Uç Nokta Ayrıcalık Yönetimi için Dağıtımla İlgili Dikkat Edilmesi Gerekenler ve sık sorulan sorular
Not
Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.
Microsoft Intune Endpoint Privilege Management (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.
Endpoint Privilege Management, kuruluşunuzun en az ayrıcalıkla çalışan geniş bir kullanıcı tabanına ulaşmasına yardımcı olarak sıfır güven yolculuğunuzu desteklerken, kullanıcıların kuruluşunuz tarafından izin verilen görevleri çalıştırmasına da olanak tanır.
Bu makalenin aşağıdaki bölümlerinde, epm için dağıtım konuları ve sık sorulan sorular ele alınmaktadır.
Şunlar için geçerlidir:
- Windows 10
- Windows 11
Uç Nokta Ayrıcalık Yönetimi için dağıtımla ilgili dikkat edilmesi gerekenler
Windows 10 cihazları destek onaylarının onayını hemen almayabilir
Destek onaylı yükseltmeleri kullandığınızda Windows 10 cihazlarının cihaz için yeni bir onay hazır olduğuna ilişkin bildirimi otomatik olarak almasını engelleyen birkaç senaryoyu çözmek için çalışıyoruz. Bu sorunu mümkün olan en kısa sürede çözmek için sahibiyle birlikte çalışıyoruz.
Kullanıcı Hesabı Denetimi'nin (UAC) devre dışı bırakıldığını belirten kuruluş, Uç Nokta Ayrıcalık Yönetimi ile ilgili sorunlarla karşılaşabilir
Endpoint Privilege Management, UAC'nin açıkça devre dışı bırakılmasını desteklemez. UAC'nin davranışını denetlemek için UAC İstem Davranışı için Windows ilke denetimleri vardır. Kuruluşlar, Windows hizmetlerini devre dışı bırakma gibi mevcut ilke denetimlerinin dışında UAC'yi devre dışı bırakmak için ek adımlar atarsa Endpoint Privilege Management ile ilgili sorunlarla karşılaşabilir.
Kuruluşlar İş için Uygulama Denetimi kullanıyorsa Uç Nokta Ayrıcalık Yönetimi'ni çalıştırırken sorunlarla karşılaşabilir
EPM istemci bileşenlerini hesaba eklemeyen İş İçin Uygulama Denetimi ilkeleri, EPM bileşenlerinin çalışmasını engelleyebilir. EPM'yi AppControl ile kullanmak için Uygulama Denetimi ilkenizin EPM'nin çalışmasına izin veren kurallar içerdiğini doğrulayın. Uygulama denetimi sorunlarını giderme hakkında daha fazla bilgi için bkz. WDAC hata ayıklama ve sorun giderme.
Not
EPM, Uygulama Denetimi için varsayılan ilkelere dahil değildir ve özel ilkeler oluşturulmasını gerektirebilir.
Etkileşimli olarak oturum açabilen kullanıcıları kısıtlayan kuruluşlar Endpoint Privilege Management ile ilgili sorunlar görebilir
Endpoint Privilege Management, yükseltmeleri kolaylaştırmak için yalıtılmış bir hesap kullanır. Bu hesap, etkileşimli oturum açma oturumu oluşturabilmeyi gerektirir. Kullanıcıların etkileşimli oturum oluşturma becerisini sınırlayan kuruluşların EPM'nin düzgün çalışması için değişiklik yapması gerekir.
Yükseltme için destek onayı isteyen kullanıcıların cihazdaki birincil kullanıcı olması gerekir
Endpoint Privilege Management şu anda kullanıcının cihazın birincil kullanıcısı olması için yükseltme istemesini gerektirir. Gelecek bir sürümde bu sınırlamayı kaldırmak için çalışıyoruz.
Tanımlama için tek özniteliklerden biri olarak dosya adıyla dosya yazma
Dosya adı, yükseltilmesi gereken bir uygulamayı algılamak için kullanılabilecek bir özniteliktir. Ancak, dosyanın imzası tarafından korunmaz.
Dosya adları değiştirilmeye son derece duyarlıdır ve güvendiğiniz bir sertifikayla imzalanan dosyaların adları algılanacak ve daha sonra yükseltilecek şekilde değiştirilebilir ve bu da hedeflenen davranışınız olmayabilir.
Önemli
Her zaman dosya adı da dahil olmak üzere kuralların, dosyanın kimliğine güçlü bir onay sağlayan diğer öznitelikleri içerdiğinden emin olun. Dosya karması veya dosya imzasında yer alan özellikler gibi öznitelikler, büyük olasılıkla yükseltilmekte olan dosyanın hedeflenen dosya olduğunu gösterir.
Yükseltme ayarları ilkeleri, hızlı bir şekilde değiştirildiğinde çakışma gösterebilir
Endpoint Privilege Management, Yükseltme Ayarları profili kullanılarak uygulanan tek tek ayarların durumunu bildirir. Bu profildeki ayarlar (örneğin varsayılan yükseltme davranışı) hızlı bir şekilde birden çok kez değiştirilirse, cihaz raporlama çakışmasına neden olabilir veya yükseltmeyi reddetme varsayılan davranışına geri dönebilir. Bu geçici bir durumdur ve başka bir işlem yapmadan (60 dakikadan kısa bir süre içinde) çözülür. Bu sorun gelecek bir sürümde düzeltilecektir.
İnternet'ten indirilen engellenen dosyalar yükseltilemez
Doğrudan İnternet'ten indirilen dosyalara bir öznitelik ayarlamak ve doğrulanana kadar bunların yürütülmesini engellemek için Windows'ta davranış vardır. Windows, internetten indirilen dosyaların itibarını doğrulamaya ilişkin işlevlere sahiptir. Dosyaların saygınlığı doğrulanmazsa, dosya yükseltilemeyebilir.
Bu davranışı düzeltmek için dosya özellikleri bölmesinden dosyanın engellemesini kaldırarak dosyanın engellemesini kaldırın. Bir dosyanın engelini kaldırma işlemi yalnızca dosyaya güvendiğinizde yapılmalıdır.
"Çalışma alanına katılmış" Windows cihazları Endpoint Privilege Management'ı etkinleştiremez
Çalışma alanına katılmış cihazlar Endpoint Privilege Management tarafından desteklenmez. Bu cihazlar, cihaza dağıtıldığında başarılı veya işlem EPM ilkelerini (yükseltme ayarları veya yükseltme kuralları) göstermez.
Ağ dosyası kuralları yükseltilemeyebilir
Endpoint Privilege Management, diskte yerel olarak depolanan dosyaların yürütülmesini destekler. Ağ paylaşımı veya eşlenmiş sürücü gibi bir ağ konumundan dosya yürütme desteklenmez.
Uç Nokta Ayrıcalık Yönetimi, ağ altyapımda 'SSL denetimi' kullandığımda ilke almıyor
Endpoint Privilege Management, 'kesme ve inceleme' olarak bilinen SSL incelemesini desteklemez. Uç Nokta Ayrıcalık Yönetimi'ni kullanmak için, Uç Nokta Ayrıcalık Yönetimi için Intune Uç Noktaları'nda listelenen URL'lerin incelemeden muaf tutuldığından emin olun.
Sık sorulan sorular
Sanal cihazım neden Endpoint Privilege Management'a eklenmiyor?
Uç Nokta Ayrıcalık Yönetimi şu anda Azure Sanal Masaüstü ile desteklenmemektedir. Bu sorun gelecek sürümde düzeltilecektir.
Eylül 2023'te Windows 365 (Bulut bilgisayarları) desteği eklendi.
Yükseltme ayarları ilkem neden hata gösteriyor/uygulanamaz?
Yükseltme ayarları ilkesi, EPM'nin etkinleştirilmesini ve istemci tarafı bileşenlerinin yapılandırmasını denetler. Bu ilke hatalı olduğunda veya uygulanamaz olduğunda cihazın EPM'yi etkinleştirirken sorun yaşadığını gösterir. En yaygın iki neden, Gerekli Windows güncelleştirmelerinin eksik olması veya Uç Nokta Ayrıcalık Yönetimi için gerekli Intune Uç Noktalarıyla iletişim kuramamasıdır.
Yönetici ayrıcalıklarına sahip biri EPM için etkinleştirilmiş bir cihaz kullandığında ne olur?
Endpoint Privilege Management, bir cihazda yönetici izinlerine sahip kullanıcılar tarafından yapılan yükseltme isteklerini yönetmez. Bir yöneticinin cihazda tanımlanmış bir yükseltme kuralı (özellikle otomatik yükseltme kuralı) olan bir dosyayı başlattığı örnekler olabilir. Bu uygulama normalde yönetici için olduğu gibi başlatılır ve EPM tarafından yönetilmeyen bir yükseltme olayı oluşturulur.
Hangi dosyalar yöneticiye yükseltilebilir?
Endpoint Privilege Management, uzantıya ve .ps1 PowerShell betiklerine sahip .msi olanlar da dahil olmak üzere yürütülebilir dosyaları destekler.
Başlat menüsü öğelerinde neden "Yükseltilmiş erişimle çalıştır" gösterilmiyor?
Başlangıç menüsünde veya görev çubuğunda bulunan bazı öğelerin seçki sağ tıklama menüsü vardır ve EPM sağ tıklama bağlam menüsü bu menülere eklenemez. Bu sorunu gelecek bir sürümde düzeltmeyi planlıyoruz.
"Yükseltilmiş erişimle çalıştır" sağ tıklama bağlam menüsüyle birden çok dosyayı yükseltilmiş olarak başlatabilir miyim?
Aynı anda yalnızca bir dosya yükseltilebilir. Yükseltilmiş birden çok dosyayı başlatmak için her dosyaya tek tek sağ tıklayın ve Yükseltilmiş erişimle çalıştır'ı seçin.