Microsoft Intune でエンドポイント特権管理を使用する

注:

この機能は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、組織のユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 一般的に管理特権が必要なタスクは、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行です。

Endpoint Privilege Management は、最小限の特権で実行される広範なユーザー ベースを組織が達成できるようにしながら、組織が生産性を維持できるタスクを引き続き実行できるようにすることで、 ゼロ トラスト 体験をサポートします。 詳細については、「 Microsoft Intune でのゼロ トラスト」を参照してください。

この記事の次のセクションでは、EPM を使用するための要件について説明し、この機能のしくみの機能の概要を説明し、EPM の重要な概念を紹介します。

適用対象:

  • Windows 10
  • Windows 11

前提条件

ライセンス

エンドポイント特権管理には、 Microsoft Intune プラン 1 ライセンスを超える追加ライセンスが必要です。 EPM のみを追加するスタンドアロン ライセンスと、Microsoft Intune Suite の一部としてライセンス EPM のどちらかを選択できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

要件

エンドポイント特権管理には、次の要件があります。

  • Microsoft Entra 参加済み または Microsoft Entra ハイブリッド参加済み
  • Microsoft Intune 登録 または Microsoft Configuration Manager 共同管理 デバイス (ワークロード要件なし)
  • サポートされるオペレーティング システム
  • 必要なエンドポイントへの見通し線のクリア (SSL 検査なし)

注:

  • Windows 365 (CloudPC) は、サポートされているオペレーティング システムのバージョンを使用してサポートされています
  • Workplace-join デバイスはエンドポイント特権管理ではサポートされていません
  • Azure Virtual Desktop はエンドポイント特権管理ではサポートされていません

Endpoint Privilege Management では、次のオペレーティング システムがサポートされています。

  • Windows 11 バージョン 23H2 (22631.2506 以降) とKB5031455
  • Windows 11 バージョン 22H2 (22621.2215 以降) とKB5029351
  • Windows 11 バージョン 21H2 (22000.2713 以降) とKB5034121
  • Windows 10 バージョン 22H2 (19045.3393 以降) とKB5030211
  • Windows 10 バージョン 21H2 (19044.3393 以降) とKB5030211

重要

  • 昇格設定ポリシーは、サポートされているオペレーティング システムのバージョンを実行していないデバイスには適用されないと表示されます。
  • エンドポイント特権管理には、いくつかの新しいネットワーク要件があります。 「Intune のネットワーク エンドポイント」を参照してください。

政府機関向けクラウド サポート

Endpoint Privilege Management は、次のソブリン クラウド環境でサポートされています。

  • 米国政府コミュニティ クラウド (GCC) High
  • 米国国防総省 (DoD)

詳細については、「 Microsoft Intune for US Government GCC サービスの説明」を参照してください。

エンドポイント特権管理の概要

Endpoint Privilege Management (EPM) は Microsoft Intune に組み込まれています。これは、すべての構成が Microsoft Intune 管理センター内で完了することを意味します。 組織は、EPM の使用を開始するときに、次の大まかなプロセスを使用します。

  • ライセンス エンドポイント特権管理 - エンドポイント特権管理ポリシーを使用する前に、テナントの EPM を Intune アドオンとしてライセンスする必要があります。 ライセンス情報については、「 Intune Suite アドオン機能を使用する」を参照してください。

  • 昇格設定ポリシーの展開 - 昇格設定ポリシーによって、クライアント デバイスで EPM がアクティブになります。 このポリシーを使用すると、クライアントに固有の設定を構成することもできますが、個々のアプリケーションまたはタスクの昇格に必ずしも関連しているわけではありません。

  • 昇格ルール ポリシーの展開 - 昇格ルール ポリシーは、アプリケーションまたはタスクを昇格アクションにリンクします。 このポリシーを使用して、組織がデバイスでアプリケーションを実行するときに許可するアプリケーションの昇格動作を構成します。

エンドポイント特権管理の重要な概念

前に説明した 昇格設定昇格ルール ポリシーを構成する場合、組織のニーズを満たすように EPM を構成することを理解するための重要な概念がいくつかあります。 EPM を広くデプロイする前に、次の概念と、それらが環境に与える影響をよく理解しておく必要があります。

  • 管理者特権でアクセスして実行 する - デバイスで EPM がアクティブ化されたときに表示される右クリック コンテキスト メニュー オプション。 このオプションを使用すると、デバイス昇格ルール ポリシーが一致するかどうかがチェックされ、そのファイルを管理者特権で管理コンテキストで実行できるかどうかを判断できます。 該当する昇格規則がない場合、デバイスは昇格設定ポリシーで定義されている既定の昇格構成を使用します。

  • ファイルの昇格と昇格の種類 – EPM を使用すると、管理者特権のないユーザーは管理コンテキストでプロセスを実行できます。 昇格ルールを作成すると、そのルールにより、EPM はそのルールのターゲットをプロキシして、デバイス上の管理者権限で実行できます。 その結果、アプリケーションはデバイス上 の完全な管理機能 を持っています。

    エンドポイント特権管理を使用する場合、昇格動作にはいくつかのオプションがあります。

    • 自動昇格ルールの場合、EPM はユーザーからの入力なしでこれらのアプリケーションを 自動的 に昇格させます。 このカテゴリの広範なルールは、組織のセキュリティ体制に広範な影響を与える可能性があります。
    • ユーザーが確認したルールの場合、エンド ユーザーは新しい右クリック コンテキスト メニュー [管理者特権で実行] を使用します。 ユーザーが確認したルールでは、アプリケーションの昇格を許可する前に、エンド ユーザーが追加の要件を満たす必要があります。 これらの要件は、昇格が発生する前に、アプリが昇格されたコンテキストで実行されることをユーザーに認識させることで、保護の追加レイヤーを提供します。
    • サポートが承認されたルールの場合、エンド ユーザーはアプリケーションを承認するための要求を送信する必要があります。 要求が送信されると、管理者は要求を承認できます。 要求が承認されると、エンド ユーザーはデバイスの昇格を完了できることを通知されます。 この規則の種類の使用の詳細については、「承認された昇格要求をサポートする」を参照してください。

    注:

    各昇格ルールでは、昇格されたプロセスによって作成される子プロセスの昇格動作を設定することもできます。

  • 子プロセス制御 - プロセスが EPM によって昇格されると、子プロセスの作成を EPM によって管理する方法を制御できます。これにより、昇格されたアプリケーションによって作成される可能性があるサブプロセスをきめ細かく制御できます。

  • クライアント側コンポーネント – エンドポイント特権管理を使用するために、Intune は昇格ポリシーを受け取って適用する少数のコンポーネントセットをデバイスにプロビジョニングします。 Intune では、昇格設定ポリシーを受け取った場合にのみコンポーネントがプロビジョニングされ、ポリシーはエンドポイント特権管理を 有効にする 意図を表します。

  • 無効化とプロビジョニング解除 – デバイスにインストールするコンポーネントとして、昇格設定ポリシー内から Endpoint Privilege Management を無効にすることができます。 デバイスから Endpoint Privilege Management を削除するには、昇格設定ポリシーを使用する 必要 があります。

    EPM を無効にする必要がある昇格設定ポリシーがデバイスに設定されると、Intune はクライアント側のコンポーネントをすぐに無効にします。 EPM は、7 日後に EPM コンポーネントを削除します。 遅延は、ポリシーまたは割り当ての一時的または偶発的な変更が、ビジネス操作に大きな影響を与える可能性がある大量の プロビジョニング解除/再プロビジョニング イベントが発生しないようにするためです。

  • 管理された昇格と管理されていない昇格 – これらの用語は、レポートと使用状況のデータで使用される場合があります。 これらの用語は、次の説明を参照します。

    • 管理された昇格: エンドポイント特権管理によって容易になる昇格。 管理された昇格には、EPM が標準ユーザーを容易にするすべての昇格が含まれます。 これらの管理された昇格には、昇格ルールの結果として、または既定の昇格アクションの一部として発生する昇格が含まれる場合があります。
    • アンマネージド昇格: エンドポイント特権管理を使用せずに発生するすべてのファイル昇格。 これらの昇格は、管理者権限を持つユーザーが Windows の既定のアクションである [ 管理者として実行] を使用している場合に発生する可能性があります。

エンドポイント特権管理のロールベースのアクセス制御

エンドポイント特権管理を管理するには、目的のタスクを完了するための十分な権限を持つ次のアクセス許可を含む Intune ロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

  • エンドポイント特権管理ポリシーの作成 – このアクセス許可は、Endpoint Privilege Management のポリシーまたはデータとレポートを操作するために必要であり、次の権限をサポートします。

    • レポートの表示
    • 読み取り
    • Create
    • Update
    • 削除
    • Assign
  • Endpoint Privilege Management 昇格要求 - このアクセス許可は、承認のためにユーザーによって送信された昇格要求を処理するために必要であり、次の権限をサポートします。

    • 昇格要求を表示する
    • 昇格要求を変更する

1 つ以上の権限を持つこのアクセス許可を独自のカスタム RBAC ロールに追加することも、エンドポイント特権管理の管理専用の組み込みの RBAC ロールを使用することもできます。

  • Endpoint Privilege Manager – この組み込みロールは、Intune コンソールでのエンドポイント特権管理の管理専用です。 このロールには、エンドポイント特権管理ポリシーの作成とエンドポイント特権管理昇格要求のすべての権限が含まれます。

  • エンドポイント特権閲覧者 - この組み込みのロールを使用して、レポートを含む Intune コンソールでエンドポイント特権管理ポリシーを表示します。 このロールには、次の権限が含まれます。

    • レポートの表示
    • 読み取り
    • 昇格要求を表示する

専用ロールに加えて、Intune の次の組み込みロールには、 エンドポイント特権管理ポリシー作成の権限も含まれています。

  • エンドポイント セキュリティ マネージャー - このロールには、エンドポイント特権管理ポリシー作成とエンドポイント特権管理昇格要求のすべての権限が含まれます。

  • 読み取り専用演算子 - このロールには、次の権限が含まれます。

    • レポートの表示
    • 読み取り
    • 昇格要求を表示する

詳細については、「 Microsoft Intune のロールベースのアクセス制御」を参照してください。

EpmTools PowerShell モジュール

エンドポイント特権管理ポリシーを受け取る各デバイスは、これらのポリシーを管理するために EPM Microsoft エージェントをインストールします。 エージェントには、デバイスにインポートできるコマンドレットのセットである EpmTools PowerShell モジュールが含まれています。 EpmTools のコマンドレットを使用すると、次のことができます。

  • エンドポイント特権管理に関する問題を診断してトラブルシューティングします。
  • 検出ルールを作成するファイルまたはアプリケーションからファイル属性を直接取得します。

EpmTools PowerShell モジュールをインストールする

EPM Tools PowerShell モジュールは、EPM ポリシーを受け取った任意のデバイスから使用できます。 EpmTools PowerShell モジュールをインポートするには:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

使用可能なコマンドレットを次に示します。

  • Get-Policies: 特定の PolicyType (ElevationRules、ClientSettings) について Epm エージェントによって受信されたすべてのポリシーの一覧を取得します。
  • Get-DeclaredConfiguration: デバイスを対象とするポリシーを識別する WinDC ドキュメントの一覧を取得します。
  • Get-DeclaredConfigurationAnalysis: MSFTPolicies 型の WinDC ドキュメントの一覧を取得し、ポリシーが Epm エージェント (処理済み列) に既に存在するかどうかを確認します。
  • Get-ElevationRules: EpmAgent ルックアップ機能に対してクエリを実行し、指定された参照とターゲットのルールを取得します。 FileName と CertificatePayload ではルックアップがサポートされています。
  • Get-ClientSettings: 既存のすべてのクライアント設定ポリシーを処理して、EPM エージェントで使用される有効なクライアント設定を表示します。
  • Get-FileAttributes: .exe ファイルのファイル属性を取得し、そのパブリッシャー証明書と CA 証明書を、特定のアプリケーションの昇格規則プロパティの設定に使用できる設定された場所に抽出します。

各コマンドレットの詳細については、デバイスの EpmTools フォルダーから readme.txt ファイルを確認してください。

次の手順