Partilhar via


Utilizar o Endpoint Privilege Management com o Microsoft Intune

Observação

Esta capacidade está disponível como um suplemento do Intune. Para obter mais informações, veja Utilizar as capacidades de suplemento do Intune Suite.

Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnósticos do Windows.

A Gestão de Privilégios de Ponto Final suporta o seu percurso de Confiança Zero ao ajudar a sua organização a alcançar uma ampla base de utilizadores em execução com menos privilégios, ao mesmo tempo que permite que os utilizadores continuem a executar tarefas permitidas pela sua organização para se manterem produtivos. Para obter mais informações, veja Confiança Zero com o Microsoft Intune.

As secções seguintes deste artigo abordam os requisitos para utilizar o EPM, fornecem uma descrição geral funcional de como esta capacidade funciona e introduzem conceitos importantes para o EPM.

Aplicável a:

  • Windows 10
  • Windows 11

Pré-requisitos

Licenciamento

O Endpoint Privilege Management requer uma licença adicional para além da licença do Microsoft Intune Plano 1 . Pode escolher entre uma licença autónoma que adiciona apenas o EPM ou licencie o EPM como parte do Microsoft Intune Suite. Para obter mais informações, veja Utilizar as capacidades de suplemento do Intune Suite.

Requisitos

O Endpoint Privilege Management tem os seguintes requisitos:

  • Microsoft Entra aderiu ou Microsoft Entra híbrido associado
  • Inscrição do Microsoft Intune ou dispositivos cogeridos do Microsoft Configuration Manager (sem requisitos de carga de trabalho)
  • Sistema Operacional com Suporte
  • Limpar linha de visão (sem Inspeção SSL) para os pontos finais necessários

Observação

  • O Windows 365 (CloudPC) é suportado através de uma versão suportada do sistema operativo
  • Os dispositivos associados à área de trabalho não são suportados pela Gestão de Privilégios de Ponto Final
  • O Azure Virtual Desktop não é suportado pela Endpoint Privilege Management

O Endpoint Privilege Management suporta os seguintes sistemas operativos:

  • Windows 11, versão 23H2 (22631.2506 ou posterior) com KB5031455
  • Windows 11, versão 22H2 (22621.2215 ou posterior) com KB5029351
  • Windows 11, versão 21H2 (22000.2713 ou posterior) com KB5034121
  • Windows 10, versão 22H2 (19045.3393 ou posterior) com KB5030211
  • Windows 10, versão 21H2 (19044.3393 ou posterior) com KB5030211

Importante

  • A política de definições de elevação será apresentada como não aplicável para dispositivos que não executam uma versão do sistema operativo suportada.
  • A Gestão de Privilégios de Ponto Final tem alguns novos requisitos de rede. Veja Pontos Finais de Rede para o Intune.

Suporte de nuvem do Governo

A Gestão de Privilégios de Ponto Final é suportada com os seguintes ambientes de cloud soberana:

  • Cloud da Comunidade Governamental dos E.U.A. (GCC) Elevada
  • Departamento de Defesa dos E.U.A. (DoD)

Para obter mais informações, veja Descrição do serviço GCC do Microsoft Intune for US Government.

Introdução à Gestão de Privilégios de Ponto Final

A Endpoint Privilege Management (EPM) está incorporada no Microsoft Intune, o que significa que toda a configuração é concluída no Centro de Administração do Microsoft Intune. Quando as organizações começarem a utilizar o EPM, utilizam o seguinte processo de alto nível:

  • Gestão de Privilégios de Ponto Final de Licença – antes de poder utilizar as políticas de Gestão de Privilégios de Ponto Final, tem de licenciar o EPM no seu inquilino como um suplemento do Intune. Para obter informações de licenciamento, veja Utilizar as capacidades de suplemento do Intune Suite.

  • Implementar uma política de definições de elevação – uma política de definições de elevação ativa o EPM no dispositivo cliente. Esta política também lhe permite configurar definições específicas do cliente, mas que não estão necessariamente relacionadas com a elevação de aplicações ou tarefas individuais.

  • Implementar políticas de regras de elevação – uma política de regra de elevação liga uma aplicação ou tarefa a uma ação de elevação. Utilize esta política para configurar o comportamento de elevação das aplicações que a sua organização permite quando as aplicações são executadas no dispositivo.

Conceitos importantes para a Gestão de Privilégios de Ponto Final

Quando configura as definições de elevação e as políticas de regras de elevação mencionadas anteriormente, existem alguns conceitos importantes para compreender se configura o EPM para satisfazer as necessidades da sua organização. Antes de implementar amplamente o EPM, os seguintes conceitos devem ser bem compreendidos, bem como o efeito que têm no seu ambiente:

  • Executar com acesso elevado – uma opção de menu de contexto de clique com o botão direito do rato que aparece quando o EPM é ativado num dispositivo. Quando esta opção é utilizada, as políticas de regras de elevação de dispositivos são verificadas para uma correspondência para determinar se, e como, esse ficheiro pode ser elevado para ser executado num contexto administrativo. Se não existir nenhuma regra de elevação aplicável, o dispositivo utilizará as configurações de elevação predefinidas, conforme definido pela política de definições de elevação.

  • Tipos de elevação e elevação de ficheiros – o EPM permite que os utilizadores sem privilégios administrativos executem processos no contexto administrativo. Quando cria uma regra de elevação, essa regra permite que o EPM execute o proxy do destino dessa regra com privilégios de administrador no dispositivo. O resultado é que a aplicação tem capacidade administrativa total no dispositivo.

    Quando utiliza o Endpoint Privilege Management, existem algumas opções para o comportamento de elevação:

    • Para regras de elevação automática, o EPM eleva automaticamente estas aplicações sem a entrada do utilizador. As regras abrangentes nesta categoria podem ter um impacto generalizado na postura de segurança da organização.
    • Para as regras confirmadas pelo utilizador, os utilizadores finais utilizam um novo menu de contexto com o botão direito do rato Executar com acesso elevado. As regras confirmadas pelo utilizador exigem que o utilizador final preencha alguns requisitos adicionais antes de a aplicação ser autorizada a elevar. Estes requisitos fornecem uma camada adicional de proteção ao fazer com que o utilizador reconheça que a aplicação será executada num contexto elevado, antes de essa elevação ocorrer.
    • Para regras aprovadas pelo suporte, os utilizadores finais têm de submeter um pedido para aprovar uma aplicação. Assim que o pedido for submetido, um administrador pode aprovar o pedido. Assim que o pedido for aprovado, o utilizador final é notificado de que pode concluir a elevação no dispositivo. Para obter mais informações sobre como utilizar este tipo de regra, veja Suporte de pedidos de elevação aprovados

    Observação

    Cada regra de elevação também pode definir o comportamento de elevação para processos subordinados que o processo elevado cria.

  • Controlos de processo subordinado – quando os processos são elevados pelo EPM, pode controlar a forma como a criação de processos subordinados é regida pelo EPM, o que lhe permite ter controlo granular sobre quaisquer subprocessos que possam ser criados pela sua aplicação elevada.

  • Componentes do lado do cliente – para utilizar a Gestão de Privilégios de Ponto Final, o Intune aprovisiona um pequeno conjunto de componentes no dispositivo que recebem políticas de elevação e os impõem. O Intune aprovisiona os componentes apenas quando é recebida uma política de definições de elevação e a política expressa a intenção de ativar a gestão de Privilégios de Ponto Final.

  • Desativar e desaprovisionar – como um componente que é instalado num dispositivo, o Endpoint Privilege Management pode ser desativado a partir de uma política de definições de elevação. A utilização da política de definições de elevação é necessária para remover a Gestão de Privilégios de Ponto Final de um dispositivo.

    Assim que o dispositivo tiver uma política de definições de elevação que exija a desativação do EPM, o Intune desativa imediatamente os componentes do lado do cliente. O EPM removerá o componente EPM após um período de sete dias. O atraso é garantir que as alterações temporárias ou acidentais na política ou atribuições não resultem em eventos dereaprovisionamento de desaprovisionamento / em massa que possam ter um impacto substancial nas operações empresariais.

  • Elevações geridas vs. elevações não geridas – estes termos podem ser utilizados nos nossos dados de relatórios e utilização. Estes termos referem-se às seguintes descrições:

    • Elevação gerida: qualquer elevação que a Endpoint Privilege Management facilite. As elevações geridas incluem todas as elevações que o EPM acaba por facilitar para o utilizador padrão. Estas elevações geridas podem incluir elevações que ocorrem como resultado de uma regra de elevação ou como parte da ação de elevação predefinida.
    • Elevação não gerida: todas as elevações de ficheiros que ocorrem sem a utilização do Endpoint Privilege Management. Estas elevações podem ocorrer quando um utilizador com direitos administrativos utiliza a ação predefinida do Windows de Executar como administrador.

Controlos de acesso baseado em funções para a Gestão de Privilégios de Ponto Final

Para gerir a Gestão de Privilégios de Ponto Final, tem de ser atribuída à sua conta uma função de controlo de acesso baseado em funções (RBAC) do Intune que inclua a seguinte permissão com direitos suficientes para concluir a tarefa pretendida:

  • Criação de Políticas de Gestão de Privilégios de Ponto Final – esta permissão é necessária para trabalhar com políticas ou dados e relatórios para o Endpoint Privilege Management e suporta os seguintes direitos:

    • Exibir relatórios
    • Leitura
    • Criar
    • Atualizar
    • Excluir
    • Atribuir
  • Pedidos de Elevação do Endpoint Privilege Management – esta permissão é necessária para trabalhar com pedidos de elevação submetidos pelos utilizadores para aprovação e suporta os seguintes direitos:

    • Ver pedidos de elevação
    • Modificar pedidos de elevação

Pode adicionar esta permissão com um ou mais direitos às suas próprias funções RBAC personalizadas ou utilizar uma função RBAC incorporada dedicada à gestão do Endpoint Privilege Management:

  • Endpoint Privilege Manager – esta função incorporada é dedicada à gestão da Gestão de Privilégios de Ponto Final na consola do Intune. Esta função inclui todos os direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final e Pedidos de Elevação de Gestão de Privilégios de Ponto Final.

  • Endpoint Privilege Reader – utilize esta função incorporada para ver as políticas de Endpoint Privilege Management na consola do Intune, incluindo relatórios. Esta função inclui os seguintes direitos:

    • Exibir relatórios
    • Leitura
    • Ver pedidos de elevação

Além das funções dedicadas, as seguintes funções incorporadas para o Intune também incluem direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final:

  • Endpoint Security Manager – esta função inclui todos os direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final e Pedidos de Elevação de Privilégios de Ponto Final.

  • Operador Só de Leitura – esta função inclui os seguintes direitos:

    • Exibir relatórios
    • Leitura
    • Ver pedidos de elevação

Para obter mais informações, veja Controlo de acesso baseado em funções para o Microsoft Intune.

Módulo EpmTools do PowerShell

Cada dispositivo que recebe políticas de Endpoint Privilege Management instala o EPM Microsoft Agent para gerir essas políticas. O agente inclui o módulo EpmTools do PowerShell, um conjunto de cmdlets que pode importar para um dispositivo. Pode utilizar os cmdlets do EpmTools para:

  • Diagnosticar e resolver problemas com a Gestão de Privilégios de Ponto Final.
  • Obtenha atributos de Ficheiro diretamente a partir de um ficheiro ou aplicação para o qual pretende criar uma regra de deteção.

Instalar o módulo EpmTools do PowerShell

O módulo EPM Tools do PowerShell está disponível a partir de qualquer dispositivo que tenha recebido a política EPM. Para importar o módulo EpmTools do PowerShell:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Seguem-se os cmdlets disponíveis:

  • Get-Policies: obtém uma lista de todas as políticas recebidas pelo Agente Epm para um determinado PolicyType (ElevationRules, ClientSettings).
  • Get-DeclaredConfiguration: obtém uma lista de documentos WinDC que identificam as políticas direcionadas para o dispositivo.
  • Get-DeclaredConfigurationAnalysis: obtém uma lista de documentos WinDC do tipo MSFTPolicies e verifica se a política já está presente no Agente Epm (coluna Processada).
  • Get-ElevationRules: consulte a funcionalidade de pesquisa EpmAgent e obtenha as regras fornecidas com a pesquisa e o destino. A pesquisa é suportada para FileName e CertificatePayload.
  • Get-ClientSettings: processe todas as políticas de definições de cliente existentes para apresentar as definições de cliente efetivas utilizadas pelo Agente EPM.
  • Get-FileAttributes: obtém atributos de ficheiro para um ficheiro de .exe e extrai os respetivos certificados de Publicador e AC para uma localização definida que pode ser utilizada para preencher as Propriedades da Regra de Elevação de uma determinada aplicação.

Para obter mais informações sobre cada cmdlet, reveja o ficheiro readme.txt da pasta EpmTools no dispositivo.

Próximas etapas