通过

使用Endpoint Privilege Management将用户从管理员用户转换为标准用户

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 有关详细信息,请参阅 EPM 概述

应用于:

  • Windows

对于想要使用Endpoint Privilege Management的客户来说,一个常见的方案是减少其环境中的本地管理员数量。 此方案遵循最小特权零信任原则。 本文档逐步介绍了客户在使用 EPM 将用户从管理员移动到标准用户时可以遵循的步骤,同时尽量减少中断。

阶段 1:审核

无论是从其他终结点特权管理产品迁移还是重新开始,都建议首先启用审核。 启用审核使 EPM 客户端和设备能够将诊断数据发送到Intune,可在各种报表中查看这些数据。 收集此提升数据可深入了解用户正在寻求提升的进程,并帮助识别常见模式。 理想情况下,它们与你的角色(如开发人员、IT 支持技术人员等)保持一致。此用于审核的策略部署是无缝的,可以根据任何常规Intune策略分配,针对所选的一组用户或设备。

注意

启用后,可能需要 24 小时才能返回使用情况数据,并更新Intune门户报告。 根据使用模式,可能需要查看数周的报告数据,以便更好地了解环境。

创建策略的步骤:

  1. 登录到 Microsoft Intune 管理中心
  2. 选择“终结点安全性>Endpoint Privilege Management>策略
  3. 选择“创建策略”。 输入以下详细信息:
    • 平台: 窗户
    • 配置 文件: 提升设置策略
  4. 选择“创建”
  5. 提供策略的名称,例如:EPM 设置策略 – 仅审核
  6. 选择“下一步”。
  7. 展开“特权管理提升客户端设置”部分,并确保设置了以下值:
    • Endpoint Privilege Management:已启用
    • 默认提升响应: 未配置
    • 发送用于报告的提升数据: 是的
    • 报告范围: 诊断数据和所有终结点提升
  8. 选择“下一步”。
  9. 保留“作用域标记”,然后选择“下一步
  10. 添加一组要以策略为目标的设备或用户
  11. 选择“下一步”。
  12. 选择“ 创建 ”以创建策略

若要确认规则是否按预期运行,请执行以下操作:

  • 使用标准用户凭据登录到 Windows 设备。
  • 开始>运行>Services.msc> Ok
  • 检查 “Microsoft EPM 代理服务” 是否存在、正在运行并设置为自动启动类型。
  • 关闭“服务”管理单元。
  • 开始>运行>C:\Program Files\> 还行
  • 验证是否存在名为“Microsoft EPM 代理”的文件夹

经过 24 小时或更多时间后:

  1. 登录到 Microsoft Intune 管理中心
  2. 选择“终结点安全性>Endpoint Privilege Management>报表
  3. 选择 “提升”报表
  4. 查看提升报告的详细信息

确定 (理想情况下与之前确定) 具有类似提升要求的角色一致的用户组。 识别使用模式和用户组有助于执行后续步骤。

提示

此报表在“文件”列中包括一些默认的 Windows 进程 (例如 C:\Windows\System32\Dism\dismhost and c:\Windows\System32\conhost.exe 可忽略) 。

阶段 2:角色识别

在设计Microsoft Intune Endpoint Privilege Management (EPM) 策略时使用用户角色是使提升设置和规则与实际用户需求保持一致的战略方法。

EPM 中的用户角色是什么?

用户角色是组织中不同用户类型的数据驱动表示形式。 每个角色反映一组具有相似角色、职责和应用程序需求的用户。

角色映射示例:

角色类型 示例角色 提升策略 默认提升
Power Users IT 支持技术人员、IT 高级用户 定义的规则的自动提升 拒绝所有请求
开发者 工程 为定义的低风险应用自动提升;为高风险应用辩护的用户 支持已批准
Standard用户 财务、人力资源 定义的规则的自动提升 拒绝已批准的所有请求或支持

角色如何帮助设计提升设置和规则?

通过映射用户需求,可以为每个用户队列定义提升策略。

阶段 3:创建规则

EPM 规则由两个基本元素组成:检测和提升操作。

检测定义为用于标识应用程序或二进制文件的属性集。 这些属性包括文件名、文件版本和签名属性。 提升操作是在检测到应用程序或二进制文件后产生的提升。

最佳做法

  • 使用强属性或多个属性来提高检测强度。
  • 文件哈希或证书是必需的。

有关更多安全建议,请参阅 安全建议

使用提升报告数据创建规则的步骤

  1. 登录到 Microsoft Intune 管理中心
  2. 选择“终结点安全性>Endpoint Privilege Management>策略
  3. 选择 “提升”报表
  4. 例如,选择应用程序或进程 (。 C:\Program Files\Notepad++\)
  5. 选择“ 创建包含以下详细信息的规则”:
    • 创建新策略
    • 类型: 用户确认
    • 子进程行为: 要求规则提升
    • 需要与此提升相同的文件路径: 已选择
  6. 选择 “确定”
  7. (提供策略名称,例如 EPM rule – Notepad++ User Confirmed)
  8. 选择“
  9. 导航到 EPM 策略列表并选择策略
  10. “分配”下,选择“ 编辑”
  11. 选择 “添加组”
  12. 分配给组 (,例如开发人员)
  13. 选择查看保存

有关创建规则的更多详细信息,请参阅 创建提升规则

确认规则正常运行

  • 使用标准用户凭据登录到 Windows 设备。
  • 右键单击应用程序 (例如 Notepad++) ,然后选择 “使用提升的访问权限运行”
  • 在Endpoint Privilege Management弹出窗口中,选择“继续
  • 使用提升的权限验证应用程序是否启动

阶段 4:删除本地管理员权限

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全>帐户保护

  3. 选择“创建策略”:

    • 平台: 窗户
    • 配置 文件: 本地用户组成员身份

  4. 提供策略 (的名称,例如 Remove local admin rights (developers))

  5. 选择“添加”:

    • 本地组:管理员
    • 组和用户操作:添加 (替换)
    • 用户选择类型: 手动

  6. 选择 用户 ()

  7. ) 添加两个安全标识符 (SID:

    • 全局管理员
    • 已加入Microsoft Entra设备本地管理员

    在已加入Entra的设备上使用 Lusrmgr.msc 查找 S-1-12-1- 开头的 SID

  8. 分配给组 (,例如 Developers)

  9. 选择“保存

有关本地用户和组配置文件的详细信息,请参阅 帐户保护

阶段 5:监视

  • 定期查看提升报告
  • 将非托管提升添加到规则或拒绝这些提升
  • 监视支持批准的请求,了解延迟或模式
  • 在文件版本或证书更改时更新规则
  • 停用或收紧过时的规则

后续步骤

下一步:支持已批准的请求 >

  • Last updated on