エンドポイント特権管理に関するデプロイに関する考慮事項とよく寄せられる質問

Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、組織のユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 一般的に管理特権が必要なタスクは、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行です。

Endpoint Privilege Management は、組織が最小限の特権で実行する広範なユーザー ベースを達成しながら、組織が生産性を維持できるタスクを引き続き実行できるようにすることで、ゼロトラスト体験をサポートします。

この記事の次のセクションでは、EPM の展開に関する考慮事項とよく寄せられる質問について説明します。

適用対象:

• Windows 10
• Windows 11

エンドポイント特権管理のデプロイに関する考慮事項

Windows 10 デバイスは、サポート承認の確認をすぐに受け取らない可能性があります

サポートが承認された昇格を使用するときに、Windows 10 デバイスがデバイスに対して新しい承認の準備ができているという通知を自動的に受信できないようにするいくつかのシナリオの解決に取り組んでいます。 可能な限り迅速にこれを解決するために、所有者と協力しています。

ユーザー アカウント制御 (UAC) を無効にする組織では、エンドポイント特権管理に関する問題が発生する可能性があります

エンドポイント特権管理では、UAC が明示的に無効になることはサポートされていません。 UAC の動作を制御するために、UAC プロンプト動作の Windows ポリシーコントロールが存在します。 組織が、Windows サービスの無効化など、既存のポリシー制御の外部で UAC を無効にする追加の手順を実行すると、エンドポイント特権管理に関する問題が発生する可能性があります。

組織が Application Control for Business を使用すると、エンドポイント特権管理の実行に関する問題が発生する可能性があります

EPM クライアント コンポーネントを考慮しないビジネス 向けアプリケーション制御ポリシーでは、EPM コンポーネントが機能しなくなる可能性があります。 AppControl で EPM を使用するには、アプリケーション制御ポリシーに EPM の機能を許可する規則が含まれていることを確認します。 アプリケーション制御のトラブルシューティングの詳細については、「 WDAC のデバッグとトラブルシューティング」を参照してください。

対話形式でサインインできるユーザーを制限している組織では、Endpoint Privilege Management に関する問題が発生する可能性があります

Endpoint Privilege Management は、分離されたアカウントを使用して昇格を容易にします。 このアカウントには、対話型ログオン セッションを作成する機能が必要です。 ユーザーが対話型セッションを作成する機能を制限する組織は、EPM が適切に機能するように変更する必要があります。

昇格のサポート承認を要求するユーザーは、デバイスのプライマリ ユーザーである必要があります

エンドポイント特権管理では、現在、昇格を要求するユーザーがデバイスのプライマリ ユーザーであることが必要です。 今後のリリースでは、この制限を取り除く作業を行っています。

識別のための唯一の属性の 1 つとしてファイル名を持つファイルを作成する

ファイル名は、昇格する必要があるアプリケーションを検出するために使用できる属性です。 ただし、ファイルの署名によって保護されません。

ファイル名は変更の 影響を受けやすく 、信頼できる証明書で署名されたファイルの名前が 検出 され、その後 昇格される 可能性があります。これは、意図した動作ではない可能性があります。

立面図設定ポリシーは、連続して変更された場合に競合を表示する可能性があります

Endpoint Privilege Management は、昇格設定プロファイルを使用して適用された個々の設定の状態 を 報告します。 このプロファイルの設定 (たとえば、既定の昇格動作) が連続して複数回変更された場合、デバイスレポートの競合が発生したり、既定の動作である [昇格の 拒否 ] にフォールバックしたりする可能性があります。 これは一時的な状態であり、(60 分以内に) それ以上のアクションなしで解決されます。 この問題は、今後のリリースで修正される予定です。

インターネットからダウンロードされたブロックされたファイルが昇格に失敗する

動作は、インターネットから直接ダウンロードされるファイルに属性を設定し、検証されるまで実行できないようにするために、Windows に存在します。 Windows には、インターネットからダウンロードされたファイルの評判を検証する機能があります。 ファイルの評判が検証されないと、昇格に失敗する可能性があります。

この動作を修正するには、ファイルのプロパティ ウィンドウからファイルのブロックを解除して、ファイルのブロックを解除します。 ファイルのブロックを解除するには、ファイルを信頼する場合にのみ実行してください。

"ワークプレース参加済み" の Windows デバイスでエンドポイント特権管理を有効にできない

職場に参加しているデバイスは、Endpoint Privilege Management ではサポートされていません。 これらのデバイスには、デバイスに展開しても、成功またはプロセス EPM ポリシー (昇格設定または昇格ルール) は表示されません。

ネットワーク ファイルの規則が昇格に失敗する可能性がある

Endpoint Privilege Management では、ディスクにローカルに格納されているファイルの実行がサポートされています。 ネットワーク共有やマップされたドライブなど、ネットワーク上の場所からのファイルの実行はサポートされていません。

ネットワーク インフラストラクチャで "SSL 検査" を使用すると、エンドポイント特権管理がポリシーを受け取らない

エンドポイント特権管理では、SSL 検査はサポートされていません。これは "中断して検査" と呼ばれます。 エンドポイント特権管理を使用するには、[ エンドポイント特権管理の Intune エンドポイント] に記載されている URL が検査から除外されていることを確認します。

よく寄せられる質問

仮想デバイスがエンドポイント特権管理にオンボードされないのはなぜですか?

現時点では、エンドポイント特権管理は Azure Virtual Desktop ではサポートされていません。 この問題は、今後のリリースで修正される予定です。

Windows 365 (クラウド PC) のサポートは、2023 年 9 月に追加されました。

昇格設定ポリシーにエラーが表示される理由

昇格設定ポリシーは、EPM の有効化とクライアント側コンポーネントの構成を制御します。 このポリシーがエラーであるか、該当しない場合は、デバイスで EPM の有効化に問題が発生したことを示します。 最も一般的な 2 つの理由は、 必要な Windows 更新プログラム が見つからないか、 エンドポイント特権管理に必要な Intune エンドポイントとの通信に失敗することです。

管理者権限を持つユーザーが、EPM で有効になっているデバイスを使用するとどうなりますか?

エンドポイント特権管理では、デバイスに対する管理アクセス許可を持つユーザーによる昇格要求は管理されません。 管理者が、デバイスで定義されている昇格ルール (具体的には自動昇格ルール) を持つファイルを起動する場合があります。 このアプリケーションは管理者に対して通常と同様に起動され、管理されていない昇格のイベントが EPM によって生成されます。

管理者に昇格できるファイルは何ですか?

Endpoint Privilege Management では、 .msi 拡張機能を持つファイルや PowerShell スクリプト .ps1 含む実行可能ファイルがサポートされています。

スタート メニュー項目に [管理者特権で実行] が表示されないのはなぜですか?

スタート メニューまたはタスク バーに存在する特定の項目には、キュレーションされた右クリック メニューがあり、EPM 右クリック コンテキスト メニューをそれらのメニューに追加することはできません。 この問題は、今後のリリースで修正する予定です。

右クリックコンテキスト メニューの [管理者特権で実行] を使用して、管理者特権で複数のファイルを起動できますか?

一度に昇格できるファイルは 1 つだけです。 昇格された複数のファイルを起動するには、各ファイルを個別に右クリックし、[ 管理者特権で実行] を選択します。

次の手順

• エンドポイント特権管理について学習する
• 昇格ルールを作成するためのガイダンス
• エンドポイント特権管理のポリシーを構成する
• エンドポイント特権管理のレポート
• エンドポイント特権管理のデータ収集とプライバシー