Regels voor verhoging van bevoegdheden maken met Endpoint Privilege Management

Opmerking

Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Invoegtoepassingsmogelijkheden van Intune Suite gebruiken voor meer informatie.

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken voltooien waarvoor verhoogde bevoegdheden zijn vereist. Zie EPM-overzicht voor meer informatie.

Van toepassing op:

  • Windows

Beleid voor uitbreidingsregels staat Endpoint Privilege Management (EPM) toe om specifieke bestanden en scripts te identificeren en de bijbehorende actie voor uitbreiding uit te voeren. Regels voor verhoging van bevoegdheden worden alleen van kracht als op apparaten een beleid voor uitbreidingsinstellingen is gericht dat EPM inschakelt. Zie EPM-uitbreidingsinstellingen voor meer informatie.

Opmerking

U kunt maximaal 100 regels voor uitbreiding per beleid voor uitbreidingsregels toevoegen vanuit Microsoft Intune beheercentrum.

Blijf naast de informatie in dit artikel op de hoogte van belangrijke beveiligingsaanbevelingsaanbevelingsregels .

Over beleid voor uitbreidingsregels

Een beleid voor uitbreidingsregels wordt gebruikt om de identificatie van specifieke bestanden te beheren en hoe aanvragen voor uitbreiding van die bestanden worden verwerkt. Elk beleid voor uitbreidingsregel bevat een of meer regels voor uitbreiding van bevoegdheden. Met regels voor verhoging van bevoegdheden configureert u details over het bestand dat wordt beheerd en de vereisten voor het verhogen ervan.

De volgende typen bestanden worden ondersteund:

  • Uitvoerbare bestanden met de .exe extensie of .msi .
  • PowerShell-scripts met de .ps1 extensie.

Elke verhogingsregel geeft EPM instructies voor het volgende:

  • Identificeer het bestand met behulp van:

    • Bestandsnaam (inclusief extensie). De regel ondersteunt ook optionele voorwaarden, zoals een minimale buildversie, productnaam of interne naam. Optionele voorwaarden worden gebruikt om het bestand verder te valideren wanneer wordt geprobeerd om uitbreiding uit te voeren. De bestandsnaam (met uitzondering van extensies) kan het gebruik van variabelen voor enkele tekens omvatten door het gebruik van een vraagteken ? of tekenreeksen via het gebruik van een sterretje *.
    • Certificaat. Certificaten kunnen rechtstreeks worden toegevoegd aan een regel of met behulp van een herbruikbare instellingengroep. Certificaten moeten worden vertrouwd en geldig zijn. We raden u aan herbruikbare instellingengroepen te gebruiken, omdat deze efficiënter kunnen zijn en een toekomstige wijziging van het certificaat kunnen vereenvoudigen. Zie Herbruikbare instellingengroepen voor meer informatie.

  • Valideer het bestand:

    • Bestands-hash. Een bestands-hash is vereist voor automatische regels. Voor regels met een uitbreidingstype Gebruiker bevestigd of Verhogen als huidige gebruiker, kunt u ervoor kiezen om een certificaat of een bestands-hash te gebruiken, in welk geval de bestands-hash optioneel wordt.
    • Certificaat. Bestandseigenschappen kunnen worden gevalideerd naast het uitgevercertificaat dat wordt gebruikt om het bestand te ondertekenen. Certificaten worden gevalideerd met behulp van Windows-API's die kenmerken controleren zoals vertrouwen, certificaatverloop en intrekkingsstatus.
    • Bestandseigenschappen. Alle andere eigenschappen die in de regels zijn opgegeven, moeten overeenkomen.

  • Configureer het type uitbreiding van bestanden. Type uitbreiding geeft aan wat er gebeurt wanneer er een aanvraag voor uitbreiding van het bestand wordt gedaan. Deze optie is standaard ingesteld op Gebruiker bevestigd. Met uitzondering van Elevate als huidige gebruiker gebruikt EPM een virtueel account om processen te verhogen. Dit isoleert verhoogde acties van het gebruikersprofiel, waardoor de blootstelling aan gebruikersspecifieke gegevens wordt verminderd en het risico op escalatie van bevoegdheden wordt verminderd.

    • Weigeren: met regels voor weigeren wordt voorkomen dat het geïdentificeerde bestand wordt uitgevoerd in een verhoogde context.

    • Ondersteuning goedgekeurd: een beheerder moet de vereiste uitbreidingsaanvraag goedkeuren voordat de toepassing kan worden uitgevoerd met verhoogde bevoegdheden.

    • Gebruiker bevestigd: een door een gebruiker bevestigde uitbreiding vereist altijd dat de gebruiker een bevestigingsprompt selecteert om het bestand uit te voeren. De bevestiging kan alleen worden geconfigureerd om een gebruikersverificatie, een zakelijke reden (zichtbaar in rapportage) of beide te vereisen.

    • Verhogen als huidige gebruiker: met dit type uitbreiding wordt het proces met verhoogde bevoegdheden uitgevoerd onder het eigen account van de aangemelde gebruiker, waarbij de compatibiliteit met hulpprogramma's en installatieprogramma's die afhankelijk zijn van het actieve gebruikersprofiel, behouden blijft. Hiervoor moet de gebruiker zijn referenties voor Windows-verificatie invoeren. Hierdoor blijven de profielpaden, omgevingsvariabelen en persoonlijke instellingen van de gebruiker behouden. Omdat het verhoogde proces dezelfde gebruikersidentiteit behoudt voor en na uitbreiding, blijven audittrails consistent en nauwkeurig.

      Omdat het verhoogde proces echter de volledige context van de gebruiker overneemt, introduceert deze modus een bredere kwetsbaarheid voor aanvallen en vermindert de isolatie van gebruikersgegevens.

      Belangrijke overwegingen:

      • Compatibiliteitsbehoefte: gebruik deze modus alleen wanneer uitbreiding van het virtuele account toepassingsfouten veroorzaakt.
      • Bereik strikt: beperk regels voor uitbreiding tot vertrouwde binaire bestanden en paden om risico's te verminderen.
      • Afweging tussen beveiliging: begrijp dat deze modus de blootstelling aan gebruikersspecifieke gegevens verhoogt.

      Tip

      Wanneer compatibiliteit geen probleem is, geeft u de voorkeur aan een methode die gebruikmaakt van de uitbreiding van het virtuele account voor een betere beveiliging.

    • Automatisch: een automatische verhoging vindt onzichtbaar plaats voor de gebruiker. Er is geen prompt en geen indicatie dat het bestand wordt uitgevoerd in een verhoogde context.

  • Het gedrag van onderliggende processen beheren. U kunt bepalen hoe regels voor verhoging van bevoegdheden van toepassing zijn op onderliggende processen die het bovenliggende proces met verhoogde bevoegdheden start.

    • Regel vereisen om te verhogen: onderliggende processen moeten voldoen aan hun eigen regelvereisten voordat ze met verhoogde bevoegdheden kunnen worden uitgevoerd. Het onderliggende proces verheft volgens de regeldefinitie, inclusief eventuele weigeringsregels.

    • Alles weigeren : alle onderliggende processen worden gestart zonder verhoogde context.

    • Toestaan dat onderliggende processen met verhoogde bevoegdheid worden uitgevoerd : elk onderliggend proces dat door het bovenliggende element met verhoogde bevoegdheid wordt gestart, wordt automatisch uitgevoerd met verhoogde bevoegdheid. Wanneer deze optie is geselecteerd, wordt de regelevaluatie voor het onderliggende proces overgeslagen, inclusief regels voor weigeren. Dit betekent dat een onderliggend proces met verhoogde bevoegdheid kan worden uitgevoerd, zelfs wanneer er een expliciete regel voor weigeren voor dat proces bestaat.

    Aanbevolen procedure: Vermijd het maken van te brede uitbreidingsregels voor toepassingen die andere processen kunnen starten (bijvoorbeeld opdrachtshells of script-engines) om onbedoelde uitbreiding te voorkomen.

Opmerking

Zie Regels definiëren voor gebruik met Endpoint Privilege Management voor meer informatie over het maken van sterke regels.

U kunt ook de Get-FileAttributes PowerShell-cmdlet van de EpmTools PowerShell-module gebruiken. Met deze cmdlet kunnen bestandskenmerken voor een .exe-bestand worden opgehaald en de publisher- en CA-certificaten worden geëxtraheerd op een ingestelde locatie die u kunt gebruiken om eigenschappen van uitbreidingsregel voor een bepaalde toepassing in te vullen.

Voorzichtigheid

We raden u aan om automatische uitbreiding spaarzaam te gebruiken en alleen voor vertrouwde bestanden die bedrijfskritiek zijn. Eindgebruikers verhogen deze toepassingen automatisch bij elke start van die toepassing.

Regels definiëren voor gebruik met Endpoint Privilege Management

Endpoint Privilege Management regels bestaan uit twee fundamentele elementen: een detectie en een verhogingsactie.

Detecties worden gedefinieerd als de set kenmerken die worden gebruikt om een toepassing of binair te identificeren. Deze kenmerken omvatten bestandsnaam, bestandsversie en handtekeningeigenschappen.

Uitbreidingsacties zijn de resulterende uitbreiding die optreedt nadat een toepassing of binair bestand is gedetecteerd.

Bij het definiëren van detecties is het belangrijk dat ze zo beschrijvend mogelijk zijn. Als u beschrijvend wilt zijn, gebruikt u sterke kenmerken of meerdere kenmerken om de detectie sterker te maken. Het doel bij het definiëren van detecties moet zijn om te voorkomen dat meerdere bestanden in dezelfde regel vallen, tenzij dat expliciet de bedoeling is.

Hash-regels voor bestanden

Bestandshashregels zijn de sterkste regels die kunnen worden gemaakt met Endpoint Privilege Management. Deze regels worden ten zeerste aanbevolen om ervoor te zorgen dat het bestand dat u wilt verhogen, het bestand is met verhoogde bevoegdheden.

Bestands-hash kan worden verzameld uit het directe binaire bestand met behulp van de Get-Filehash PowerShell-methode of rechtstreeks vanuit de rapporten voor Endpoint Privilege Management.

Certificaatregels

Certificaatregels zijn een sterk type kenmerk en moeten worden gekoppeld aan andere kenmerken. Het koppelen van een certificaat met kenmerken zoals productnaam, interne naam en beschrijving, verbetert de beveiliging van de regel drastisch. Deze kenmerken worden beveiligd met een bestandshandtekening en geven vaak details aan over het ondertekende bestand.

Voorzichtigheid

Het wordt niet aanbevolen om alleen een certificaat en een bestandsnaam te gebruiken om bestanden te identificeren. Elke standaardgebruiker met toegang tot een map waarin het bestand zich bevindt, kan de bestandsnaam wijzigen. Dit probleem is mogelijk geen probleem voor bestanden die zich in een met schrijfbeveiliging beveiligde map bevinden.

Regels met bestandsnaam

Bestandsnaam is een kenmerk dat kan worden gebruikt om een toepassing te detecteren die moet worden verhoogd. Bestandsnamen kunnen echter eenvoudig worden gewijzigd en maken geen deel uit van de hash of kenmerken die zijn ondertekend door het uitgeverscertificaat.

Dit betekent dat bestandsnamen zeer gevoelig zijn voor wijzigingen. Files u zich niet doelbewust richt op een certificaat dat u vertrouwt, kan de naam worden gewijzigd om te worden gedetecteerd en verhoogd.

Belangrijk

Zorg er altijd voor dat regels met inbegrip van een bestandsnaam andere kenmerken bevatten die een sterke assertie voor de identiteit van het bestand bieden. Kenmerken zoals bestands-hash of eigenschappen die zijn opgenomen in de bestandshandtekening (bijvoorbeeld productnaam) zijn goede indicatoren dat het gewenste bestand waarschijnlijk het bestand is dat wordt verhoogd.

Regels op basis van kenmerken die zijn verzameld door PowerShell

Als u nauwkeurigere regels voor bestandsdetectie wilt maken, kunt u de PowerShell-cmdlet Get-FileAttributes gebruiken. Get-FileAttributes is beschikbaar in de PowerShell-module EpmTools en kan bestandskenmerken en het certificaatketenmateriaal voor een bestand ophalen en u kunt de uitvoer gebruiken om eigenschappen van uitbreidingsregelen voor een bepaalde toepassing in te vullen.

Voorbeeld van stappen voor het importeren van modules en uitvoer van Get-FileAttributes worden uitgevoerd op msinfo32.exe op Windows 11 versie 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Opmerking

De certificaatketen voor msinfo32.exe wordt uitgevoerd naar de map C:\CertsForMsInfo die wordt vermeld in het opdrachtvoorbeeld.

Zie EpmTools PowerShell-module voor meer informatie.

Gedrag van onderliggend proces beheren

Met onderliggend procesgedrag kunt u de context beheren wanneer een proces met epm een onderliggend proces maakt. Met dit gedrag kunt u processen beheren die automatisch de context van het bovenliggende proces zouden worden gedelegeerd.

Windows delegeert automatisch de context van een ouder aan een kind, dus wees voorzichtig bij het beheren van het gedrag voor uw toegestane toepassingen. Zorg ervoor dat u evalueert wat er nodig is wanneer u regels voor uitbreiding van bevoegdheden maakt en het principe van minimale bevoegdheden implementeert.

Opmerking

Het wijzigen van het onderliggende procesgedrag kan compatibiliteitsproblemen hebben met bepaalde toepassingen die het standaardgedrag van Windows verwachten. Zorg ervoor dat u toepassingen grondig test bij het manipuleren van het onderliggende procesgedrag.

Regels implementeren die zijn gemaakt met Endpoint Privilege Management

Endpoint Privilege Management regels worden geïmplementeerd zoals elk ander beleid in Microsoft Intune. Dit betekent dat regels kunnen worden geïmplementeerd op gebruikers of apparaten en dat regels aan de clientzijde worden samengevoegd en tijdens runtime worden geselecteerd. Eventuele conflicten worden opgelost op basis van het conflictgedrag van het beleid.

Regels die op een apparaat zijn geïmplementeerd, zijn van toepassing op elke gebruiker die dat apparaat gebruikt. Regels die voor een gebruiker worden geïmplementeerd, zijn alleen van toepassing op die gebruiker op elk apparaat dat ze gebruiken. Wanneer er een verhogingsactie optreedt, krijgen regels die voor de gebruiker zijn geïmplementeerd voorrang op regels die op een apparaat zijn geïmplementeerd. Met dit gedrag kunt u een set regels implementeren voor alle gebruikers van een apparaat en een meer toegestane set regels voor een specifieke gebruiker (zoals een ondersteuningsbeheerder). Hierdoor kan de ondersteuningsbeheerder een bredere set toepassingen verhogen wanneer ze zich aanmelden bij het apparaat.

Standaardgedrag voor verhogingen wordt alleen gebruikt wanneer er geen regelovereenkomst kan worden gevonden. Het standaardgedrag voor verhogingen is alleen van toepassing wanneer een verhoging wordt geactiveerd met het snelmenu Uitvoeren met verhoogde toegang .

Beleid voor uitbreidingsregels maken

Implementeer een beleid voor uitbreidingsregels voor gebruikers of apparaten om een of meer regels te implementeren voor bestanden die worden beheerd voor uitbreiding door Endpoint Privilege Management. Elke regel die u aan dit beleid toevoegt:

  • Identificeert een bestand op bestandsnaam en bestandsextensie waarvoor u uitbreidingsaanvragen wilt beheren.
  • Kan een certificaat bevatten om de integriteit van het bestand te valideren. U kunt ook een herbruikbare groep toevoegen die een certificaat bevat dat u vervolgens gebruikt met een of meer regels of beleidsregels.
  • Kan een of meer handmatig toegevoegde bestandsargumenten of opdrachtregelopties bevatten. Wanneer bestandsargumenten worden toegevoegd aan een regel, staat EPM alleen bestandsverhoging toe van aanvragen die een van de gedefinieerde opdrachtregels bevatten. Als een gedefinieerde opdrachtregel geen deel uitmaakt van de aanvraag voor uitbreiding van bestanden, weigert EPM die aanvraag.
  • Hiermee geeft u op of het uitbreidingstype van het bestand automatisch is (op de achtergrond), of dat de gebruiker bevestiging vereist. Met bevestiging van de gebruiker kunt u validatie vereisen met een referentieprompt, zakelijke reden of beide.

Opmerking

Naast dit beleid moet aan een apparaat ook een windows-beleid voor uitbreidingsinstellingen worden toegewezen waarmee Endpoint Privilege Management wordt ingeschakeld.

Gebruik een van de volgende methoden om nieuwe regels voor uitbreidingsverhoging te maken, die worden toegevoegd aan het beleid voor uitbreidingsregels:

  • Regels voor verhogingen automatisch configureren : gebruik deze methode om tijd te besparen bij het maken van een regel voor verhoging door bestandsdetails uit de rapportage toe te voegen. Regels kunnen worden gemaakt met behulp van het rapport Verhoging of vanuit een record met goedgekeurde uitbreidingsaanvragen.

    Met deze methode kunt u het volgende doen:

    • Selecteer het bestand waarvoor u een uitbreidingsregel wilt maken in het rapport Verhoging of ondersteuning voor goedgekeurde uitbreidingsaanvraag.
    • Kies ervoor om de nieuwe regel voor uitbreiding toe te voegen aan een bestaand beleid voor uitbreidingsregels of een nieuw beleid voor uitbreidingsregels te maken dat de nieuwe regel bevat.
      • Wanneer de nieuwe regel wordt toegevoegd aan een bestaand beleid, is deze onmiddellijk beschikbaar voor de lijst met toegewezen groepen.
      • Wanneer een nieuw beleid wordt gemaakt, moet u dat beleid bewerken om groepen toe te wijzen voordat het beschikbaar wordt voor gebruik.

  • Handmatig regels configureren: voor deze methode moet u de bestandsdetails identificeren die u wilt gebruiken voor detectie en deze handmatig invoeren als onderdeel van de werkstroom voor het maken van regels. Zie Regels definiëren voor gebruik met Endpoint Privilege Management voor informatie over detectiecriteria.

    Met deze methode kunt u het volgende doen:

    • Bepaal handmatig de bestandsdetails die u wilt gebruiken en voeg deze vervolgens toe aan de regel voor uitbreiding voor bestandsidentificatie.
    • Configureer alle aspecten van het beleid tijdens het maken van het beleid, inclusief het toewijzen van het beleid aan groepen voor gebruik.
    • Kan een of meer bestandsargumenten toevoegen die deel moeten uitmaken van de uitbreidingsaanvraag voordat EPM bestandsverhoging toestaat.

Tip

Voor zowel automatisch geconfigureerde als handmatig geconfigureerde uitbreidingsregels raden we u aan een bestandspad te gebruiken dat verwijst naar een locatie die standaardgebruikers niet kunnen wijzigen.

Automatisch uitbreidingsregels configureren voor beleid voor Windows-uitbreidingsregels

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>Endpoint Privilege Management. Als u een bestand wilt selecteren dat u wilt gebruiken voor een regel voor verhoging van bevoegdheden, kiest u een van de volgende beginpaden:

    Beginnen met een rapport:

    1. Selecteer het tabblad Rapporten en vervolgens de tegel Uitbreidingsrapport . Zoek het bestand waarvoor u een regel wilt maken in de kolom Bestand .
    2. Selecteer de gekoppelde naam van het bestand om het detailvenster Voor de uitbreiding van het bestand te openen.

    Beginnen met een door ondersteuning goedgekeurde uitbreidingsaanvraag:

    1. Selecteer het tabblad Uitbreidingsaanvraag .

    2. Selecteer in de kolom Bestand het bestand dat u wilt gebruiken voor de regel voor verhoging van bevoegdheden. Hiermee opent u het detailvenster Uitbreiding van het bestand.

      De status van de uitbreidingsaanvraag doet er niet toe. U kunt een aanvraag in behandeling gebruiken of een aanvraag die eerder is goedgekeurd of geweigerd.

  2. Controleer in het deelvenster Hoogtedetails de bestandsdetails. Deze informatie wordt door de regel voor verhogingen gebruikt om het juiste bestand te identificeren. Wanneer u klaar bent, selecteert u Een regel maken met deze bestandsdetails.

    Afbeelding van de gebruikersinterface van het beheercentrum van een bestand dat is geselecteerd in het rapport Uitbreiding.

  3. Selecteer een beleidsoptie voor de nieuwe regel voor verhoging van bevoegdheden die u maakt:

    Een nieuw beleid maken: Met deze optie maakt u een nieuw beleid dat een regel voor uitbreiding van bevoegdheden bevat voor het bestand dat u hebt geselecteerd.

    1. Configureer voor de regel het gedrag van het type en onderliggende proces en selecteer vervolgens OK om het beleid te maken.
    2. Geef desgevraagd een beleidsnaam op voor het nieuwe beleid en bevestig dat u dit wilt maken.
    3. Nadat het beleid is gemaakt, kunt u het beleid bewerken om het toe te wijzen en eventuele andere wijzigingen aan te brengen.

    Toevoegen aan een bestaand beleid: Met deze optie gebruikt u de vervolgkeuzelijst en selecteert u een bestaand uitbreidingsbeleid waaraan de nieuwe uitbreidingsregel wordt toegevoegd.

    1. Configureer voor de regel het type uitbreidingstype en het gedrag van het onderliggende proces en selecteer vervolgens OK. Het beleid wordt bijgewerkt met de nieuwe regel.
    2. Nadat de regel is toegevoegd aan het beleid, kunt u het beleid bewerken om toegang te krijgen tot de regel en deze vervolgens wijzigen om zo nodig aanvullende configuraties te maken.

    Hetzelfde bestandspad vereisen als deze uitbreiding: Wanneer u dit selectievakje inschakelt, wordt het veld Bestandspad in de regel ingesteld op het bestandspad zoals weergegeven in het rapport. Als het selectievakje niet is ingeschakeld, blijft het pad leeg.

    Tip

    Hoewel optioneel, raden we u aan een bestandspad te gebruiken dat verwijst naar een locatie die standaardgebruikers niet kunnen wijzigen.

    Afbeelding uit de gebruikersinterface van het beheercentrum van het deelvenster Een regel maken.

Regels voor uitbreidingsverhoging handmatig configureren voor beleid voor Windows-uitbreidingsregels

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>Endpoint Privilege Management> selecteer het tabblad >Beleid en selecteer vervolgens Beleid maken. Stel het beleid Platform in op Windows, Profiel op Windows-uitbreidingsregels en selecteer vervolgens Maken.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  3. Voeg in Configuratie-instellingen een regel toe voor elk bestand dat door dit beleid wordt beheerd. Wanneer u een nieuw beleid maakt, bevat het beleid een lege regel met een uitbreidingstype Gebruiker bevestigd en geen regelnaam. Begin met het configureren van deze regel en later kunt u Toevoegen selecteren om meer regels aan dit beleid toe te voegen. Elke nieuwe regel die u toevoegt, heeft een uitbreidingstype Gebruiker bevestigd, dat kan worden gewijzigd wanneer u de regel configureert.

    Afbeelding van de gebruikersinterface van het beheercentrum van een nieuw beleid voor uitbreidingsregels.

    Als u een regel wilt configureren, selecteert u Exemplaar bewerken om de pagina Regeleigenschappen te openen en configureert u vervolgens het volgende:

    Afbeelding van de eigenschappen van de uitbreidingsregels.

    • Regelnaam: geef een beschrijvende naam op voor de regel. Geef uw regels een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving (optioneel): voer een beschrijving in voor het profiel.

    Uitbreidingsvoorwaarden zijn voorwaarden die bepalen hoe een bestand wordt uitgevoerd en gebruikersvalidaties waaraan moet worden voldaan voordat het bestand waarop deze regel van toepassing is, kan worden uitgevoerd.

    • Type verhoging: deze optie is standaard ingesteld op Gebruiker bevestigd. Dit is het type uitbreiding dat het meest wordt gebruikt omdat het uitbreidingstoespraak toestaat, maar gebruikersbevestiging vereist.

      • Weigeren: een regel voor weigeren voorkomt dat het geïdentificeerde bestand wordt uitgevoerd in een verhoogde context. Het volgende gedrag is van toepassing:

        • Regels voor weigeren ondersteunen dezelfde configuratieopties als andere uitbreidingstypen, met uitzondering van de onderliggende procesopties. Opties voor onderliggende processen worden niet gebruikt vanuit deze regel, zelfs niet als deze zijn geconfigureerd.
        • Wanneer een gebruiker probeert een bestand te verhogen dat overeenkomt met een regel voor weigeren, mislukt de uitbreiding. EPM geeft een bericht weer dat aangeeft dat de app niet kan worden uitgevoerd als beheerder. Als aan die gebruiker ook een regel wordt toegewezen die uitbreiding van hetzelfde bestand toestaat, heeft de regel voor weigeren voorrang.
        • Geweigerde uitbreidingen worden in het rapport weergegeven als geweigerd, vergelijkbaar met een geweigerde aanvraag voor ondersteuning .
        • EPM biedt momenteel geen ondersteuning voor automatische configuratie van een regel voor weigeren uit het evaluatierapport.

      • Ondersteuning goedgekeurd: voor dit type uitbreiding is vereist dat een beheerder een aanvraag voor uitbreidingstoestemming goedkeurt. Zie Goedgekeurde uitbreidingsaanvragen ondersteunen voor meer informatie.

        Belangrijk

        Voor het gebruik van ondersteuning voor goedgekeurde uitbreiding van bestanden moeten beheerders met aanvullende machtigingen elke aanvraag voor bestandstoestemming controleren en goedkeuren vóór dat bestand op het apparaat met beheerdersmachtigingen. Zie Ondersteuning voor goedgekeurde bestandsverhogingen voor Endpoint Privilege Management voor meer informatie over het gebruik van het door ondersteuning goedgekeurde uitbreidingstype.

      • Gebruiker bevestigd: meest gebruikt voor bestanden met regels waarvoor uitbreiding is vereist, omdat dit uitbreiding toestaat, maar gebruikersbevestiging vereist. Wanneer een bestand wordt uitgevoerd, ontvangt de gebruiker een eenvoudige prompt om te bevestigen dat hij of zij het bestand wil uitvoeren. De regel kan ook andere prompts bevatten die beschikbaar zijn in de vervolgkeuzelijst Validatie :

        • Zakelijke reden: de gebruiker moet een reden invoeren voor het uitvoeren van het bestand. Er is geen vereiste indeling voor de vermelding. De gebruikersinvoer wordt opgeslagen en kan worden gecontroleerd via logboeken als het rapportagebereik een verzameling eindpuntverhogingen bevat.
        • Windows-verificatie: voor deze optie moet de gebruiker zich verifiëren met behulp van de referenties van de organisatie.

      • Automatisch: met dit type uitbreiding wordt het bestand automatisch uitgevoerd met verhoogde machtigingen. Automatische uitbreiding is transparant voor de gebruiker, zonder om bevestiging te vragen of een reden of verificatie door de gebruiker te vereisen.

        Voorzichtigheid

        Gebruik alleen automatische uitbreiding bij uitzondering en voor bestanden die u vertrouwt. Deze bestanden worden automatisch verheft zonder tussenkomst van de gebruiker. Regels die niet goed zijn gedefinieerd, kunnen niet-goedgekeurde toepassingen verhogen. Zie de richtlijnen voor het maken van regels voor meer informatie over het maken van sterke regels.

    • Gedrag van onderliggend proces: deze optie is standaard ingesteld op Regel vereisen om te verhogen. Hiervoor moet het onderliggende proces overeenkomen met dezelfde regel als het proces waarmee het proces wordt gemaakt. Andere opties zijn:

      • Toestaan dat alle onderliggende processen met verhoogde bevoegdheid worden uitgevoerd: deze optie moet voorzichtig worden gebruikt, omdat toepassingen onvoorwaardelijk onderliggende processen kunnen maken.
      • Alles weigeren: deze configuratie voorkomt dat een onderliggend proces wordt gemaakt.

    In bestandsinformatie geeft u de details op waarmee een bestand wordt geïdentificeerd waarop deze regel van toepassing is.

    • Bestandsnaam: geef de bestandsnaam en de extensie op. Bijvoorbeeld: myapplication.exe. U kunt ook een variabele in de bestandsnaam gebruiken.

    • Bestandspad (optioneel): geef de locatie van het bestand op. Als het bestand vanaf een willekeurige locatie kan worden uitgevoerd of onbekend is, kunt u dit leeg laten. U kunt ook een variabele gebruiken.

      Tip

      Hoewel optioneel, raden we u aan een bestandspad te gebruiken dat verwijst naar een locatie die standaardgebruikers niet kunnen wijzigen.

    • Handtekeningbron: kies een van de volgende opties:

      • Een certificaatbestand gebruiken in herbruikbare instellingen (standaard): met deze optie wordt een certificaatbestand gebruikt dat eerder is toegevoegd aan een herbruikbare instellingengroep voor Endpoint Privilege Management. U moet een herbruikbare instellingengroep maken voordat u deze optie kunt gebruiken.

        Als u het certificaat wilt identificeren, selecteert u Een certificaat toevoegen of verwijderen en selecteert u vervolgens de herbruikbare groep die het juiste certificaat bevat. Geef vervolgens het certificaattypepublisher of certificeringsinstantie op.

      • Een certificaatbestand uploaden: voeg een certificaatbestand rechtstreeks toe aan de regel voor verhoging van bevoegdheden. Geef bij Bestand uploaden een .cer bestand op waarmee de integriteit kan worden gevalideerd van het bestand waarop deze regel van toepassing is. Geef vervolgens het certificaattypepublisher of certificeringsinstantie op.

      • Niet geconfigureerd: gebruik deze optie als u geen certificaat wilt gebruiken om de integriteit van het bestand te valideren. Wanneer er geen certificaat wordt gebruikt, moet u een bestands-hash opgeven.

    • Bestands-hash: de bestands-hash is vereist wanneer handtekeningbron is ingesteld op Niet geconfigureerd en optioneel wanneer deze is ingesteld op het gebruik van een certificaat.

    • Minimale versie: (optioneel) Gebruik de x.x.x.x-indeling om een minimale versie van het bestand op te geven die wordt ondersteund door deze regel.

    • Bestandsbeschrijving: (optioneel) Geef een beschrijving van het bestand op.

    • Productnaam: (optioneel) Geef de naam op van het product waarvan het bestand afkomstig is.

    • Interne naam: (optioneel) Geef de interne naam van het bestand op.

    Selecteer Opslaan om de regelconfiguratie op te slaan. Vervolgens kunt u meer regels toevoegen . Nadat u alle regels voor dit beleid hebt toegevoegd, selecteert u Volgende om door te gaan.

  4. Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.

  5. Selecteer bij Toewijzingen de groepen die het beleid ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

  6. Controleer uw instellingen in Beoordelen en maken en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.

Variabelen gebruiken in regels voor verhoging van bevoegdheden

Wanneer u regels voor bestandsverhoging handmatig configureert, kunt u jokertekens gebruiken voor de volgende configuraties die beschikbaar zijn op de pagina Regeleigenschappen van een beleid voor uitbreidingsregel:

  • Bestandsnaam: jokertekens worden ondersteund als onderdeel van een bestandsnaam bij het configureren van het veld Bestandsnaam .
  • Mappad: jokertekens worden ondersteund als onderdeel van een mappad bij het configureren van het veld Mappad .

Opmerking

Jokertekens worden niet ondersteund in regels voor automatische uitbreiding.

Het gebruik van jokertekens biedt flexibiliteit in uw regels voor de ondersteuning van vertrouwde bestanden met namen die regelmatig kunnen worden gewijzigd bij volgende revisies of waarvoor het bestandspad ook kan worden gewijzigd.

De volgende jokertekens worden ondersteund:

  • Vraagteken ? : vraagtekens vervangen afzonderlijke tekens in een bestandsnaam.
  • Sterretje * : sterretje vervangt een tekenreeks in een bestandsnaam.

Hier volgen voorbeelden van ondersteund gebruik van jokertekens:

  • Bestandsnaam voor een Visual Studio-installatiebestand met de naam VSCodeSetup-arm64-1.99.2.exe:

    • VSCodeSetup*.exe
    • VSCodeSetup-arm64-*.exe
    • VSCodeSetup-?????-1.??.?.exe

  • Bestandspad voor hetzelfde bestand, meestal te vinden in C:\Users\<username>\Downloads\:

    • C:\Users\*\Downloads\

Tip

Wanneer u variabelen in een bestandsnaam gebruikt, vermijdt u het gebruik van regeleigenschappen die een conflict kunnen veroorzaken. Een bestands-hash komt bijvoorbeeld alleen overeen met een bestand en een jokerteken voor een bestandsnaam kan dus overbodig zijn.

Bestandsargumenten gebruiken voor regels voor uitbreiding van bevoegdheden

Regels voor bestandsverhoging kunnen ook worden beperkt om uitbreiding met specifieke argumenten toe te staan.

Dsregcmd kan bijvoorbeeld handig zijn voor het onderzoeken van de status van een apparaat in Microsoft Entra ID, maar vereist uitbreiding. Als u deze bestanden wilt ondersteunen voor onderzoek, kunt u de regel configureren met een lijst met argumenten voor dsregcmd die de schakelopties voor /status, /listaccounts en meer bevat. Als u echter een destructieve actie wilt voorkomen, zoals het ongedaan maken van de registratie van een apparaat, sluit u argumenten zoals /leave uit. Met deze configuratie staat de regel alleen uitbreiding toe als de argumenten /status of /listaccounts worden gebruikt. dsregcmd met de schakeloptie /leave, waarmee het apparaat uit Microsoft Entra ID wordt verwijderd, zou worden geweigerd.

Als u een of meer argumenten wilt toevoegen aan een uitbreidingsregel, stelt u Argumenten beperken in op Lijst toestaan. Selecteer De toegestane opdrachtregelopties toevoegen en configureren. Door meerdere argumenten toe te voegen, geeft u meerdere opdrachtregels op die worden ondersteund door uitbreidingsaanvragen.

Belangrijk

Overwegingen voor bestandsargumenten:

  • EPM gebruikt bestandsargumentlijsten als acceptatielijsten. Wanneer epm is geconfigureerd, staat u uitbreiding toe wanneer er geen argumenten worden gebruikt of alleen de opgegeven argumenten worden gebruikt. Uitbreiding wordt geblokkeerd als er argumenten worden gebruikt die niet worden gevonden in de opgegeven argumenten.
  • Bestandsargumenten zijn hoofdlettergevoelig; gebruikers moeten exact overeenkomen met de case zoals gedefinieerd in de regels.
  • Definieer geheimen niet als een bestandsargument.

Schermopname van de gebruikersinterface voor het configureren van opdrachtregelargumenten.

Herbruikbare instellingengroepen

Endpoint Privilege Management maakt gebruik van herbruikbare instellingengroepen om de certificaten te beheren waarmee de bestanden die u beheert worden gevalideerd met Endpoint Privilege Management regels voor uitbreiding. Net als alle herbruikbare instellingengroepen voor Intune, worden wijzigingen in een herbruikbare groep automatisch doorgegeven aan het beleid dat naar de groep verwijst. Als u het certificaat dat u gebruikt voor bestandsvalidatie moet bijwerken, hoeft u het slechts één keer bij te werken in de groep herbruikbare instellingen. Intune past het bijgewerkte certificaat toe op al uw regels voor uitbreidingsverhoging die gebruikmaken van die groep.

De groep herbruikbare instellingen voor Endpoint Privilege Management maken:

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>Endpoint Privilege Management> selecteer het tabblad >Herbruikbare instellingen (preview) en selecteer vervolgens Toevoegen.

    Schermopname van de gebruikersinterface om een groep herbruikbare instellingen toe te voegen.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor de herbruikbare groep. Naamgroepen zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  3. Selecteer in Configuratie-instellingen het mappictogram voor certificaatbestand en blader naar een . CER-bestand om het toe te voegen aan deze herbruikbare groep. Het veld Basis 64-waarde wordt ingevuld op basis van het geselecteerde certificaat.

    Schermopname van de gebruikersinterface om naar een certificaat te bladeren.

  4. Controleer in Beoordelen en maken uw instellingen en selecteer vervolgens Toevoegen. Wanneer u Toevoegen selecteert, wordt uw configuratie opgeslagen en wordt groep weergegeven in de lijst met herbruikbare instellingen voor Endpoint Privilege Management.

Volgende stappen

Volgende: Gebruik Endpoint Privilege Management om gebruikers over te schakelen van beheerder naar standaardgebruiker>

  • Last updated on