Konfigurera principer för Hantering av slutpunktsprivilegier

Obs!

Den här funktionen är tillgänglig som ett Intune-tillägg. Mer information finns i Använda intune Suite-tilläggsfunktioner.

Med Microsoft Intune Endpoint Privilege Management (EPM) kan organisationens användare köras som standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.

Endpoint Privilege Management stöder din resa utan förtroende genom att hjälpa din organisation att uppnå en bred användarbas som körs med minsta möjliga behörighet, samtidigt som användarna fortfarande kan köra uppgifter som tillåts av din organisation för att förbli produktiva.

Informationen i den här artikeln kan hjälpa dig att konfigurera följande principer och återanvändbara inställningar för EPM:

  • Princip för inställningar för Windows-utökade privilegier.
  • Princip för Utökade windows-regler.
  • Återanvändbara inställningsgrupper, som är valfria konfigurationer för dina utökade regler.

Gäller för:

  • Windows 10
  • Windows 11

Kom igång med EPM-principer

Endpoint Privilege Management använder två principtyper som du konfigurerar för att hantera hur en begäran om utökade filer hanteras. Tillsammans konfigurerar principerna beteendet för filökningar när standardanvändare begär att köras med administratörsbehörighet.

Innan du kan skapa endpoint Privilege Management-principer måste du licensiera EPM i din klientorganisation som ett Intune-tillägg. Information om licensiering finns i Använda tilläggsfunktioner för Intune Suite.

Om princip för inställningar för Windows-utökade privilegier

Använd princip för inställningar för Windows-utökade privilegier när du vill:

  • Aktivera Endpoint Privilege Management på enheter. Som standard aktiverar den här principen EPM. När den först aktiveras för EPM etablerar en enhet de komponenter som samlar in användningsdata vid begäranden om utökade privilegier och som tillämpar regler för utökade privilegier.

    Om en enhet har EPM inaktiverats inaktiveras klientkomponenterna omedelbart. Det är en fördröjning på sju dagar innan EPM-komponenten tas bort helt. Fördröjningen bidrar till att minska den tid det tar att återställa EPM om en enhet av misstag har inaktiverat EPM eller om dess princip för utökade inställningar inte har tilldelats.

  • Standardsvar för utökade privilegier – Ange ett standardsvar för en begäran om utökade privilegier för alla filer som inte hanteras av en princip för Windows-utökade privilegier. För att den här inställningen ska ha en effekt kan det inte finnas någon regel för programmet och en slutanvändare måste uttryckligen begära utökade privilegier via högerklicksmenyn Kör med förhöjd åtkomst . Det här alternativet är inte konfigurerat som standard. Om ingen inställning levereras återgår EPM-komponenterna till den inbyggda standardinställningen, vilket är att neka alla begäranden.

    Alternativen är:

    • Neka alla begäranden – Det här alternativet blockerar åtgärden för att höja begäran för filer som inte har definierats i en princip för utökade Windows-utökade privilegier.
    • Kräv användarbekräftelse – När användarbekräftelse krävs kan du välja mellan samma valideringsalternativ som finns för principen för Utökade Windows-regler.
    • Kräv supportgodkännande – När supportgodkännande krävs måste en administratör godkänna begäranden om utökade privilegier utan en matchande regel innan höjningen krävs.

    Obs!

    Standardsvar bearbetas endast för begäranden som kommer via snabbmenyn Kör med förhöjd åtkomst .

  • Valideringsalternativ – Ange valideringsalternativ när standardhöjningssvaret definieras som Kräv användarbekräftelse.

    Alternativen är:

    • Affärsmotivering – Det här alternativet kräver att slutanvändaren anger en motivering innan den slutför en höjning som underlättas av standardhöjningssvaret.
    • Windows-autentisering – Det här alternativet kräver att slutanvändaren autentiserar innan de slutför en höjning som underlättas av standardhöjningssvaret.

    Obs!

    Flera valideringsalternativ kan väljas för att uppfylla organisationens behov. Om inga alternativ har valts måste användaren bara klicka på Fortsätt för att slutföra höjningen.

  • Skicka utökade data för rapportering – den här inställningen styr om enheten delar diagnostik- och användningsdata med Microsoft. När den här inställningen är aktiverad för att dela data konfigureras datatypen av inställningen Rapporteringsomfång .

    Diagnostikdata används av Microsoft för att mäta hälsotillståndet för EPM-klientkomponenterna. Användningsdata används för att visa de utökade privilegier som sker i din klientorganisation. Mer information om typer av data och hur de lagras finns i Datainsamling och sekretess för Endpoint Privilege Management.

    Alternativen är:

    • Ja – Det här alternativet skickar data till Microsoft baserat på inställningen Rapporteringsomfång .
    • Nej – Det här alternativet skickar inte data till Microsoft.
  • Rapporteringsomfång – Den här inställningen styr mängden data som skickas till Microsoft när Skicka utökade data för rapportering har angetts till Ja. Som standard väljs Diagnostikdata och alla slutpunktshöjningar .

    Alternativen är:

    • Endast diagnostikdata och hanterade utökade privilegier – Det här alternativet skickar diagnostikdata till Microsoft om hälsotillståndet för klientkomponenterna OCH data om utökade privilegier som underlättas av Endpoint Privilege Management.
    • Diagnostikdata och alla slutpunktshöjningar – Det här alternativet skickar diagnostikdata till Microsoft om hälsotillståndet för klientkomponenterna OCH data om alla utökade privilegier som sker på slutpunkten.
    • Endast diagnostikdata – Det här alternativet skickar endast diagnostikdata till Microsoft om klientkomponenternas hälsa.

Om princip för utökade Windows-regler

Använd profiler för princip för utökade Windows-regler för att hantera identifiering av specifika filer och hur begäranden om utökade privilegier för dessa filer hanteras. Varje princip för utökade privilegier i Windows innehåller en eller flera regler för utökade privilegier. Det är med regler för utökade privilegier som du konfigurerar information om filen som hanteras och krav för att den ska höjas.

Följande typer av filer stöds:

  • Körbara filer med filnamnstillägget .exe eller .msi .
  • PowerShell-skript med .ps1 tillägget.

Varje regel för utökade privilegier instruerar EPM om hur du:

  • Identifiera filen med hjälp av:

    • Filnamn (inklusive filnamnstillägg). Regeln stöder även valfria villkor som en lägsta version, produktnamn eller internt namn. Valfria villkor används för att validera filen ytterligare när utökade privilegier görs.
    • Intyg. Certifikat kan läggas till direkt i en regel eller med hjälp av en återanvändbar inställningsgrupp. När ett certifikat används i en regel måste det också vara giltigt. Vi rekommenderar att du använder återanvändbara inställningsgrupper eftersom de kan vara mer effektiva och förenkla en framtida ändring av certifikatet. Mer information finns i nästa avsnitt Återanvändbara inställningsgrupper.
  • Verifiera filen:

    • Filhash. En filhash krävs för automatiska regler. För användar bekräftade regler kan du välja att antingen använda ett certifikat eller en filhash, i vilket fall filhashen blir valfri.
    • Intyg. Om ett certifikat anges används Windows-API:erna för att verifiera certifikatet och återkallningsstatusen.
    • Ytterligare egenskaper. Eventuella ytterligare egenskaper som anges i reglerna måste matcha.
  • Konfigurera filhöjdstypen. Höjdtyp identifierar vad som händer när en begäran om utökade privilegier görs för filen. Som standard är det här alternativet inställt på Användar bekräftad, vilket är vår rekommendation för utökade privilegier.

    • Användaren bekräftad (rekommenderas): En användarbekräftade höjning kräver alltid att användaren klickar på en bekräftelsefråga för att köra filen. Det finns fler användarbekräftelser som du kan lägga till. En kräver att användarna autentiserar med sina autentiseringsuppgifter för organisationen. Ett annat alternativ kräver att användaren anger en affärsmotiving. Även om texten som anges för en motivering är upp till användaren kan EPM samla in och rapportera den när enheten är konfigurerad för att rapportera utökade data som en del av policyn för inställningar för Windows-utökade privilegier.
    • Automatisk: En automatisk höjning sker osynligt för användaren. Det finns ingen uppmaning och ingen indikation på att filen körs i en upphöjd kontext.
    • Support godkänd: En administratör måste godkänna alla begäranden om utökade privilegier som krävs och som inte har någon matchande regel innan programmet kan köras med förhöjd behörighet.
  • Hantera beteendet för underordnade processer. Du kan ange höjningsbeteendet som gäller för alla underordnade processer som den upphöjda processen skapar.

    • Kräv att regeln höjs – Konfigurera underordnade processer för att kräva en egen regel innan den underordnade processen kan köras i en upphöjd kontext.
    • Neka alla – Alla underordnade processer startas utan upphöjd kontext.
    • Tillåt att underordnade processer körs förhöjd – Konfigurera en underordnad process så att den alltid körs förhöjd.

Obs!

Mer information om hur du skapar starka regler finns i vår vägledning för att skapa utökade regler med Endpoint Privilege Management.

Du kan också använda Get-FileAttributes PowerShell-cmdleten från EpmTools PowerShell-modulen. Den här cmdleten kan hämta filattribut för en .exe fil och extrahera dess Publisher- och CA-certifikat till en angivna plats som du kan använda för att fylla i egenskaper för utökade privilegier för ett visst program.

Försiktighet

Vi rekommenderar att automatisk höjning används sparsamt och endast för betrodda filer som är affärskritiska. Slutanvändarna höjer automatiskt dessa program vid varje start av programmet.

Inställningsgrupp som kan återanvändas

Endpoint Privilege Management stöder användning av återanvändbara inställningsgrupper för att hantera certifikaten i stället för att lägga till certifikatet direkt i en höjningsregel. Precis som alla återanvändbara inställningsgrupper för Intune skickas konfigurationer och ändringar som görs i en återanvändbar inställningsgrupp automatiskt till de principer som refererar till gruppen. Vi rekommenderar att du använder en återanvändbar inställningsgrupp när du planerar att använda samma certifikat för att verifiera filer i flera utökade regler. Användningen av återanvändbara inställningsgrupper är effektivare när du använder samma certifikat i flera utökade regler:

  • Certifikat som du lägger till direkt i en höjningsregel: Varje certifikat som läggs till direkt i en regel laddas upp som en unik instans av Intune, och den certifikatinstansen associeras sedan med den regeln. Om du lägger till samma certifikat direkt i två separata regler laddas det upp två gånger. Om du senare måste ändra certifikatet måste du redigera varje enskild regel som innehåller det. Med varje regeländring laddar Intune upp det uppdaterade certifikatet en gång för varje regel.
  • Certifikat som du hanterar via en återanvändbar inställningsgrupp: Varje gång ett certifikat läggs till i en återanvändbar inställningsgrupp laddar Intune upp certifikatet en gång oavsett hur många utökade behörighetsregler som omfattar gruppen. Den instansen av certifikatet associeras sedan med filen från varje regel som använder den gruppen. Senare kan alla ändringar av certifikatet du gör göras en gång i gruppen för återanvändbara inställningar. Den här ändringen resulterar i att Intune laddar upp den uppdaterade filen en gång och sedan tillämpar ändringen på varje höjningsregel som refererar till gruppen.

Princip för inställningar för Windows-utökade privilegier

Om du vill konfigurera följande alternativ på enheter distribuerar du principen för inställningar för Windows-utökade privilegier till användare eller enheter:

  • Aktivera Hantering av slutpunktsprivilegier på en enhet.
  • Ange standardregler för begäranden om utökade privilegier för alla filer som inte hanteras av en höjningsregel för slutpunktsprivilegier på enheten.
  • Konfigurera vilken information EPM rapporterar tillbaka till Intune.

En enhet måste ha en princip för höjningsinställningar som möjliggör stöd för EPM innan enheten kan bearbeta en princip för utökade privilegier eller hantera begäranden om utökade privilegier. När support är aktiverat C:\Program Files\Microsoft EPM Agent läggs mappen till på enheten tillsammans med EPM Microsoft Agent, som ansvarar för att bearbeta EPM-principerna.

Skapa en princip för inställningar för Windows-utökade privilegier

  1. Logga in på administrationscentret för Microsoft Intune och gå till Endpoint Security>Endpoint Privilege Management> och välj fliken >Principer och välj sedan Skapa princip. Ange principen Plattform till Windows, Profil till Inställningar för Windows-utökade privilegier och välj sedan Skapa.

  2. I Grundläggande anger du följande egenskaper:

    • Namn: Ange ett beskrivande namn på profilen. Namnge profiler så att du enkelt kan identifiera dem senare.
    • Beskrivning: Ange en beskrivning för profilen. Den här inställningen är valfri men rekommenderas.
  3. I Konfigurationsinställningar konfigurerar du följande för att definiera standardbeteenden för begäranden om utökade privilegier på en enhet:

    Bild av konfigurationssidan för utvärderingsinställningar.

    • Hantering av slutpunktsprivilegier: Ställ in på Aktiverad (standard). När den är aktiverad använder en enhet Hantering av slutpunktsprivilegier. När den är inställd på Inaktiverad använder enheten inte Endpoint Privilege Management och inaktiverar omedelbart EPM om den tidigare var aktiverad. Efter sju dagar avetableras komponenterna för Endpoint Privilege Management på enheten.

    • Standardsvar för utökade privilegier: Konfigurera hur den här enheten hanterar begäranden om utökade privilegier för filer som inte hanteras direkt av en regel:

      • Inte konfigurerad: Det här alternativet fungerar på samma sätt som Neka alla begäranden.
      • Neka alla begäranden: EPM underlättar inte höjningen av filer och användaren visas ett popup-fönster med information om nekandet. Den här konfigurationen förhindrar inte att användare med administratörsbehörighet använder Kör som administratör för att köra ohanterade filer.
      • Kräv supportgodkännande: Det här beteendet instruerar EPM att uppmana användaren att skicka en supportgodkänd begäran.
      • Kräv användarbekräftelse: Användaren får en enkel uppmaning om att bekräfta sin avsikt att köra filen. Du kan också kräva fler frågor som är tillgängliga i listrutan Validering :
        • Affärsmotivering: Kräv att användaren anger en motivering för att köra filen. Det finns inget format som krävs för den här motiveringen. Användarindata sparas och kan granskas via loggar om rapportomfånget innehåller en samling slutpunktshöjningar.
        • Windows-autentisering: Det här alternativet kräver att användaren autentiserar med sina organisationsautentiseringsuppgifter.
    • Skicka utökade data för rapportering: Som standard är det här beteendet inställt på Ja. När värdet är ja kan du sedan konfigurera ett rapporteringsomfång. När värdet är Nej rapporterar inte en enhet diagnostikdata eller information om filökningar till Intune.

    • Rapporteringsomfång: Välj vilken typ av information en enhet rapporterar till Intune:

      • Diagnostikdata och alla slutpunktshöjningar (standard): Enheten rapporterar diagnostikdata och information om alla filökningar som EPM underlättar.

        Den här informationsnivån kan hjälpa dig att identifiera andra filer som ännu inte hanteras av en regel för utökade privilegier som användarna försöker köra i en upphöjd kontext.

      • Endast diagnostikdata och hanterade utökade privilegier: Enheten rapporterar diagnostikdata och information om filökningar för endast de filer som hanteras av en princip för utökade privilegier. Filbegäranden för ohanterade filer och filer som är upphöjda via Windows-standardåtgärden Kör som administratör rapporteras inte som hanterade utökade privilegier.

      • Endast diagnostikdata: Endast diagnostikdata för driften av Endpoint Privilege Management samlas in. Information om filhöjningar rapporteras inte till Intune.

    När du är klar väljer du Nästa för att fortsätta.

  4. På sidan Omfångstaggar väljer du önskade omfångstaggar som ska tillämpas och väljer sedan Nästa.

  5. För Tilldelningar väljer du de grupper som tar emot principen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.

  6. Granska inställningarna för Granska + skapa och välj sedan Skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i principlistan.

Princip för Utökade windows-regler

Distribuera en princip för Windows-utökade privilegier till användare eller enheter för att distribuera en eller flera regler för filer som hanteras för utökade privilegier av Endpoint Privilege Management. Varje regel som du lägger till i den här principen:

  • Identifierar en fil som du vill hantera begäranden om utökade privilegier för.
  • Kan innehålla ett certifikat som hjälper dig att verifiera filens integritet innan den körs. Du kan också lägga till en återanvändbar grupp som innehåller ett certifikat som du sedan använder med en eller flera regler eller principer.
  • Anger om filens höjdtyp är automatisk (tyst) eller kräver användarbekräftelse. Med användarbekräftelse kan du lägga till ytterligare användaråtgärder som måste slutföras innan filen körs. Utöver den här principen måste en enhet också tilldelas en princip för Inställningar för Windows-utökade privilegier som aktiverar Hantering av slutpunktsprivilegier.

Använd någon av följande metoder för att skapa nya regler för utökade privilegier, som läggs till i principen för utökade privilegier:

  • Konfigurera regler för utökade privilegier automatiskt – Använd den här metoden för att spara tid när du skapar en regel för utökade privilegier genom att automatiskt fylla i information om filidentifiering som Intune redan har samlat in. Filinformationen identifieras av Intune från antingen Elevation-rapporten eller från en post för godkända utökade privilegier.

    Med den här metoden:

    • Välj den fil som du vill skapa en höjningsregel för från elevation-rapporten eller stöd för godkänd begäran om utökade privilegier.
    • Välj att lägga till den nya höjningsregeln i en befintlig princip för utökade privilegier eller skapa en ny princip för utökade privilegier som innehåller den nya regeln.
      • När den läggs till i en befintlig princip är den nya regeln omedelbart tillgänglig för de principtilldelade grupperna.
      • När en ny princip skapas måste du redigera den principen för att tilldela grupper innan den blir tillgänglig för användning.
  • Konfigurera höjningsregler manuellt – Den här metoden kräver att du har identifierat den filinformation som du vill använda för identifiering och ange dem manuellt som en del av arbetsflödet för att skapa regler. Information om identifieringsvillkor finns i Definiera regler för användning med Endpoint Privilege Management.

    Med den här metoden:

    • Ta reda på vilken filinformation som ska användas manuellt och lägg sedan till dem i regeln för utökade privilegier för filidentifiering.
    • Konfigurera alla aspekter av principen när principen skapas, inklusive att tilldela principen till grupper för användning.

Konfigurera regler för utökade privilegier automatiskt för princip för Windows-utökade privilegier

  1. Logga in på administrationscentret för Microsoft Intune och gå till Endpoint Security>Endpoint Privilege Management. Om du vill välja en fil som ska användas för en höjningsregel väljer du någon av följande startsökvägar:

    Börja från en rapport:

    1. Välj fliken Rapporter och sedan panelen Utökade privilegier . Leta upp den fil som du vill skapa en regel för i kolumnen Arkiv .
    2. Välj det länkade namnet på filen för att öppna informationsfönstret utökade filer.

    Börja från en supportgodkänd begäran om utökade privilegier:

    1. Välj fliken Elevation request (Begäran om utökade privilegier ).

    2. I kolumnen Arkiv väljer du den fil som du vill använda för regeln för utökade privilegier, vilket öppnar informationsfönstret För utökade filer.

      Statusen för begäran om utökade privilegier spelar ingen roll. Du kan använda en väntande begäran eller en begäran som tidigare godkänts eller nekats.

  2. Granska filinformationen i informationsfönstret Utökade privilegier. Den här informationen används av höjningsregeln för att identifiera rätt fil. När du är klar väljer du Skapa en regel med den här filinformationen.

    Bild från administrationscentrets användargränssnitt för en fil som valts från rapporten Elevation (Utökade privilegier).

  3. Välj ett principalternativ för den nya utökade behörighetsregeln som du skapar:

    Skapa en ny princip:
    Det här alternativet skapar en ny princip som innehåller en höjningsregel för den fil som du har valt.

    1. För regeln konfigurerar du processbeteendet Typ och Underordnad och väljer sedan OK för att skapa principen.
    2. När du uppmanas till det anger du ett principnamn för den nya principen och bekräftar skapandet av en ny och otilldelad princip för utökade privilegier.
    3. När principen har skapats kan du redigera principen för att tilldela den och lägga till ytterligare konfigurationer om det behövs.

    Lägg till i en befintlig princip:
    Med det här alternativet använder du listrutan och väljer en befintlig höjdprincip som den nya höjdningsregeln läggs till i.

    1. För regeln konfigurerar du beteendet för höjningstyp och underordnad process och väljer sedan OK. Principen uppdateras med den nya regeln.
    2. När regeln har lagts till i principen kan du redigera principen för att få åtkomst till regeln och sedan ändra den för att göra ytterligare konfigurationer om det behövs.

    Bild från administrationscentrets användargränssnitt i fönstret Skapa en regel.

Konfigurera höjningsregler manuellt för princip för Utökade Windows-regler

  1. Logga in på administrationscentret för Microsoft Intune och gå till Endpoint Security>Endpoint Privilege Management> och välj fliken >Principer och välj sedan Skapa princip. Ange principen Plattform till Windows, Profil till Windows-regler för utökade privilegier och välj sedan Skapa.

  2. I Grundläggande anger du följande egenskaper:

    • Namn: Ange ett beskrivande namn på profilen. Namnge profiler så att du enkelt kan identifiera dem senare.
    • Beskrivning: Ange en beskrivning för profilen. Den här inställningen är valfri men rekommenderas.
  3. I Konfigurationsinställningar lägger du till en regel för varje fil som den här principen hanterar. När du skapar en ny princip börjar principen med en tom regel med en utökade privilegieringstyp av Användar bekräftad och inget regelnamn. Börja med att konfigurera den här regeln och senare kan du välja Lägg till för att lägga till fler regler i den här principen. Varje ny regel som du lägger till har en utökad typ av Användar bekräftad, som kan ändras när du konfigurerar regeln.

    Bild från administrationscentrets användargränssnitt för en ny princip för utökade privilegier.

    Om du vill konfigurera en regel väljer du Redigera instans för att öppna sidan Regelegenskaper och konfigurerar sedan följande:

    Bild av egenskaperna för utökade privilegier.

    • Regelnamn: Ange ett beskrivande namn för regeln. Namnge dina regler så att du enkelt kan identifiera dem senare.
    • Beskrivning (valfritt): Ange en beskrivning för profilen.

    Utökade villkor är villkor som definierar hur en fil körs och användarverifieringar som måste uppfyllas innan den fil som regeln gäller kan köras.

    • Höjdtyp: Som standard är det här alternativet inställt på Användar bekräftad, vilket är den höjdtyp som vi rekommenderar för de flesta filer.

      • Användaren bekräftade: Vi rekommenderar det här alternativet för de flesta regler. När en fil körs får användaren en enkel uppmaning om att bekräfta sin avsikt att köra filen. Regeln kan även innehålla andra frågor som är tillgängliga från listrutan Validering :

        • Affärsmotivering: Kräv att användaren anger en motivering för att köra filen. Det finns inget obligatoriskt format för posten. Användarindata sparas och kan granskas via loggar om rapportomfånget innehåller en samling slutpunktshöjningar.
        • Windows-autentisering: Det här alternativet kräver att användaren autentiserar med sina organisationsautentiseringsuppgifter.
      • Automatisk: Den här utökade behörighetstypen kör automatiskt filen i fråga med förhöjd behörighet. Automatisk höjning är transparent för användaren, utan att användaren behöver bekräfta eller kräva en motivering eller autentisering.

        Försiktighet

        Använd endast automatisk höjning för filer som du litar på. Dessa filer höjs automatiskt utan användarinteraktion. Regler som inte är väldefinierade kan tillåta att icke godkända program höjs. Mer information om hur du skapar starka regler finns i vägledningen för att skapa regler.

      • Support godkänd: Den här utökade behörighetstypen kräver att en administratör godkänner en begäran innan höjningen tillåts slutföras. Mer information finns i Stöd för godkända begäranden om utökade privilegier.

        Viktigt

        Användning av stöd för godkänd höjning av filer kräver att administratörer med ytterligare behörigheter granskar och godkänner varje begäran om filhöjning innan filen på enheten med administratörsbehörigheter. Information om hur du använder den godkända utökade behörighetstypen finns i Support approved file elevations for Endpoint Privilege Management (Support approved file elevations for Endpoint Privilege Management).

    • Underordnat processbeteende: Som standard är det här alternativet inställt på Kräv att regeln höjs, vilket kräver att den underordnade processen matchar samma regel som den process som skapar den. Andra alternativ är:

      • Tillåt att alla underordnade processer körs förhöjda: Det här alternativet bör användas med försiktighet eftersom det gör att program kan skapa underordnade processer villkorslöst.
      • Neka alla: Den här konfigurationen förhindrar att någon underordnad process skapas.

    Filinformation är där du anger den information som identifierar en fil som den här regeln gäller för.

    • Filnamn: Ange filnamnet och dess tillägg. Till exempel: myapplication.exe

    • Filsökväg (valfritt): Ange platsen för filen. Om filen kan köras från valfri plats eller är okänd kan du lämna den tom. Du kan också använda en variabel.

    • Signaturkälla: Välj något av följande alternativ:

      • Använd en certifikatfil i återanvändbara inställningar (standard): Det här alternativet använder en certifikatfil som har lagts till i en återanvändbar inställningsgrupp för Endpoint Privilege Management. Du måste skapa en återanvändbar inställningsgrupp innan du kan använda det här alternativet.

        Om du vill identifiera certifikatet väljer du Lägg till eller ta bort ett certifikat och väljer sedan den återanvändbara grupp som innehåller rätt certifikat. Ange sedan certifikattypen utgivare eller certifikatutfärdare.

      • Ladda upp en certifikatfil: Lägg till en certifikatfil direkt till regeln för utökade privilegier. För Filuppladdning anger du en .cer fil som kan verifiera filintegriteten som den här regeln gäller för. Ange sedan certifikattypen utgivare eller certifikatutfärdare.

      • Inte konfigurerad: Använd det här alternativet när du inte vill använda ett certifikat för att verifiera filens integritet. När inget certifikat används måste du ange en filhash.

    • Filhash: Filhash krävs när Signaturkälla är inställd på Inte konfigurerad och valfritt när det är inställt på att använda ett certifikat.

    • Lägsta version: (Valfritt) Använd x.x.x.x.x-format för att ange en lägsta version av filen som stöds av den här regeln.

    • Filbeskrivning: (Valfritt) Ange en beskrivning av filen.

    • Produktnamn: (Valfritt) Ange namnet på den produkt som filen kommer från.

    • Internt namn: (Valfritt) Ange filens interna namn.

    Välj Spara för att spara regelkonfigurationen. Du kan sedan lägga till fler regler. När du har lagt till alla regler som krävs för den här principen väljer du Nästa för att fortsätta.

  4. På sidan Omfångstaggar väljer du önskade omfångstaggar som ska tillämpas och väljer sedan Nästa.

  5. För Tilldelningar väljer du de grupper som tar emot principen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.

  6. Granska inställningarna i Granska + skapa och välj sedan Skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i principlistan.

Återanvändbara inställningsgrupper

Endpoint Privilege Management använder återanvändbara inställningsgrupper för att hantera de certifikat som validerar de filer som du hanterar med utökade regler för slutpunktsprivilegier. Precis som alla återanvändbara inställningsgrupper för Intune skickas ändringar i en återanvändbar grupp automatiskt till de principer som refererar till gruppen. Om du måste uppdatera certifikatet som du använder för filvalidering behöver du bara uppdatera det i gruppen med återanvändbara inställningar en gång. Intune tillämpar det uppdaterade certifikatet på alla dina utökade behörighetsregler som använder den gruppen.

Så här skapar du den återanvändbara inställningsgruppen för Hantering av slutpunktsprivilegier:

  1. Logga in på administrationscentret för Microsoft Intune och gå till Endpoint Security>Endpoint Privilege Management> och välj fliken >Återanvändbara inställningar (förhandsversion) och välj sedan Lägg till.

    Skärmdump av användargränssnittet för att lägga till en återanvändbar inställningsgrupp.

  2. I Grundläggande anger du följande egenskaper:

    • Namn: Ange ett beskrivande namn för den återanvändbara gruppen. Namnge grupper så att du enkelt kan identifiera dem senare.
    • Beskrivning: Ange en beskrivning för profilen. Den här inställningen är valfri men rekommenderas.
  3. I Konfigurationsinställningar väljer du mappikonen för Certifikatfil och bläddrar till en . CER-fil för att lägga till den i den här återanvändbara gruppen. Fältet Base 64-värde fylls i baserat på det valda certifikatet.

    Skärmdump av användargränssnittet för att bläddra till ett certifikat.

  4. Granska inställningarna i Granska + skapa och välj sedan Lägg till. När du väljer Lägg till sparas konfigurationen och gruppen visas sedan i listan över återanvändbara inställningar för Endpoint Privilege Management.

Hantering av principkonflikter för Hantering av slutpunktsprivilegier

Förutom i följande situation hanteras motstridiga principer för EPM som andra principkonflikter.

Princip för inställningar för Windows-utökade privilegier:

När en enhet tar emot två separata principer för utökade privilegier med motstridiga värden återgår EPM-klienten till standardklientens beteende tills konflikten har lösts.

Obs!

Om Aktivera Privilege Management för slutpunkt är i konflikt är standardbeteendet för klienten att aktivera EPM. Det innebär att klientkomponenterna fortsätter att fungera tills ett explicit värde levereras till enheten.

Princip för utökade Windows-regler:

Om en enhet tar emot två regler för samma program används båda reglerna på enheten. När EPM går till att lösa regler som gäller för en höjning använder den följande logik:

  • Regler som distribueras till en användare har företräde framför regler som distribueras till en enhet.
  • Regler med en definierad hash anses alltid vara den mest specifika regeln.
  • Om fler än en regel gäller (utan definierad hash) vinner regeln med de mest definierade attributen ( mest specifik).
  • Om tillämpningen av logiken för att fortsätta resulterar i fler än en regel avgör följande ordning utökade rättigheter: Användar bekräftad, Support godkänd och sedan Automatisk.

Obs!

Om det inte finns någon regel för en höjning och den utökade behörigheten begärdes via snabbmenyn Kör med förhöjd åtkomst , används standardbeteendet för utökade privilegier.

Nästa steg