Konfigurieren von Richtlinien für die Verwaltung von Endpunktberechtigungen

Hinweis

Diese Funktion ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

Mit Microsoft Intune Endpoint Privilege Management (EPM) können die Benutzer Ihrer Organisation als Standardbenutzer (ohne Administratorrechte) ausgeführt und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnosen.

Endpoint Privilege Management unterstützt Ihre Zero-Trust-Journey, indem Sie Ihrer Organisation dabei helfen, eine breite Benutzerbasis mit geringsten Rechten zu erreichen, während Benutzer weiterhin Aufgaben ausführen können, die von Ihrer Organisation erlaubt sind, um produktiv zu bleiben.

Die Informationen in diesem Artikel können Ihnen helfen, die folgenden Richtlinien und wiederverwendbaren Einstellungen für EPM zu konfigurieren:

  • Windows-Einstellungsrichtlinie für Rechteerweiterungen.
  • Windows-Richtlinie für Rechteerweiterungsregeln.
  • Wiederverwendbare Einstellungsgruppen, bei denen es sich um optionale Konfigurationen für Ihre Rechteerweiterungsregeln handelt.

Gilt für:

  • Windows 10
  • Windows 11

Erste Schritte mit EPM-Richtlinien

Endpoint Privilege Management verwendet zwei Richtlinientypen, die Sie konfigurieren, um zu verwalten, wie eine Anforderung zur Erhöhung von Dateien behandelt wird. Zusammen konfigurieren die Richtlinien das Verhalten für Dateierweiterungen, wenn Standardbenutzer die Ausführung mit Administratorrechten anfordern.

Bevor Sie Endpoint Privilege Management-Richtlinien erstellen können, müssen Sie EPM in Ihrem Mandanten als Intune-Add-On lizenzieren. Lizenzierungsinformationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

Informationen zur Einstellungsrichtlinie für Rechteerweiterungen in Windows

Verwenden Sie die Windows-Richtlinie für Rechteerweiterungseinstellungen , wenn Sie Folgendes ausführen möchten:

  • Aktivieren Sie die Endpunktberechtigungsverwaltung auf Geräten. Standardmäßig aktiviert diese Richtlinie EPM. Bei der erstmaligen Aktivierung für EPM stellt ein Gerät die Komponenten bereit, die Nutzungsdaten für Rechteerweiterungsanforderungen sammeln und Rechteerweiterungsregeln erzwingen.

    Wenn EPM auf einem Gerät deaktiviert ist, werden die Clientkomponenten sofort deaktiviert. Es gibt eine Verzögerung von sieben Tagen, bevor die EPM-Komponente vollständig entfernt wird. Die Verzögerung trägt dazu bei, die Zeit zu verkürzen, die zum Wiederherstellen von EPM benötigt wird, wenn epm auf einem Gerät versehentlich deaktiviert oder die Richtlinie für Rechteerweiterungseinstellungen nicht zugewiesen wurde.

  • Standardantwort für Rechteerweiterungen : Legen Sie eine Standardantwort für eine Rechteerweiterungsanforderung für jede Datei fest, die nicht von einer Windows-Richtlinie für Rechteerweiterungen verwaltet wird. Damit diese Einstellung wirksam wird, kann keine Regel für die Anwendung vorhanden sein, UND ein Endbenutzer muss die Rechteerweiterung explizit über das Kontextmenü Ausführen mit erhöhtem Zugriffanfordern. Diese Option ist standardmäßig nicht konfiguriert. Wenn keine Einstellung übermittelt wird, greifen die EPM-Komponenten auf ihren integrierten Standardwert zurück, d. h. alle Anforderungen werden abgelehnt.

    Die folgenden Optionen stehen zur Verfügung:

    • Alle Anforderungen ablehnen : Mit dieser Option wird die Anforderungsaktion für Erhöhte Rechte für Dateien blockiert, die nicht in einer Windows-Richtlinie für Rechteerweiterungsregeln definiert sind.
    • Benutzerbestätigung erforderlich : Wenn eine Benutzerbestätigung erforderlich ist, können Sie aus den gleichen Validierungsoptionen wählen, die für die Windows-Richtlinie für Rechteerweiterungsregeln gefunden wurden.
    • Supportgenehmigung anfordern : Wenn eine Supportgenehmigung erforderlich ist, muss ein Administrator Rechteerweiterungsanforderungen ohne eine Abgleichsregel genehmigen, bevor die Rechteerweiterung erforderlich ist.

    Hinweis

    Standardantworten werden nur für Anforderungen verarbeitet, die über das Kontextmenü Ausführen mit erhöhtem Zugriff eingehen.

  • Validierungsoptionen : Legen Sie Validierungsoptionen fest, wenn die Standardantwort für erhöhte Rechte als Benutzerbestätigung erforderlich definiert ist.

    Die folgenden Optionen stehen zur Verfügung:

    • Geschäftliche Begründung : Diese Option erfordert, dass der Endbenutzer eine Begründung angibt, bevor eine Erhöhung abgeschlossen wird, die durch die Standardmäßige Antwort auf Rechteerweiterungen ermöglicht wird.
    • Windows-Authentifizierung : Diese Option erfordert, dass sich der Endbenutzer authentifiziert, bevor eine Erhöhung abgeschlossen wird, die durch die Standardantwort für erhöhte Rechte ermöglicht wird.

    Hinweis

    Es können mehrere Validierungsoptionen ausgewählt werden, um die Anforderungen der Organisation zu erfüllen. Wenn keine Optionen ausgewählt sind, muss der Benutzer nur auf Weiter klicken, um die Rechteerweiterung abzuschließen.

  • Senden von Höhendaten für die Berichterstellung : Diese Einstellung steuert, ob Ihr Gerät Diagnose- und Nutzungsdaten für Microsoft freigibt. Wenn die Freigabe von Daten aktiviert ist, wird der Datentyp durch die Einstellung Berichtsbereich konfiguriert.

    Diagnosedaten werden von Microsoft verwendet, um die Integrität der EPM-Clientkomponenten zu messen. Nutzungsdaten werden verwendet, um Erhöhungen anzuzeigen, die innerhalb Ihres Mandanten auftreten. Weitere Informationen zu den Datentypen und deren Speicherung finden Sie unter Datensammlung und Datenschutz für Endpoint Privilege Management.

    Die folgenden Optionen stehen zur Verfügung:

    • Ja : Diese Option sendet Daten basierend auf der Einstellung Berichtsbereich an Microsoft.
    • Nein : Diese Option sendet keine Daten an Microsoft.
  • Berichtsbereich : Diese Einstellung steuert die Menge der Daten, die an Microsoft gesendet werden, wenn Rechteerweiterungsdaten für Berichterstellung senden auf Ja festgelegt ist. Standardmäßig sind Diagnosedaten und alle Endpunkterweiterungen ausgewählt.

    Die folgenden Optionen stehen zur Verfügung:

    • Nur Diagnosedaten und verwaltete Rechteerweiterungen : Diese Option sendet Diagnosedaten über die Integrität der Clientkomponenten und Daten zu Erhöhungen, die von Endpoint Privilege Management unterstützt werden.
    • Diagnosedaten und alle Endpunkterweiterungen : Diese Option sendet Diagnosedaten über die Integrität der Clientkomponenten UND Daten zu allen am Endpunkt stattfindenden Erhöhungen an Microsoft.
    • Nur Diagnosedaten : Diese Option sendet nur die Diagnosedaten zur Integrität der Clientkomponenten an Microsoft.

Informationen zu Windows-Richtlinien für Rechteerweiterungsregeln

Verwenden Sie Profile für windows-Richtlinien für Rechteerweiterungsregeln , um die Identifizierung bestimmter Dateien zu verwalten und wie Rechteerweiterungsanforderungen für diese Dateien behandelt werden. Jede Windows-Richtlinie für Rechteerweiterungen enthält eine oder mehrere Rechteerweiterungsregeln. Mit Erhöhten Regeln konfigurieren Sie Details zur zu verwaltenden Datei und anforderungen, damit sie erhöht werden kann.

Die folgenden Dateitypen werden unterstützt:

  • Ausführbare Dateien mit der .exe Erweiterung oder .msi .
  • PowerShell-Skripts mit der .ps1 Erweiterung.

Jede Rechteerweiterungsregel weist EPM folgendes an:

  • Identifizieren Sie die Datei mit:

    • Dateiname (einschließlich Erweiterung). Die Regel unterstützt auch optionale Bedingungen wie mindestens eine Buildversion, einen Produktnamen oder einen internen Namen. Optionale Bedingungen werden verwendet, um die Datei weiter zu überprüfen, wenn eine Rechteerweiterung versucht wird.
    • Zertifikat. Zertifikate können direkt zu einer Regel oder mithilfe einer wiederverwendbaren Einstellungsgruppe hinzugefügt werden. Wenn ein Zertifikat in einer Regel verwendet wird, muss es auch gültig sein. Es wird empfohlen, wiederverwendbare Einstellungsgruppen zu verwenden, da diese effizienter sein und eine zukünftige Änderung des Zertifikats vereinfachen können. Weitere Informationen finden Sie im nächsten Abschnitt Wiederverwendbare Einstellungsgruppen.
  • Überprüfen Sie die Datei:

    • Dateihash. Für automatische Regeln ist ein Dateihash erforderlich. Für vom Benutzer bestätigte Regeln können Sie entweder ein Zertifikat oder einen Dateihash verwenden. In diesem Fall wird der Dateihash optional.
    • Zertifikat. Wenn ein Zertifikat bereitgestellt wird, werden Windows-APIs verwendet, um das Zertifikat und den Sperrstatus zu überprüfen.
    • Zusätzliche Eigenschaften. Alle zusätzlichen Eigenschaften, die in den Regeln angegeben sind, müssen übereinstimmen.
  • Konfigurieren Sie den Dateierweiterungstyp. Der Höhentyp gibt an, was geschieht, wenn eine Erhöhungsanforderung für die Datei gestellt wird. Standardmäßig ist diese Option auf Benutzerbestätigung festgelegt. Dies ist unsere Empfehlung für Rechteerweiterungen.

    • Benutzer bestätigt (empfohlen): Ein Benutzer, der die Erhöhung bestätigt hat, erfordert immer, dass der Benutzer auf eine Bestätigungsaufforderung klickt, um die Datei auszuführen. Es gibt weitere Benutzerbestätigungen, die Sie hinzufügen können. Zum einen müssen sich Benutzer mit ihren Organisationsanmeldeinformationen authentifizieren. Eine andere Option erfordert, dass der Benutzer eine geschäftliche Begründung eingibt. Während der zur Begründung eingegebene Text dem Benutzer selbst liegt, kann EPM ihn sammeln und melden, wenn das Gerät so konfiguriert ist, dass es Höhendaten im Rahmen seiner Windows-Richtlinie für Rechteerweiterungseinstellungen meldet.
    • Automatisch: Eine automatische Erhöhung erfolgt unsichtbar für den Benutzer. Es gibt keine Eingabeaufforderung und keinen Hinweis darauf, dass die Datei in einem Kontext mit erhöhten Rechten ausgeführt wird.
    • Support genehmigt: Ein Administrator muss alle support-erforderlichen Rechteerweiterungsanforderungen genehmigen, die keine übereinstimmende Regel aufweisen, bevor die Anwendung mit erhöhten Berechtigungen ausgeführt werden darf.
  • Verwalten sie das Verhalten untergeordneter Prozesse. Sie können das Rechteerweiterungsverhalten festlegen, das für alle untergeordneten Prozesse gilt, die vom Prozess mit erhöhten Rechten erstellt werden.

    • Regel zum Erhöhen erforderlich: Konfigurieren Sie einen untergeordneten Prozess so, dass eine eigene Regel erforderlich ist, bevor dieser untergeordnete Prozess in einem Kontext mit erhöhten Rechten ausgeführt werden kann.
    • Alle verweigern : Alle untergeordneten Prozesse werden ohne Kontext mit erhöhten Rechten gestartet.
    • Ausführen von untergeordneten Prozessen mit erhöhten Rechten zulassen : Konfigurieren Sie einen untergeordneten Prozess so, dass er immer mit erhöhten Rechten ausgeführt wird.

Hinweis

Weitere Informationen zum Erstellen sicherer Regeln finden Sie in unserem Leitfaden zum Erstellen von Erhöhungsregeln mit Endpoint Privilege Management.

Sie können auch das Get-FileAttributes PowerShell-Cmdlet aus dem PowerShell-Modul EpmTools verwenden. Dieses Cmdlet kann Dateiattribute für eine .exe Datei abrufen und deren Verleger- und Zertifizierungsstellenzertifikate an einen festgelegten Speicherort extrahieren, den Sie zum Auffüllen von Rechteregeleigenschaften für eine bestimmte Anwendung verwenden können.

Achtung

Es wird empfohlen, automatische Rechteerweiterungen sparsam und nur für vertrauenswürdige Dateien zu verwenden, die unternehmenskritisch sind. Endbenutzer erhöhen diese Anwendungen bei jedem Start dieser Anwendung automatisch.

Gruppe wiederverwendbarer Einstellungen

Endpoint Privilege Management unterstützt die Verwendung wiederverwendbarer Einstellungsgruppen, um die Zertifikate zu verwalten, anstatt dieses Zertifikat direkt zu einer Rechteerweiterungsregel hinzuzufügen. Wie alle wiederverwendbaren Einstellungsgruppen für Intune werden Konfigurationen und Änderungen, die an einer wiederverwendbaren Einstellungsgruppe vorgenommen werden, automatisch an die Richtlinien übergeben, die auf die Gruppe verweisen. Es wird empfohlen, eine wiederverwendbare Einstellungsgruppe zu verwenden, wenn Sie dasselbe Zertifikat zum Überprüfen von Dateien in mehreren Rechteerweiterungsregeln verwenden möchten. Die Verwendung von wiederverwendbaren Einstellungsgruppen ist effizienter, wenn Sie dasselbe Zertifikat in mehreren Rechteerweiterungsregeln verwenden:

  • Zertifikate, die Sie einer Rechteerweiterungsregel direkt hinzufügen: Jedes Zertifikat, das einer Regel direkt hinzugefügt wird, wird von Intune als eindeutige Instanz hochgeladen, und diese Zertifikatinstanz wird dieser Regel zugeordnet. Das direkte Hinzufügen desselben Zertifikats zu zwei separaten Regeln führt dazu, dass es zweimal hochgeladen wird. Wenn Sie das Zertifikat später ändern müssen, müssen Sie jede einzelne Regel bearbeiten, die es enthält. Mit jeder Regeländerung lädt Intune das aktualisierte Zertifikat ein einziges Mal für jede Regel hoch.
  • Zertifikate, die Sie über eine wiederverwendbare Einstellungsgruppe verwalten: Jedes Mal, wenn ein Zertifikat einer wiederverwendbaren Einstellungsgruppe hinzugefügt wird, lädt Intune das Zertifikat ein einziges Mal hoch, unabhängig davon, wie viele Rechteerweiterungsregeln diese Gruppe enthalten. Diese Instanz des Zertifikats wird dann der Datei aus jeder Regel zugeordnet, die diese Gruppe verwendet. Später kann jede Änderung am Zertifikat, die Sie vornehmen, nur einmal in der wiederverwendbaren Einstellungsgruppe vorgenommen werden. Diese Änderung führt dazu, dass Intune die aktualisierte Datei ein einziges Mal hochlädt und diese Änderung dann auf jede Rechteerweiterungsregel anwendet, die auf die Gruppe verweist.

Windows-Einstellungsrichtlinie für Rechteerweiterungen

Um die folgenden Optionen auf Geräten zu konfigurieren, stellen Sie die Windows-Richtlinie für Rechteerweiterungen für Benutzer oder Geräte bereit:

  • Aktivieren Der Endpunktberechtigungsverwaltung auf einem Gerät.
  • Legen Sie Standardregeln für Rechteerweiterungsanforderungen für alle Dateien fest, die nicht von einer Endpoint Privilege Management-Erhöhungsregel auf diesem Gerät verwaltet werden.
  • Konfigurieren Sie, welche Informationen EPM an Intune zurück meldet.

Ein Gerät muss über eine Einstellungsrichtlinie für Rechteerweiterungen verfügen, die die Unterstützung für EPM ermöglicht, bevor das Gerät eine Richtlinie für Rechteerweiterungsregeln verarbeiten oder Rechteerweiterungsanforderungen verwalten kann. Wenn der Support aktiviert ist, wird dem Gerät der C:\Program Files\Microsoft EPM Agent Ordner zusammen mit dem EPM-Microsoft-Agent hinzugefügt, der für die Verarbeitung der EPM-Richtlinien zuständig ist.

Erstellen einer Windows-Richtlinie für Rechteerweiterungen

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpunktrechteverwaltung> wählen Sie die Registerkarte >Richtlinien und dann Richtlinie erstellen aus. Legen Sie die Richtlinie Plattform auf Windows, Profil auf Windows-Rechteeinstellungen fest, und wählen Sie dann Erstellen aus.

  2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Profile, damit Sie sie später leicht identifizieren können.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  3. Konfigurieren Sie unter Konfigurationseinstellungen Folgendes, um Standardverhalten für Anforderungen zur Erhöhung auf einem Gerät zu definieren:

    Abbildung der Konfigurationsseite der Auswertungseinstellungen.

    • Verwaltung von Endpunktberechtigungen: Auf Aktiviert (Standard) festgelegt. Wenn aktiviert, verwendet ein Gerät Endpoint Privilege Management. Wenn diese Einstellung auf Deaktiviert festgelegt ist, verwendet das Gerät keine Endpunktberechtigungsverwaltung und deaktiviert EPM sofort, wenn es zuvor aktiviert wurde. Nach sieben Tagen stellt das Gerät die Bereitstellung der Komponenten für endpoint Privilege Management auf.

    • Standardantwort für Rechteerweiterungen: Konfigurieren Sie, wie dieses Gerät Rechteerweiterungsanforderungen für Dateien verwaltet, die nicht direkt von einer Regel verwaltet werden:

      • Nicht konfiguriert: Diese Option funktioniert genauso wie Alle Anforderungen verweigern.
      • Alle Anforderungen ablehnen: EPM erleichtert nicht die Erhöhung von Dateien, und dem Benutzer wird ein Popupfenster mit Informationen zur Verweigerung angezeigt. Diese Konfiguration verhindert nicht, dass Benutzer mit Administratorberechtigungen Als Administrator ausführen verwenden, um nicht verwaltete Dateien auszuführen.
      • Supportgenehmigung anfordern: Dieses Verhalten weist EPM an, den Benutzer aufzufordern, eine vom Support genehmigte Anfrage zu übermitteln.
      • Benutzerbestätigung erforderlich: Der Benutzer erhält eine einfache Aufforderung, um seine Absicht zu bestätigen, die Datei auszuführen. Sie können auch weitere Eingabeaufforderungen anfordern, die in der Dropdownliste Überprüfung verfügbar sind:
        • Geschäftliche Begründung: Der Benutzer muss eine Begründung für die Ausführung der Datei eingeben. Für diese Begründung ist kein Format erforderlich. Benutzereingaben werden gespeichert und können über Protokolle überprüft werden, wenn der Berichterstellungsbereich eine Sammlung von Endpunkterweiterungen umfasst.
        • Windows-Authentifizierung: Bei dieser Option muss sich der Benutzer mit seinen Organisationsanmeldeinformationen authentifizieren.
    • Senden von Höhendaten für die Berichterstellung: Standardmäßig ist dieses Verhalten auf Ja festgelegt. Wenn sie auf Ja festgelegt ist, können Sie dann einen Berichterstellungsbereich konfigurieren. Bei Festlegung auf Nein meldet ein Gerät keine Diagnosedaten oder Informationen zu Dateierweiterungen an Intune.

    • Berichtsbereich: Wählen Sie aus, welche Art von Informationen ein Gerät an Intune meldet:

      • Diagnosedaten und alle Endpunkterweiterungen (Standard): Das Gerät meldet Diagnosedaten und Details zu allen Dateierweiterungen, die EPM ermöglicht.

        Diese Ebene von Informationen kann Ihnen helfen, andere Dateien zu identifizieren, die noch nicht von einer Rechteerweiterungsregel verwaltet werden, die Benutzer in einem Kontext mit erhöhten Rechten ausführen möchten.

      • Nur Diagnosedaten und verwaltete Rechteerweiterungen: Das Gerät meldet Diagnosedaten und Details zu Dateierweiterungen nur für die Dateien, die von einer Richtlinie für Rechteerweiterungen verwaltet werden. Dateianforderungen für nicht verwaltete Dateien und Dateien, die über die Windows-Standardaktion Als Administrator ausführen erhöhte Rechte erhalten, werden nicht als verwaltete Rechte gemeldet.

      • Nur Diagnosedaten: Nur Diagnosedaten für den Betrieb von Endpoint Privilege Management werden gesammelt. Informationen zu Dateierweiterungen werden nicht an Intune gemeldet.

    Klicken Sie auf Weiter, um fortzufahren.

  4. Wählen Sie auf der Seite Bereichsmarkierungen alle anzuwendenden Bereichsmarkierungen und dann Weiter aus.

  5. Wählen Sie unter Zuweisungen die Gruppen aus, die die Richtlinie erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

  6. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Richtlinienliste angezeigt.

Windows-Richtlinie für Rechteerweiterungsregeln

Stellen Sie eine Windows-Richtlinie für Rechteerweiterungsregeln für Benutzer oder Geräte bereit, um eine oder mehrere Regeln für Dateien bereitzustellen, die von Endpoint Privilege Management zur Erhöhung verwaltet werden. Jede Regel, die Sie dieser Richtlinie hinzufügen:

  • Identifiziert eine Datei, für die Sie Rechteerweiterungsanforderungen verwalten möchten.
  • Kann ein Zertifikat enthalten, um die Integrität dieser Datei vor der Ausführung zu überprüfen. Sie können auch eine wiederverwendbare Gruppe hinzufügen, die ein Zertifikat enthält, das Sie dann mit einer oder mehreren Regeln oder Richtlinien verwenden.
  • Gibt an, ob der Rechteerweiterungstyp der Datei automatisch (automatisch) ist oder eine Benutzerbestätigung erfordert. Mit der Benutzerbestätigung können Sie zusätzliche Benutzeraktionen hinzufügen, die abgeschlossen werden müssen, bevor die Datei ausgeführt wird. Zusätzlich zu dieser Richtlinie muss einem Gerät auch eine Windows-Einstellungsrichtlinie für Rechteerweiterungen zugewiesen werden, die die Verwaltung von Endpunktberechtigungen aktiviert.

Verwenden Sie eine der folgenden Methoden, um neue Rechteerweiterungsregeln zu erstellen, die der Richtlinie für Rechteerweiterungsregeln hinzugefügt werden:

  • Automatisches Konfigurieren von Erhöhungsregeln : Verwenden Sie diese Methode, um Beim Erstellen einer Rechteerweiterungsregel Zeit zu sparen, indem Sie die Dateierkennungsdetails, die Intune bereits gesammelt hat, automatisch auffüllen. Die Dateidetails werden von Intune entweder aus dem Bericht "Rechteerweiterungen " oder aus einem Datensatz für genehmigte Rechteerweiterungen identifiziert.

    Mit dieser Methode können Sie:

    • Wählen Sie die Datei aus, für die Sie eine Höhenregel aus dem Bericht "Rechteerweiterungen" erstellen oder genehmigte Rechteerweiterungen unterstützen möchten.
    • Wählen Sie aus, ob die neue Rechteregel einer vorhandenen Richtlinie für Rechteerweiterungsregeln hinzugefügt werden soll, oder erstellen Sie eine neue Richtlinie für Rechteerweiterungsregeln, die die neue Regel enthält.
      • Wenn sie einer vorhandenen Richtlinie hinzugefügt wird, ist die neue Regel sofort für die richtlinienzugewiesenen Gruppen verfügbar.
      • Wenn eine neue Richtlinie erstellt wird, müssen Sie diese Richtlinie bearbeiten, um Gruppen zuzuweisen, bevor sie zur Verwendung verfügbar wird.
  • Manuelles Konfigurieren von Rechteerweiterungsregeln : Diese Methode erfordert, dass Sie die Dateidetails identifiziert haben, die Sie für die Erkennung verwenden möchten, und sie als Teil des Workflows zur Regelerstellung manuell eingeben. Informationen zu Erkennungskriterien finden Sie unter Definieren von Regeln für die Verwendung mit Endpoint Privilege Management.

    Mit dieser Methode können Sie:

    • Legen Sie die zu verwendenden Dateidetails manuell fest, und fügen Sie sie dann der Rechteerweiterungsregel für die Dateiidentifikation hinzu.
    • Konfigurieren Sie alle Aspekte der Richtlinie während der Richtlinienerstellung, einschließlich der Zuweisung der Richtlinie zu Gruppen zur Verwendung.

Automatisches Konfigurieren von Erhöhungsregeln für die Windows-Richtlinie für Rechteerweiterungsregeln

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpunktberechtigungsverwaltung. Um eine Datei auszuwählen, die für eine Rechteerweiterungsregel verwendet werden soll, wählen Sie einen der folgenden Startpfade aus:

    Beginnen Sie mit einem Bericht:

    1. Wählen Sie die Registerkarte Berichte und dann die Berichtskachel Rechteaus . Suchen Sie in der Spalte Datei nach der Datei, für die Sie eine Regel erstellen möchten.
    2. Wählen Sie den verknüpften Namen der Datei aus, um den Detailbereich "Rechteerweiterung " zu öffnen.

    Beginnen Sie mit einer vom Support genehmigten Erhöhungsanforderung:

    1. Wählen Sie die Registerkarte Rechteerweiterungsanforderung aus.

    2. Wählen Sie in der Spalte Datei die Datei aus, die Sie für die Rechteerweiterungsregel verwenden möchten. Dadurch wird der Detailbereich "Rechteerweiterung " für diese Dateien geöffnet.

      Der Status der Erhöhungsanforderung spielt keine Rolle. Sie können eine ausstehende Anforderung oder eine Anforderung verwenden, die zuvor genehmigt oder abgelehnt wurde.

  2. Überprüfen Sie im Detailbereich Rechteerweiterungen die Dateidetails. Diese Informationen werden von der Rechteerweiterungsregel verwendet, um die richtige Datei zu identifizieren. Wenn Sie bereit sind, wählen Sie Regel mit diesen Dateidetails erstellen aus.

    Abbildung der Admin Center-Benutzeroberfläche einer Datei, die im Bericht

  3. Wählen Sie eine Richtlinienoption für die neue Rechteerweiterungsregel aus, die Sie erstellen:

    Erstellen Sie eine neue Richtlinie:
    Mit dieser Option wird eine neue Richtlinie erstellt, die eine Rechteerweiterungsregel für die ausgewählte Datei enthält.

    1. Konfigurieren Sie für die Regel das Verhalten typ und untergeordneter Prozess, und wählen Sie dann OK aus, um die Richtlinie zu erstellen.
    2. Wenn Sie dazu aufgefordert werden, geben Sie einen Richtliniennamen für die neue Richtlinie an, und bestätigen Sie die Erstellung einer neuen und nicht zugewiesenen Richtlinie für Rechteerweiterungsregeln.
    3. Nachdem die Richtlinie erstellt wurde, können Sie die Richtlinie bearbeiten, um sie zuzuweisen und bei Bedarf weitere Konfigurationen hinzuzufügen.

    Zu einer vorhandenen Richtlinie hinzufügen:
    Verwenden Sie bei dieser Option die Dropdownliste, und wählen Sie eine vorhandene Rechteerweiterungsrichtlinie aus, der die neue Rechteerweiterungsregel hinzugefügt wird.

    1. Konfigurieren Sie für die Regel den Rechtetyp und das Verhalten des untergeordneten Prozesses, und wählen Sie dann OK aus. Die Richtlinie wird mit der neuen Regel aktualisiert.
    2. Nachdem die Regel der Richtlinie hinzugefügt wurde, können Sie die Richtlinie bearbeiten, um Zugriff auf die Regel zu erhalten, und sie dann ändern, um bei Bedarf zusätzliche Konfigurationen vorzunehmen.

    Abbildung der Admin Center-Benutzeroberfläche des Bereichs

Manuelles Konfigurieren von Erhöhungsregeln für die Windows-Richtlinie für Erhöhte Rechte

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpunktrechteverwaltung> wählen Sie die Registerkarte >Richtlinien und dann Richtlinie erstellen aus. Legen Sie die Richtlinie Plattform auf Windows, Profil auf Windows-Rechteregeln fest, und wählen Sie dann Erstellen aus.

  2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Profile, damit Sie sie später leicht identifizieren können.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  3. Fügen Sie unter Konfigurationseinstellungen eine Regel für jede Datei hinzu, die von dieser Richtlinie verwaltet wird. Wenn Sie eine neue Richtlinie erstellen, enthält die Richtlinie eine leere Regel mit dem Höhentyp Benutzer bestätigt und ohne Regelnamen. Konfigurieren Sie zunächst diese Regel, und später können Sie Hinzufügen auswählen, um dieser Richtlinie weitere Regeln hinzuzufügen. Jede neue Regel, die Sie hinzufügen, weist den Höhentyp Benutzer bestätigt auf, der beim Konfigurieren der Regel geändert werden kann.

    Abbildung der Admin Center-Benutzeroberfläche einer neuen Richtlinie für Rechteerweiterungsregeln.

    Um eine Regel zu konfigurieren, wählen Sie Instanz bearbeiten aus, um die Zugehörige Regeleigenschaftenseite zu öffnen, und konfigurieren Sie dann Folgendes:

    Abbildung der Eigenschaften der Rechteerweiterungsregeln.

    • Regelname: Geben Sie einen beschreibenden Namen für die Regel an. Benennen Sie Ihre Regeln, damit Sie sie später leicht identifizieren können.
    • Beschreibung (optional): Geben Sie eine Beschreibung für das Profil ein.

    Rechteerweiterungsbedingungen sind Bedingungen, die definieren, wie eine Datei ausgeführt wird, und Benutzerüberprüfungen, die erfüllt werden müssen, bevor die Datei, für die diese Regel gilt, ausgeführt werden können.

    • Höhentyp: Standardmäßig ist diese Option auf Benutzerbestätigung festgelegt. Dies ist der Höhentyp, den wir für die meisten Dateien empfehlen.

      • Benutzer bestätigt: Wir empfehlen diese Option für die meisten Regeln. Wenn eine Datei ausgeführt wird, erhält der Benutzer eine einfache Aufforderung, um seine Absicht zu bestätigen, die Datei auszuführen. Die Regel kann auch andere Eingabeaufforderungen enthalten, die in der Dropdownliste Überprüfung verfügbar sind:

        • Geschäftliche Begründung: Der Benutzer muss eine Begründung für die Ausführung der Datei eingeben. Es gibt kein erforderliches Format für den Eintrag. Die Benutzereingabe wird gespeichert und kann über Protokolle überprüft werden, wenn der Berichterstellungsbereich eine Sammlung von Endpunkterweiterungen enthält.
        • Windows-Authentifizierung: Bei dieser Option muss sich der Benutzer mit seinen Organisationsanmeldeinformationen authentifizieren.
      • Automatisch: Dieser Rechteerweiterungstyp führt die betreffende Datei automatisch mit erhöhten Berechtigungen aus. Die automatische Rechteerweiterung ist für den Benutzer transparent, ohne zur Bestätigung aufzufordern oder eine Begründung oder Authentifizierung durch den Benutzer zu erfordern.

        Achtung

        Verwenden Sie die automatische Erhöhung nur für Dateien, die Sie als vertrauenswürdig verwenden. Diese Dateien werden ohne Benutzerinteraktion automatisch erhöht. Regeln, die nicht gut definiert sind, könnten nicht genehmigten Anwendungen erlauben, erhöhte Rechte zu erhöhen. Weitere Informationen zum Erstellen sicherer Regeln finden Sie in der Anleitung zum Erstellen von Regeln.

      • Unterstützung genehmigt: Für diesen Höhentyp muss ein Administrator eine Anforderung genehmigen, bevor die Rechteerweiterung abgeschlossen werden kann. Weitere Informationen finden Sie unter Unterstützung genehmigter Rechteerweiterungsanforderungen.

        Wichtig

        Die Verwendung der Unterstützung genehmigter Rechteerweiterungen für Dateien erfordert, dass Administratoren mit zusätzlichen Berechtigungen jede Anforderung zur Rechteerweiterung vor dieser Datei auf dem Gerät mit Administratorberechtigungen überprüfen und genehmigen. Informationen zur Verwendung des genehmigten Rechteerweiterungstyps finden Sie unter Unterstützung genehmigter Dateierweiterungen für Endpoint Privilege Management.

    • Verhalten untergeordneter Prozesse: Standardmäßig ist diese Option auf Regel zum Erhöhen erforderlich festgelegt. Daher muss der untergeordnete Prozess mit der gleichen Regel übereinstimmen wie der Prozess, der ihn erstellt. Weitere Optionen sind:

      • Ausführen aller untergeordneten Prozesse mit erhöhten Rechten zulassen: Diese Option sollte mit Vorsicht verwendet werden, da sie es Anwendungen ermöglicht, untergeordnete Prozesse bedingungslos zu erstellen.
      • Alle verweigern: Diese Konfiguration verhindert, dass untergeordnete Prozesse erstellt werden.

    In den Dateiinformationen geben Sie die Details an, die eine Datei identifizieren, für die diese Regel gilt.

    • Dateiname: Geben Sie den Dateinamen und seine Erweiterung an. Beispiel: myapplication.exe

    • Dateipfad (optional): Geben Sie den Speicherort der Datei an. Wenn die Datei von einem beliebigen Speicherort aus ausgeführt werden kann oder unbekannt ist, können Sie diesen Wert leer lassen. Sie können auch eine Variable verwenden.

    • Signaturquelle: Wählen Sie eine der folgenden Optionen aus:

      • Zertifikatdatei in wiederverwendbaren Einstellungen verwenden (Standard): Bei dieser Option wird eine Zertifikatdatei verwendet, die einer wiederverwendbaren Einstellungsgruppe für Endpoint Privilege Management hinzugefügt wurde. Sie müssen eine wiederverwendbare Einstellungsgruppe erstellen , bevor Sie diese Option verwenden können.

        Um das Zertifikat zu identifizieren, wählen Sie Zertifikat hinzufügen oder entfernen aus, und wählen Sie dann die wiederverwendbare Gruppe aus, die das richtige Zertifikat enthält. Geben Sie dann den Zertifikattypdes Herausgebers oder der Zertifizierungsstelle an.

      • Hochladen einer Zertifikatdatei: Fügen Sie der Rechteerweiterungsregel eine Zertifikatdatei direkt hinzu. Geben Sie für Dateiupload eine .cer Datei an, die die Integrität der Datei überprüfen kann, für die diese Regel gilt. Geben Sie dann den Zertifikattypdes Herausgebers oder der Zertifizierungsstelle an.

      • Nicht konfiguriert: Verwenden Sie diese Option, wenn Sie kein Zertifikat verwenden möchten, um die Integrität der Datei zu überprüfen. Wenn kein Zertifikat verwendet wird, müssen Sie einen Dateihash angeben.

    • Dateihash: Der Dateihash ist erforderlich, wenn Signaturquelle auf Nicht konfiguriert festgelegt ist, und optional, wenn ein Zertifikat verwendet werden soll.

    • Mindestversion: (Optional) Verwenden Sie das x.x.x.x-Format , um eine Mindestversion der Datei anzugeben, die von dieser Regel unterstützt wird.

    • Dateibeschreibung: (Optional) Geben Sie eine Beschreibung der Datei an.

    • Produktname: (Optional) Geben Sie den Namen des Produkts an, aus dem die Datei stammt.

    • Interner Name: (Optional) Geben Sie den internen Namen der Datei an.

    Wählen Sie Speichern aus, um die Regelkonfiguration zu speichern. Sie können dann weitere Regeln hinzufügen . Nachdem Sie alle Für diese Richtlinie benötigten Regeln hinzugefügt haben, wählen Sie Weiter aus, um fortzufahren.

  4. Wählen Sie auf der Seite Bereichsmarkierungen alle anzuwendenden Bereichsmarkierungen und dann Weiter aus.

  5. Wählen Sie unter Zuweisungen die Gruppen aus, die die Richtlinie erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

  6. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Richtlinienliste angezeigt.

Wiederverwendbare Einstellungsgruppen

Endpoint Privilege Management verwendet wiederverwendbare Einstellungsgruppen, um die Zertifikate zu verwalten, die die Dateien überprüfen, die Sie mit Denhberechtigungsverwaltungsregeln für Endpunktrechte verwalten. Wie alle wiederverwendbaren Einstellungsgruppen für Intune werden Änderungen an einer wiederverwendbaren Gruppe automatisch an die Richtlinien übergeben, die auf die Gruppe verweisen. Wenn Sie das Zertifikat aktualisieren müssen, das Sie für die Dateiüberprüfung verwenden, müssen Sie es nur einmal in der wiederverwendbaren Einstellungsgruppe aktualisieren. Intune wendet das aktualisierte Zertifikat auf alle Ihre Rechteerweiterungsregeln an, die diese Gruppe verwenden.

So erstellen Sie die wiederverwendbare Einstellungsgruppe für Endpoint Privilege Management:

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpoint Privilege Management> wählen Sie die Registerkarte >Wiederverwendbare Einstellungen (Vorschau) und dann Hinzufügen aus.

    Screenshot der Benutzeroberfläche zum Hinzufügen einer wiederverwendbaren Einstellungsgruppe.

  2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen beschreibenden Namen für die wiederverwendbare Gruppe ein. Benennen Sie Gruppen, damit Sie diese später leicht identifizieren können.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  3. Wählen Sie unter Konfigurationseinstellungen das Ordnersymbol für Zertifikatdatei aus, und navigieren Sie zu einem . CER-Datei , um sie dieser wiederverwendbaren Gruppe hinzuzufügen. Das Feld Base64-Wert wird basierend auf dem ausgewählten Zertifikat ausgefüllt.

    Screenshot der Benutzeroberfläche zum Navigieren zu einem Zertifikat.

  4. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Hinzufügen aus. Wenn Sie Hinzufügen auswählen, wird Ihre Konfiguration gespeichert, und die Gruppe wird dann in der Liste der wiederverwendbaren Einstellungsgruppen für Endpoint Privilege Management angezeigt.

Behandlung von Richtlinienkonflikten für die Verwaltung von Endpunktberechtigungen

Mit Ausnahme der folgenden Situation werden in Konflikt stehende Richtlinien für EPM wie jeder andere Richtlinienkonflikt behandelt.

Windows-Einstellungsrichtlinie für Rechteerweiterungen:

Wenn ein Gerät zwei separate Richtlinien für Rechteerweiterungseinstellungen mit in Konflikt stehenden Werten empfängt, wird der EPM-Client auf das Standardclientverhalten zurückgesetzt, bis der Konflikt gelöst ist.

Hinweis

Wenn "Endpunktberechtigungsverwaltung aktivieren" in Konflikt steht, ist das Standardverhalten des Clients die Option EPM aktivieren . Dies bedeutet, dass die Clientkomponenten weiterhin funktionieren, bis ein expliziter Wert an das Gerät übermittelt wird.

Windows-Richtlinie für Rechteerweiterungsregeln:

Wenn ein Gerät zwei Regeln für dieselbe Anwendung empfängt, werden beide Regeln auf dem Gerät verwendet. Wenn EPM Regeln auflöst, die für eine Erhöhung gelten, wird die folgende Logik verwendet:

  • Regeln, die für einen Benutzer bereitgestellt werden, haben Vorrang vor Regeln, die auf einem Gerät bereitgestellt werden.
  • Regeln mit einem definierten Hash werden immer als die spezifischste Regel angesehen.
  • Wenn mehr als eine Regel gilt (ohne hashdefiniert), gewinnt die Regel mit den am häufigsten definierten Attributen ( spezifisch).
  • Wenn die Anwendung der fortgefahrenen Logik zu mehr als einer Regel führt, bestimmt die folgende Reihenfolge das Rechteerweiterungsverhalten: Benutzer bestätigt, Support genehmigt und automatisch.

Hinweis

Wenn keine Regel für eine Erhöhung vorhanden ist und diese Erhöhung über das Kontextmenü Mit erhöhtem Zugriff ausführen angefordert wurde, wird das Standardverhalten für Rechteerweiterungen verwendet.

Nächste Schritte