Utilizar o Endpoint Privilege Management com o Microsoft Intune
Observação
Esta capacidade está disponível como um suplemento do Intune. Para obter mais informações, veja Utilizar as capacidades de suplemento do Intune Suite.
Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnósticos do Windows.
A Gestão de Privilégios de Ponto Final suporta o seu percurso de Confiança Zero ao ajudar a sua organização a alcançar uma ampla base de utilizadores em execução com menos privilégios, ao mesmo tempo que permite que os utilizadores continuem a executar tarefas permitidas pela sua organização para se manterem produtivos. Para obter mais informações, veja Confiança Zero com o Microsoft Intune.
As secções seguintes deste artigo abordam os requisitos para utilizar o EPM, fornecem uma descrição geral funcional de como esta capacidade funciona e introduzem conceitos importantes para o EPM.
Aplicável a:
- Windows 10
- Windows 11
Pré-requisitos
Licenciamento
O Endpoint Privilege Management requer uma licença adicional para além da licença do Microsoft Intune Plano 1 . Pode escolher entre uma licença autónoma que adiciona apenas o EPM ou licencie o EPM como parte do Microsoft Intune Suite. Para obter mais informações, veja Utilizar as capacidades de suplemento do Intune Suite.
Requisitos
O Endpoint Privilege Management tem os seguintes requisitos:
- Microsoft Entra aderiu ou Microsoft Entra híbrido associado
- Inscrição do Microsoft Intune ou dispositivos cogeridos do Microsoft Configuration Manager (sem requisitos de carga de trabalho)
- Sistema Operacional com Suporte
- Limpar linha de visão (sem Inspeção SSL) para os pontos finais necessários
Observação
- O Windows 365 (CloudPC) é suportado através de uma versão suportada do sistema operativo
- Os dispositivos associados à área de trabalho não são suportados pela Gestão de Privilégios de Ponto Final
- O Azure Virtual Desktop não é suportado pela Endpoint Privilege Management
O Endpoint Privilege Management suporta os seguintes sistemas operativos:
- Windows 11, versão 23H2 (22631.2506 ou posterior) com KB5031455
- Windows 11, versão 22H2 (22621.2215 ou posterior) com KB5029351
- Windows 11, versão 21H2 (22000.2713 ou posterior) com KB5034121
- Windows 10, versão 22H2 (19045.3393 ou posterior) com KB5030211
- Windows 10, versão 21H2 (19044.3393 ou posterior) com KB5030211
Importante
- A política de definições de elevação será apresentada como não aplicável para dispositivos que não executam uma versão do sistema operativo suportada.
- A Gestão de Privilégios de Ponto Final tem alguns novos requisitos de rede. Veja Pontos Finais de Rede para o Intune.
Suporte de nuvem do Governo
A Gestão de Privilégios de Ponto Final é suportada com os seguintes ambientes de cloud soberana:
- Cloud da Comunidade Governamental dos E.U.A. (GCC) Elevada
- Departamento de Defesa dos E.U.A. (DoD)
Para obter mais informações, veja Descrição do serviço GCC do Microsoft Intune for US Government.
Introdução à Gestão de Privilégios de Ponto Final
A Endpoint Privilege Management (EPM) está incorporada no Microsoft Intune, o que significa que toda a configuração é concluída no Centro de Administração do Microsoft Intune. Quando as organizações começarem a utilizar o EPM, utilizam o seguinte processo de alto nível:
Gestão de Privilégios de Ponto Final de Licença – antes de poder utilizar as políticas de Gestão de Privilégios de Ponto Final, tem de licenciar o EPM no seu inquilino como um suplemento do Intune. Para obter informações de licenciamento, veja Utilizar as capacidades de suplemento do Intune Suite.
Implementar uma política de definições de elevação – uma política de definições de elevação ativa o EPM no dispositivo cliente. Esta política também lhe permite configurar definições específicas do cliente, mas que não estão necessariamente relacionadas com a elevação de aplicações ou tarefas individuais.
Implementar políticas de regras de elevação – uma política de regra de elevação liga uma aplicação ou tarefa a uma ação de elevação. Utilize esta política para configurar o comportamento de elevação das aplicações que a sua organização permite quando as aplicações são executadas no dispositivo.
Conceitos importantes para a Gestão de Privilégios de Ponto Final
Quando configura as definições de elevação e as políticas de regras de elevação mencionadas anteriormente, existem alguns conceitos importantes para compreender se configura o EPM para satisfazer as necessidades da sua organização. Antes de implementar amplamente o EPM, os seguintes conceitos devem ser bem compreendidos, bem como o efeito que têm no seu ambiente:
Executar com acesso elevado – uma opção de menu de contexto de clique com o botão direito do rato que aparece quando o EPM é ativado num dispositivo. Quando esta opção é utilizada, as políticas de regras de elevação de dispositivos são verificadas para uma correspondência para determinar se, e como, esse ficheiro pode ser elevado para ser executado num contexto administrativo. Se não existir nenhuma regra de elevação aplicável, o dispositivo utilizará as configurações de elevação predefinidas, conforme definido pela política de definições de elevação.
Tipos de elevação e elevação de ficheiros – o EPM permite que os utilizadores sem privilégios administrativos executem processos no contexto administrativo. Quando cria uma regra de elevação, essa regra permite que o EPM execute o proxy do destino dessa regra com privilégios de administrador no dispositivo. O resultado é que a aplicação tem capacidade administrativa total no dispositivo.
Quando utiliza o Endpoint Privilege Management, existem algumas opções para o comportamento de elevação:
- Para regras de elevação automática, o EPM eleva automaticamente estas aplicações sem a entrada do utilizador. As regras abrangentes nesta categoria podem ter um impacto generalizado na postura de segurança da organização.
- Para as regras confirmadas pelo utilizador, os utilizadores finais utilizam um novo menu de contexto com o botão direito do rato Executar com acesso elevado. As regras confirmadas pelo utilizador exigem que o utilizador final preencha alguns requisitos adicionais antes de a aplicação ser autorizada a elevar. Estes requisitos fornecem uma camada adicional de proteção ao fazer com que o utilizador reconheça que a aplicação será executada num contexto elevado, antes de essa elevação ocorrer.
- Para regras aprovadas pelo suporte, os utilizadores finais têm de submeter um pedido para aprovar uma aplicação. Assim que o pedido for submetido, um administrador pode aprovar o pedido. Assim que o pedido for aprovado, o utilizador final é notificado de que pode concluir a elevação no dispositivo. Para obter mais informações sobre como utilizar este tipo de regra, veja Suporte de pedidos de elevação aprovados
Observação
Cada regra de elevação também pode definir o comportamento de elevação para processos subordinados que o processo elevado cria.
Controlos de processo subordinado – quando os processos são elevados pelo EPM, pode controlar a forma como a criação de processos subordinados é regida pelo EPM, o que lhe permite ter controlo granular sobre quaisquer subprocessos que possam ser criados pela sua aplicação elevada.
Componentes do lado do cliente – para utilizar a Gestão de Privilégios de Ponto Final, o Intune aprovisiona um pequeno conjunto de componentes no dispositivo que recebem políticas de elevação e os impõem. O Intune aprovisiona os componentes apenas quando é recebida uma política de definições de elevação e a política expressa a intenção de ativar a gestão de Privilégios de Ponto Final.
Desativar e desaprovisionar – como um componente que é instalado num dispositivo, o Endpoint Privilege Management pode ser desativado a partir de uma política de definições de elevação. A utilização da política de definições de elevação é necessária para remover a Gestão de Privilégios de Ponto Final de um dispositivo.
Assim que o dispositivo tiver uma política de definições de elevação que exija a desativação do EPM, o Intune desativa imediatamente os componentes do lado do cliente. O EPM removerá o componente EPM após um período de sete dias. O atraso é garantir que as alterações temporárias ou acidentais na política ou atribuições não resultem em eventos dereaprovisionamento de desaprovisionamento / em massa que possam ter um impacto substancial nas operações empresariais.
Elevações geridas vs. elevações não geridas – estes termos podem ser utilizados nos nossos dados de relatórios e utilização. Estes termos referem-se às seguintes descrições:
- Elevação gerida: qualquer elevação que a Endpoint Privilege Management facilite. As elevações geridas incluem todas as elevações que o EPM acaba por facilitar para o utilizador padrão. Estas elevações geridas podem incluir elevações que ocorrem como resultado de uma regra de elevação ou como parte da ação de elevação predefinida.
- Elevação não gerida: todas as elevações de ficheiros que ocorrem sem a utilização do Endpoint Privilege Management. Estas elevações podem ocorrer quando um utilizador com direitos administrativos utiliza a ação predefinida do Windows de Executar como administrador.
Controlos de acesso baseado em funções para a Gestão de Privilégios de Ponto Final
Para gerir a Gestão de Privilégios de Ponto Final, tem de ser atribuída à sua conta uma função de controlo de acesso baseado em funções (RBAC) do Intune que inclua a seguinte permissão com direitos suficientes para concluir a tarefa pretendida:
Criação de Políticas de Gestão de Privilégios de Ponto Final – esta permissão é necessária para trabalhar com políticas ou dados e relatórios para o Endpoint Privilege Management e suporta os seguintes direitos:
- Exibir relatórios
- Leitura
- Criar
- Atualizar
- Excluir
- Atribuir
Pedidos de Elevação do Endpoint Privilege Management – esta permissão é necessária para trabalhar com pedidos de elevação submetidos pelos utilizadores para aprovação e suporta os seguintes direitos:
- Ver pedidos de elevação
- Modificar pedidos de elevação
Pode adicionar esta permissão com um ou mais direitos às suas próprias funções RBAC personalizadas ou utilizar uma função RBAC incorporada dedicada à gestão do Endpoint Privilege Management:
Endpoint Privilege Manager – esta função incorporada é dedicada à gestão da Gestão de Privilégios de Ponto Final na consola do Intune. Esta função inclui todos os direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final e Pedidos de Elevação de Gestão de Privilégios de Ponto Final.
Endpoint Privilege Reader – utilize esta função incorporada para ver as políticas de Endpoint Privilege Management na consola do Intune, incluindo relatórios. Esta função inclui os seguintes direitos:
- Exibir relatórios
- Leitura
- Ver pedidos de elevação
Além das funções dedicadas, as seguintes funções incorporadas para o Intune também incluem direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final:
Endpoint Security Manager – esta função inclui todos os direitos para a Criação de Políticas de Gestão de Privilégios de Ponto Final e Pedidos de Elevação de Privilégios de Ponto Final.
Operador Só de Leitura – esta função inclui os seguintes direitos:
- Exibir relatórios
- Leitura
- Ver pedidos de elevação
Para obter mais informações, veja Controlo de acesso baseado em funções para o Microsoft Intune.
Módulo EpmTools do PowerShell
Cada dispositivo que recebe políticas de Endpoint Privilege Management instala o EPM Microsoft Agent para gerir essas políticas. O agente inclui o módulo EpmTools do PowerShell, um conjunto de cmdlets que pode importar para um dispositivo. Pode utilizar os cmdlets do EpmTools para:
- Diagnosticar e resolver problemas com a Gestão de Privilégios de Ponto Final.
- Obtenha atributos de Ficheiro diretamente a partir de um ficheiro ou aplicação para o qual pretende criar uma regra de deteção.
Instalar o módulo EpmTools do PowerShell
O módulo EPM Tools do PowerShell está disponível a partir de qualquer dispositivo que tenha recebido a política EPM. Para importar o módulo EpmTools do PowerShell:
Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
Seguem-se os cmdlets disponíveis:
- Get-Policies: obtém uma lista de todas as políticas recebidas pelo Agente Epm para um determinado PolicyType (ElevationRules, ClientSettings).
- Get-DeclaredConfiguration: obtém uma lista de documentos WinDC que identificam as políticas direcionadas para o dispositivo.
- Get-DeclaredConfigurationAnalysis: obtém uma lista de documentos WinDC do tipo MSFTPolicies e verifica se a política já está presente no Agente Epm (coluna Processada).
- Get-ElevationRules: consulte a funcionalidade de pesquisa EpmAgent e obtenha as regras fornecidas com a pesquisa e o destino. A pesquisa é suportada para FileName e CertificatePayload.
- Get-ClientSettings: processe todas as políticas de definições de cliente existentes para apresentar as definições de cliente efetivas utilizadas pelo Agente EPM.
- Get-FileAttributes: obtém atributos de ficheiro para um ficheiro de .exe e extrai os respetivos certificados de Publicador e AC para uma localização definida que pode ser utilizada para preencher as Propriedades da Regra de Elevação de uma determinada aplicação.
Para obter mais informações sobre cada cmdlet, reveja o ficheiro readme.txt da pasta EpmTools no dispositivo.
Próximas etapas
- Documentação de orientação para criar Regras de Elevação
- Configurar políticas para a Gestão de Privilégios de Ponto Final
- Aprovar pedidos de elevação
- Relatórios para a Gestão de Privilégios de Ponto Final
- Recolha de dados e privacidade para o Endpoint Privilege Management
- Considerações de implementação e perguntas mais frequentes