилегиями поддерживает одно и то же удостоверение пользователя до и после повышения прав, журналы аудита остаются согласованными и точными.

    Тем не менее, поскольку процесс с повышенными привилегиями наследует полный контекст пользователя, этот режим предоставляет более широкую область атаки и снижает изоляцию от данных пользователя.

    Ключевые вопросы

    • Потребность в совместимости. Используйте этот режим только в том случае, если повышение прав виртуальной учетной записи приводит к сбоям приложения.
    • Область действия. Ограничьте правила повышения прав доверенными двоичными файлами и путями, чтобы снизить риск.
    • Компромисс по безопасности. Поймите, что этот режим увеличивает уязвимость к данным пользователя.

    Совет

    Если совместимость не является проблемой, предпочитайте метод, который использует повышение прав виртуальной учетной записи для повышения безопасности.

  • Автоматический. Автоматическое повышение прав происходит незаметно для пользователя. Нет запроса и нет указания на то, что файл выполняется в контексте с повышенными привилегиями.

• Управление поведением дочерних процессов. Можно задать поведение повышения прав, которое применяется к любым дочерним процессам, создаваемым процессом с повышенными привилегиями.

  • Требовать повышение уровня правила . Настройте дочерние процессы, чтобы требовать собственное правило, прежде чем этот дочерний процесс сможет выполняться в контексте с повышенными привилегиями.
  • Запретить все — все дочерние процессы запускаются без контекста с повышенными привилегиями.
  • Разрешить дочерним процессам выполняться с повышенными привилегиями . Настройте дочерний процесс так, чтобы он всегда выполнялся с повышенными привилегиями.

Определение правил для использования с Управление привилегиями на конечных точках

Управление привилегиями на конечных точках правила состоят из двух основных элементов: обнаружения и действия повышения прав.

Обнаружения определяются как набор атрибутов, используемых для идентификации приложения или двоичного файла. Эти атрибуты включают имя файла, версию файла и свойства подписи.

Действия повышения прав — это результирующее повышение прав, возникающее после обнаружения приложения или двоичного файла.

При определении обнаружения важно, чтобы они были как можно более описательными . Чтобы быть описательным, используйте строгие атрибуты или несколько атрибутов для повышения надежности обнаружения. Целью при определении обнаружения должно быть исключение возможности для нескольких файлов попасть в одно правило, если это не является явным намерением.

Правила хэширования файлов

Правила хэширования файлов — это самые строгие правила, которые можно создать с помощью Управление привилегиями на конечных точках. Настоятельно рекомендуется использовать эти правила, чтобы убедиться, что файл, который вы планируете повысить, является файлом с повышенными привилегиями.

Хэш файла можно получить из прямого двоичного файла с помощью метода PowerShell Get-Filehash или непосредственно из отчетов для Управление привилегиями на конечных точках.

Правила сертификатов

Правила сертификатов являются строгим типом атрибутов и должны быть связаны с другими атрибутами. Связывание сертификата с такими атрибутами, как название продукта, внутреннее имя и описание, значительно повышает безопасность правила. Эти атрибуты защищены подписью файла и часто указывают на особенности подписанного файла.

Правила, содержащие имя файла

Имя файла — это атрибут, который можно использовать для обнаружения приложения, которому требуется повысить уровень. Однако имена файлов легко изменяются и не составляют часть хэша или атрибутов, подписанных сертификатом издателя.

Это означает, что имена файлов очень восприимчивы к изменению. Файлы, на которые вы намеренно не нацелены, подписанные сертификатом, которым вы доверяете, можно переименовать, чтобы их можно было обнаружить и повысить.

Правила, основанные на атрибутах, собранных PowerShell

Чтобы создать более точные правила обнаружения файлов, можно использовать командлет PowerShell Get-FileAttributes . Get-FileAttributes, доступный в модуле PowerShell EpmTools, может извлекать атрибуты файла и материал цепочки сертификатов для файла, а выходные данные можно использовать для заполнения свойств правила повышения прав для конкретного приложения.

Примеры шагов импорта модуля и выходных данных из Get-FileAttributes запуска в msinfo32.exe в Windows 11 версии 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Дополнительные сведения см. в разделе Модуль PowerShell EpmTools.

Управление поведением дочернего процесса

Поведение дочернего процесса позволяет управлять контекстом, когда процесс, повышенный с помощью EPM, создает дочерний процесс. Это позволяет управлять процессами, которые автоматически делегируются контексту родительского процесса.

Windows автоматически делегирует контекст родительского элемента дочернему элементу, поэтому особое внимание следует уделить управлению поведением разрешенных приложений. Убедитесь, что вы оцениваете, что необходимо при создании правил повышения прав, и реализуете принцип наименьших привилегий.

Развертывание правил, созданных с помощью Управление привилегиями на конечных точках

Управление привилегиями на конечных точках правила развертываются, как и любая другая политика в Microsoft Intune. Это означает, что правила могут развертываться для пользователей или устройств, а правила объединяются на стороне клиента и выбираются во время выполнения. Все конфликты разрешаются на основе поведения конфликта политики.

Правила, развернутые на устройстве, применяются к каждому пользователю , использующего это устройство. Правила, развернутые для пользователя , применяются только к нему на каждом устройстве, которое он использует. При выполнении действия повышения прав правила, развернутые для пользователя, имеют приоритет перед правилами, развернутыми на устройстве. Это позволяет развернуть набор правил для всех пользователей устройства и более разрешительный набор правил для конкретного пользователя (например, администратора службы поддержки). Это позволит администратору службы поддержки повысить уровень более широкого набора приложений при входе на устройство.

Поведение повышения прав по умолчанию используется только в том случае, если не удается найти совпадение с правилами. Поведение повышения прав по умолчанию применяется только в том случае, если повышение прав запускается с помощью контекстного меню Выполнить с повышенными привилегиями .

Создание политики правил повышения прав

Разверните политику правил повышения прав для пользователей или устройств, чтобы развернуть одно или несколько правил для файлов, управляемых для повышения прав Управление привилегиями на конечных точках. Каждое правило, добавляемое в эту политику:

• Определяет файл по имени файла и расширению файла, для которого требуется управлять запросами на повышение прав.
• Может включать сертификат для проверки целостности файла. Вы также можете добавить группу с возможностью повторного использования, содержащую сертификат, который затем используется с одним или несколькими правилами или политиками.
• Может включать один или несколько добавленных вручную аргументов файла или параметров командной строки. Когда аргументы файлов добавляются в правило, EPM разрешает только повышение прав файлов для запросов, которые включают одну из определенных командных строк. Если определенная командная строка не входит в запрос на повышение прав файла, EPM отклоняет этот запрос.
• Указывает, является ли тип повышения прав файла автоматическим (автоматически) или требуется подтверждение пользователем. С подтверждением пользователя можно требовать проверку с помощью запроса учетных данных, бизнес-обоснования или и того, и другого.

Используйте один из следующих методов для создания новых правил повышения прав, которые добавляются в политику правил повышения прав:

• Автоматическая настройка правил повышения прав . Используйте этот метод для экономии времени при создании правила повышения прав путем добавления сведений о файлах из отчетов. Правила можно создать с помощью отчета о повышении прав или из записи утвержденных запросов на повышение прав поддержки .

  С помощью этого метода вы:

  • Выберите файл, для которого требуется создать правило повышения прав, из отчета о повышении прав или поддержки утвержденного запроса на повышение прав.
  • Добавьте новое правило повышения прав в существующую политику правил повышения прав или создайте новую политику правил повышения прав, включающую новое правило.
    • При добавлении в существующую политику новое правило сразу же становится доступным для списка назначенных групп.
    • При создании новой политики необходимо изменить ее, чтобы назначить группы, прежде чем она станет доступной для использования.

• Настройка правил повышения прав вручную . Этот метод требует определения сведений о файлах, которые требуется использовать для обнаружения, и ввода их вручную в рамках рабочего процесса создания правила. Сведения о критериях обнаружения см. в разделе Определение правил для использования с Управление привилегиями на конечных точках.

  С помощью этого метода вы:

  • Вручную определите сведения о файлах для использования, а затем добавьте их в правило повышения прав для идентификации файлов.
  • Настройте все аспекты политики во время создания политики, включая назначение политики группам для использования.
  • Можно добавить один или несколько аргументов файла, которые должны быть частью запроса на повышение прав, прежде чем EPM разрешает повышение прав файлов.

Автоматическая настройка правил повышения прав для политики правил повышения прав Windows

1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Безопасность>конечных точек Управление привилегиями на конечных точках. Чтобы выбрать файл для правила повышения прав, выберите один из следующих начальных путей:

   Начните с отчета:

   1. Перейдите на вкладку Отчеты , а затем плитку Отчет о повышении прав . Найдите файл, для которого нужно создать правило, в столбце Файл .
   2. Выберите связанное имя файла, чтобы открыть область сведений о повышении прав файлов.

   Начните с утвержденного запроса на повышение уровня поддержки:

   1. Перейдите на вкладку Запрос на повышение прав .

   2. В столбце Файл выберите файл, который требуется использовать для правила повышения прав. Откроется область сведений о повышении прав файлов.

      Состояние запроса на повышение прав не имеет значения. Можно использовать ожидающий запрос или запрос, который ранее был утвержден или отклонен.

2. На панели Сведения о повышении прав просмотрите сведения о файле. Эти сведения используются правилом повышения прав для идентификации правильного файла. Когда все будет готово, выберите Создать правило с этими сведениями о файлах.

   

3. Выберите параметр политики для создаваемого правила повышения прав:

   Создайте новую политику: Этот параметр создает новую политику, которая включает правило повышения прав для выбранного файла.

   1. Для правила настройте поведение типов и дочерних процессов, а затем нажмите кнопку ОК, чтобы создать политику.
   2. При появлении запроса укажите имя политики для новой политики и подтвердите ее создание.
   3. После создания политики можно изменить политику, назначив ее и внося любые другие изменения.

   Добавьте в существующую политику: С помощью этого параметра используйте раскрывающийся список и выберите существующую политику повышения прав, к которой добавляется новое правило повышения прав.

   1. Для правила настройте поведение типа повышения прав и поведения дочернего процесса, а затем нажмите кнопку ОК. Политика обновляется новым правилом.
   2. После добавления правила в политику можно изменить политику, чтобы получить доступ к правилу, а затем изменить его, чтобы при необходимости сделать дополнительные конфигурации.

   Требуется тот же путь к файлу, что и для этого повышения прав: Если установить этот флажок, в поле Путь к файлу в правиле задается путь к файлу, как показано в отчете. Если флажок не установлен, путь остается пустым.

   Совет

   Хотя это необязательно, рекомендуется использовать путь к файлу , указывающий на расположение, которое обычные пользователи не могут изменить.

   

Настройка правил повышения прав вручную для политики правил повышения прав Windows

1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Безопасность> конечных точек Управление привилегиями на конечных точках> перейдите на вкладку >Политики, а затем выберите Создать политику. Задайте для параметра Платформа значение Windows, для параметра Профилирование — правила повышения прав Windows, а затем нажмите кнопку Создать.

2. В разделе Основные сведения введите следующие свойства:

   • Имя. Введите описательное имя для профиля. Именуйте профили, чтобы их можно было легко идентифицировать позже.
   • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

3. В разделе Параметры конфигурации добавьте правило для каждого файла, которым управляет эта политика. Когда вы создаете новую политику, она начинается с пустым правилом с типом повышения прав пользователя, подтвержденным пользователем, и без имени правила. Начните с настройки этого правила, а затем вы можете нажать кнопку Добавить , чтобы добавить дополнительные правила в эту политику. Каждое новое добавляемое правило имеет тип повышения прав пользователя, который можно изменить при настройке правила.

   

   Чтобы настроить правило, выберите Изменить экземпляр , чтобы открыть страницу свойств правила, а затем настройте следующие параметры:

   

   • Имя правила. Укажите описательное имя правила. Присвойте правилам имя, чтобы их можно было легко определить позже.
   • Описание (необязательно). Введите описание профиля.

   Условия повышения прав — это условия, определяющие, как выполняется файл, и проверки пользователей, которые должны быть выполнены, прежде чем файл, к которому применяется это правило, можно будет запустить.

   • Тип повышения прав. По умолчанию для этого параметра задано значение User confirmed, который является типом повышения, который чаще всего используется, так как он допускает повышение прав, но требует подтверждения пользователя.

     • Запретить. Правило запрета предотвращает запуск идентифицированного файла в контексте с повышенными привилегиями. Применяется следующее поведение:

       • Правила запрета поддерживают те же параметры конфигурации, что и другие типы повышения прав, за исключением параметров дочернего процесса. Параметры дочернего процесса не используются из этого правила, даже если они настроены.
       • Когда пользователь пытается повысить уровень файла, соответствующего правилу запрета, повышение прав завершается ошибкой. EPM отображает сообщение, указывающее, что приложение не может быть запущено от имени администратора. Если этому пользователю также будет назначено правило, разрешающее повышение прав для этого файла, правило запрета имеет приоритет.
       • Отклоненные повышения прав отображаются в отчете о повышении прав как отклоненные, как отклоненный запрос на поддержку .
       • В настоящее время EPM не поддерживает автоматическую настройку правила запрета из отчета об оценке.

     • Поддержка утверждена. Этот тип повышения прав требует, чтобы администратор утвердил запрос на повышение прав. Дополнительные сведения см. в разделе Поддержка утвержденных запросов на повышение прав.

       Важно!

       Использование поддержки утвержденного повышения прав для файлов требует, чтобы администраторы с дополнительными разрешениями проверяли и утверждали каждый запрос на повышение прав файлов перед этим файлом на устройстве с разрешениями администратора. Сведения об использовании утвержденного типа повышения прав поддержки см. в разделе Поддержка утвержденных повышений прав файлов для Управление привилегиями на конечных точках.

     • Пользователь подтвердил: чаще всего используется для файлов с правилами, которые требуют повышения прав, так как это позволяет повышение прав, но требует подтверждения пользователя. При запуске файла пользователь получает простой запрос на подтверждение намерения запустить файл. Правило также может включать другие запросы, доступные в раскрывающемся списке Проверка :

       • Бизнес-обоснование. Требуется, чтобы пользователь ввел обоснование для запуска файла. Для записи не требуется формат. Входные данные пользователя сохраняются и могут быть проверены через журналы, если область отчетов содержит коллекцию повышения прав конечных точек.
       • проверка подлинности Windows. Этот параметр требует, чтобы пользователь прошел проверку подлинности с помощью учетных данных организации.

     • Автоматически. Этот тип повышения прав автоматически запускает файл с повышенными разрешениями. Автоматическое повышение прав является прозрачным для пользователя, без запроса на подтверждение или необходимости обоснования или проверки подлинности со стороны пользователя.

       Предостережение

       Используйте автоматическое повышение прав только по исключениям и для файлов, которым вы доверяете. Эти файлы будут автоматически повышаться без вмешательства пользователя. Правила, которые не определены правильно, могут позволить неутвержденным приложениям повысить уровень. Дополнительные сведения о создании строгих правил см. в руководстве по созданию правил.

   • Поведение дочернего процесса. По умолчанию этот параметр имеет значение Требовать повышение уровня правила, что требует, чтобы дочерний процесс соответствовал тому же правилу, что и процесс, который его создает. Другие доступные варианты:

     • Разрешить запуск всех дочерних процессов с повышенными привилегиями. Этот параметр следует использовать с осторожностью, так как он позволяет приложениям создавать дочерние процессы безоговорочно.
     • Запретить все. Эта конфигурация предотвращает создание любого дочернего процесса.

   Сведения о файле — это место, где указываются сведения, определяющие файл, к которому применяется это правило.

   • Имя файла: укажите имя файла и его расширение. Пример: myapplication.exe. Можно также использовать переменную в имени файла.

   • Путь к файлу (необязательно): укажите расположение файла. Если файл можно запустить из любого расположения или он неизвестен, его можно оставить пустым. Можно также использовать переменную.

     Совет

     Хотя это необязательно, рекомендуется использовать путь к файлу , указывающий на расположение, которое обычные пользователи не могут изменить.

   • Источник подписи. Выберите один из следующих вариантов:

     • Использовать файл сертификата в параметрах многократного использования (по умолчанию). Этот параметр использует файл сертификата, который ранее был добавлен в группу повторно используемых параметров для Управление привилегиями на конечных точках. Прежде чем использовать этот параметр, необходимо создать группу параметров для повторного использования.

       Чтобы определить сертификат, выберите Добавить или удалить сертификат, а затем выберите группу для повторного использования, содержащую правильный сертификат. Затем укажите тип сертификатаиздателя или центра сертификации.

     • Отправка файла сертификата. Добавьте файл сертификата непосредственно в правило повышения прав. В поле Отправка файла укажите файл .cer , который может проверить целостность файла, к которому применяется это правило. Затем укажите тип сертификатаиздателя или центра сертификации.

     • Не настроено. Используйте этот параметр, если вы не хотите использовать сертификат для проверки целостности файла. Если сертификат не используется, необходимо указать хэш файла.

   • Хэш файлов. Хэш файла является обязательным, если для источника подписи задано значение Не настроено, и необязательный, если задано значение для использования сертификата.

   • Минимальная версия: (необязательно) Используйте формат x.x.x.x, чтобы указать минимальную версию файла, поддерживаемую этим правилом.

   • Описание файла: (необязательно) Укажите описание файла.

   • Название продукта: (необязательно) Укажите имя продукта, из файла.

   • Внутреннее имя: (необязательно) Укажите внутреннее имя файла.

   Нажмите кнопку Сохранить , чтобы сохранить конфигурацию правила. Затем можно добавить дополнительные правила. После добавления всех правил, необходимых для этой политики, нажмите кнопку Далее , чтобы продолжить.

4. На странице Теги области выберите нужные теги области для применения, а затем выберите Далее.

5. В поле Назначения выберите группы, которые получают политику. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. Нажмите кнопку Далее.

6. В разделе Просмотр и создание проверьте параметры, а затем выберите Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке политик.

Использование переменных в правилах повышения прав

При настройке правил повышения прав файлов вручную можно использовать подстановочные знаки для следующих конфигураций, доступных на странице Свойств правила политики правила повышения прав:

• Имя файла. Подстановочные знаки поддерживаются как часть имени файла при настройке поля Имя файла .
• Путь к папке. Подстановочные знаки поддерживаются как часть пути к папке при настройке поля Путь к папке .

Использование подстановочных знаков обеспечивает гибкость в правилах для поддержки доверенных файлов с именами, которые могут часто меняться с последующими исправлениями или для которых также может измениться путь к файлу.

Поддерживаются следующие подстановочные знаки:

• Вопросительный знак ? — вопросительные знаки заменяют отдельные символы в имени файла.
• Звездочка * — звездочка заменяет строку символов в имени файла.

Ниже приведены примеры поддерживаемого использования подстановочных знаков.

• Имя файла установки Visual Studio с именем VSCodeSetup-arm64-1.99.2.exe:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Путь к файлу для того же файла, который обычно находится в C:\Users\<username>\Downloads\:

  • C:\Users\*\Downloads\

Использование аргументов файлов для правил повышения прав

Правило повышения прав файлов также может быть ограничено, чтобы разрешить повышение прав с помощью определенных аргументов.

Например, dsregcmd может быть полезен для изучения состояния устройства в Microsoft Entra идентификаторе, но требует повышения прав. Чтобы упростить поддержку использования этих файлов для исследования, можно настроить правило со списком аргументов для dsregcmd , который включает параметры для /status, /listaccounts и многое другое. Однако для предотвращения деструктивного действия, например отмены регистрации устройства, необходимо исключить такие аргументы, как /leave. В этой конфигурации правило разрешает повышение прав только в том случае, если используются аргументы /status или /listaccounts . Dsregcmd с параметром /leave, который удаляет устройство из Microsoft Entra идентификатора, будет отклонен.

Чтобы добавить один или несколько аргументов в правило повышения прав, присвойте параметру Ограничить аргументызначение Разрешить список. Выберите Добавить и настройте допустимые параметры командной строки. Добавляя несколько аргументов, вы предоставляете несколько командных строк, поддерживаемых запросами на повышение прав.

Группы параметров для повторного использования

Управление привилегиями на конечных точках использует многократно используемые группы параметров для управления сертификатами, которые проверяют файлы, которыми вы управляете, с помощью правил повышения прав Управление привилегиями на конечных точках. Как и все группы повторно используемых параметров Для Intune, изменения в многократно используемых группах автоматически передаются политикам, которые ссылаются на группу. Если необходимо обновить сертификат, используемый для проверки файла, необходимо обновить его только в группе повторно используемых параметров один раз. Intune применяет обновленный сертификат ко всем правилам повышения прав, которые используют группу.

Чтобы создать группу повторно используемых параметров для Управление привилегиями на конечных точках:

1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Безопасность> конечных точек Управление привилегиями на конечных точках> перейдите на вкладку >Параметры повторного использования (предварительная версия) и нажмите кнопку Добавить.

   

2. В разделе Основные сведения введите следующие свойства:

   • Имя. Введите описательное имя для многократно используемой группы. Именуйте группы, чтобы можно было легко идентифицировать каждую из них позже.
   • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

3. В разделе Параметры конфигурации выберите значок папки для файла сертификата и перейдите к . CER-файл , чтобы добавить его в эту многократноиспользуемую группу. Поле Базовое значение 64 заполняется в зависимости от выбранного сертификата.

   

4. В разделе Просмотр и создание просмотрите параметры и нажмите кнопку Добавить. При нажатии кнопки Добавить конфигурация сохраняется, а группа отображается в списке групп повторно используемых параметров для Управление привилегиями на конечных точках.

Дальнейшие действия