Verwenden von Endpoint Privilege Management zum Übergang von Benutzern vom Administrator zum Standardbenutzer

Mit Microsoft Intune Endpoint Privilege Management (EPM) können die Benutzer Ihrer organization als Standardbenutzer (ohne Administratorrechte) ausgeführt und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Weitere Informationen finden Sie unter ÜBERSICHT ÜBER EPM.

Gilt für:

• Windows

Ein häufiges Szenario für Kunden, die Endpoint Privilege Management verwenden möchten, besteht darin, die Anzahl der lokalen Administratoren in ihrer Umgebung zu reduzieren. Dieses Szenario entspricht dem Zero Trust Prinzip der geringsten Rechte. In diesem Dokument werden die Schritte beschrieben, die ein Kunde ausführen kann, um MIT EPM Benutzer mit minimaler Unterbrechung von Administratoren zu Standardbenutzern zu verschieben.

Phase 1: Überwachung

Unabhängig davon, ob Sie von einem anderen Produkt für die Endpunktberechtigungsverwaltung migrieren oder neu beginnen, wird empfohlen, die Überwachung als ersten Schritt zu aktivieren. Durch aktivieren der Überwachung können der EPM-Client und die Geräte Diagnosedaten an Intune senden, wo sie in verschiedenen Berichten angezeigt werden können. Das Sammeln dieser Höhendaten bietet Einblicke in die Prozesse, die Benutzer erhöhen möchten, und hilft dabei, gängige Muster zu identifizieren. Im Idealfall richten sich diese an Ihre Personas, z. B. Entwickler, IT-Supporttechniker usw. Die Bereitstellung dieser Richtlinie für die Überwachung ist nahtlos und kann gemäß jeder regulären Intune Richtlinienzuweisung auf eine Gruppe von Benutzern oder Geräten Ihrer Wahl ausgerichtet werden.

Schritte zum Erstellen der Richtlinie:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Endpunktsicherheit>Endpoint Privilege Management>Richtlinien aus.
3. Wählen Sie Richtlinie erstellen. Geben Sie die folgenden Details ein:
   • Plattform: Fenster
   • Profil: Einstellungsrichtlinie für Rechteerweiterungen
4. Wählen Sie Erstellen aus
5. Geben Sie den Namen für die Richtlinie an, z. B.: EPM-Einstellungsrichtlinie – Nur Überwachen
6. Wählen Sie Weiter aus.
7. Erweitern Sie den Abschnitt Clienteinstellungen für Rechteverwaltungserweiterungen, und stellen Sie sicher, dass die folgenden Werte festgelegt sind:
   • Endpoint Privilege Management: Aktiviert
   • Standardantwort für Erhöhte Rechte: Nicht konfiguriert
   • Senden von Höhendaten für die Berichterstellung: Ja
   • Berichtsbereich: Diagnosedaten und alle Endpunkterweiterungen
8. Wählen Sie Weiter aus.
9. Behalten Sie die Bereichstags bei, und wählen Sie Weiter aus.
10. Fügen Sie eine Gruppe von Geräten oder Benutzern hinzu, auf die Sie die Richtlinie ausrichten möchten.
11. Wählen Sie Weiter aus.
12. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen.

So bestätigen Sie, dass die Regel wie erwartet funktioniert:

• Melden Sie sich beim Windows-Gerät mit den Standardbenutzeranmeldeinformationen an.
• Starten>Ausführen>Services.msc> Ok
• Überprüfen Sie, ob der "Microsoft EPM-Agent-Dienst" vorhanden ist, wird ausgeführt und auf "Automatischer Starttyp" festgelegt.
• Schließen Sie das Snap-In Dienste.
• Starten>Ausführen>C:\Program Files\> Okay
• Vergewissern Sie sich, dass es einen Ordner namens Microsoft EPM-Agent gibt.

Nach 24 Stunden oder mehr sind vergangen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Endpunktsicherheit>aus Endpoint Privilege Management>Berichte
3. Wählen Sie den Bericht "Rechteerweiterungen" aus.
4. Überprüfen der Details des Berichts über erhöhte Rechte

Identifizieren Sie Gruppen von Benutzern (idealerweise mit den personas, die Sie zuvor identifiziert haben), die ähnliche Rechteerweiterungsanforderungen haben. Das Identifizieren von Verwendungsmustern und Benutzergruppen hilft bei den nachfolgenden Schritten.

Phase 2: Persona-Identifizierung

Die Verwendung von Benutzerpersonas beim Entwurf von Microsoft Intune Endpoint Privilege Management-Richtlinien (EPM) ist eine strategische Möglichkeit, um Einstellungen und Regeln für Rechteerweiterungen an den realen Benutzeranforderungen auszurichten.

Was sind Benutzerpersonas in EPM?

Benutzerpersonas sind datengesteuerte Darstellungen verschiedener Benutzertypen innerhalb Ihres organization. Jede Persona spiegelt eine Gruppe von Benutzern mit ähnlichen Rollen, Zuständigkeiten und Anwendungsanforderungen wider.

Beispiel für eine Personazuordnung:

Wie helfen Personas beim Entwerfen von Einstellungen und Regeln für Erhöhte Rechte?

Wenn Sie die Benutzeranforderungen abbilden, können Sie eine Erhöhungsstrategie für jede Benutzerkohorte definieren.

Phase 3: Erstellen von Regeln

EPM-Regeln bestehen aus zwei grundlegenden Elementen: einer Erkennung und einer Erhöhungsaktion.

Erkennungen werden als der Satz von Attributen definiert, die zum Identifizieren einer Anwendung oder Binärdatei verwendet werden. Zu diesen Attributen gehören Dateiname, Dateiversion und Signatureigenschaften. Rechteerweiterungsaktionen sind die sich ergebenden Rechte, die auftreten, nachdem eine Anwendung oder Binärdatei erkannt wurde.

Bewährte Methoden

• Verwenden Sie starke Attribute oder mehrere Attribute, um die Erkennungsstärke zu erhöhen.
• Entweder ein Dateihash oder ein Zertifikat ist obligatorisch.

Weitere Sicherheitsempfehlungen finden Sie unter Sicherheitsempfehlungen.

Schritte zum Erstellen einer Regel mithilfe von Höhenberichtsdaten

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Endpunktsicherheit>Endpoint Privilege Management>Richtlinien aus.
3. Wählen Sie den Bericht "Rechteerweiterungen" aus.
4. Wählen Sie eine Anwendung oder einen Prozess aus (z. B. C:\Program Files\Notepad++\).
5. Wählen Sie Regel mit den folgenden Details erstellen aus:
   • Erstellen einer neuen Richtlinie
   • Typ: Vom Benutzer bestätigt
   • Verhalten des untergeordneten Prozesses: Regel zum Erhöhen von Rechten erforderlich
   • Denselben Dateipfad wie diese Rechteerweiterung anfordern: ausgewählt
6. Wählen Sie OK aus.
7. Geben Sie einen Richtliniennamen an (z. B EPM rule – Notepad++ User Confirmed. ).
8. Wählen Sie Ja aus.
9. Navigieren Sie zur Liste der EPM-Richtlinien, und wählen Sie die Richtlinie aus.
10. Wählen Sie unter Zuweisungen die Option Bearbeiten aus.
11. Wählen Sie Gruppen hinzufügen aus.
12. Zuweisen zu einer Gruppe (z. B. Entwickler)
13. Auswählen, Überprüfen und Speichern

Weitere Informationen zum Erstellen einer Regel finden Sie unter Erstellen von Erhöhungsregeln.

Vergewissern Sie sich, dass die Regel funktioniert.

• Melden Sie sich mit Standardbenutzeranmeldeinformationen beim Windows-Gerät an.
• Klicken Sie mit der rechten Maustaste auf die Anwendung (z. B Notepad++. ), und wählen Sie "Mit erhöhtem Zugriff ausführen" aus.
• Wählen Sie im Popupfenster Endpoint Privilege Management die Option Weiter aus.
• Überprüfen, ob die Anwendung mit erhöhten Berechtigungen gestartet wird

Phase 4: Entfernen lokaler Administratorrechte

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Auswählen von Endpoint Security>Account Protection

3. Wählen Sie Richtlinie erstellen aus:

   • Plattform: Fenster
   • Profil: Lokale Benutzergruppenmitgliedschaft

4. Geben Sie den Namen für die Richtlinie an (z. B Remove local admin rights (developers). ).

5. Wählen Sie Hinzufügen aus:

   • Lokale Gruppe: Administratoren
   • Gruppen- und Benutzeraktion: Hinzufügen (Ersetzen)
   • Benutzerauswahltyp: Manuell

6. Auswählen von Benutzern

7. Fügen Sie die beiden Sicherheits-IDs (SIDs) für Folgendes hinzu:

   • Globaler Administrator
   • Microsoft Entra Lokaler Geräteadministrator

   Verwenden Sie Lusrmgr.msc auf einem Entra eingebundenen Gerät, um SIDs zu finden, die mit S-1-12-1 beginnen.

8. Zuweisen zu einer Gruppe (z. B Developers. )

9. Wählen Sie Speichern aus.

Weitere Informationen zu den Lokalen Benutzern und Gruppenprofilen finden Sie unter Kontoschutz.

Phase 5: Überwachung

• Regelmäßiges Überprüfen von Höhenberichten
• Hinzufügen nicht verwalteter Rechteerweiterungen zu Regeln oder verweigern
• Überwachen von vom Support genehmigten Anforderungen auf Verzögerungen oder Muster
• Aktualisieren von Regeln, wenn Dateiversionen oder Zertifikate geändert werden
• Außerkraftsetzen oder Verschärfung veralteter Regeln

Nächste Schritte