Instellingen voor bevoegdheden beheren met Endpoint Privilege Management

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken voltooien waarvoor verhoogde bevoegdheden zijn vereist. Zie EPM-overzicht voor meer informatie.

Van toepassing op:

  • Windows

Als u Endpoint Privilege Management (EPM) op apparaten wilt configureren, implementeert u het beleid voor windows-uitbreidingsinstellingen voor gebruikers of apparaten:

  • EPM op een apparaat in- of uitschakelen.
  • Stel standaardregels in voor aanvragen voor uitbreiding van bevoegdheden voor bestanden die niet overeenkomen met een uitbreidingsregel.
  • Configureren welke informatie EPM rapporteert aan Intune.

Wanneer EPM is ingeschakeld, wordt de C:\Program Files\Microsoft EPM Agent map gemaakt samen met de service Microsoft EPM Agent Service, die verantwoordelijk is voor de verwerking van het EPM-beleid.

Over het beleid voor windows-uitbreidingsinstellingen

Gebruik het windows-beleid voor uitbreidingsinstellingen als u het volgende wilt doen:

  • Schakel Endpoint Privilege Management in of uit op apparaten. Wanneer EPM voor het eerst is ingeschakeld, worden de EPM-onderdelen geïnstalleerd.

    Als EPM op een apparaat is uitgeschakeld, worden de clientonderdelen gedeactiveerd bij de volgende beleidssynchronisatie. Er is een vertraging van zeven dagen voordat de EPM-onderdelen worden verwijderd. De vertraging helpt de tijd te verkorten die nodig is om EPM te herstellen als epm per ongeluk is uitgeschakeld op een apparaat of als het beleid voor uitbreidingsinstellingen niet is toegewezen.

  • Een standaardantwoord voor verhoging van bevoegdheden instellen : stel een standaardantwoord in voor een verzoek om uitbreiding van een bestand dat niet wordt beheerd door een Windows-uitbreidingsregelbeleid. Deze instelling heeft alleen effect als er geen regel voor de toepassing bestaat EN moet een eindgebruiker expliciet om uitbreiding vragen via het snelmenu Uitvoeren met verhoogde toegang . Deze optie is standaard ingesteld op Niet geconfigureerd. Als er geen instelling is geconfigureerd, vallen de EPM-onderdelen terug op hun ingebouwde standaardwaarde, namelijk alle aanvragen weigeren.

    Tip

    U wordt aangeraden ondersteuningsgoedkeuring vereisen of Alle aanvragen weigeren te gebruiken als standaardantwoord voor verhoging van bevoegdheden.

    Opties zijn onder andere:

    • Alle aanvragen weigeren (aanbevolen): met deze optie blokkeert u de actie Aanvraag verhogen voor bestanden die niet zijn gedefinieerd in een Windows-beleid voor uitbreidingsregels.

    • Ondersteuningsgoedkeuring vereisen (aanbevolen): wanneer ondersteuningsgoedkeuring is vereist, moet een beheerder aanvragen voor verhoging van bevoegdheden controleren voordat de uitbreiding wordt toegestaan.

    • Bevestiging van de gebruiker vereisen : wanneer bevestiging van de gebruiker is vereist, kunt u kiezen uit dezelfde validatieopties als voor beleid voor Windows-uitbreidingsregels.

      • Validatieopties : stel validatieopties in wanneer het standaardantwoord voor verhoging van bevoegdheden is gedefinieerd als Bevestiging van gebruiker vereisen. Opties zijn onder andere:

        • Zakelijke reden : voor deze optie moet de eindgebruiker een reden opgeven voordat een verhoging wordt voltooid die wordt gefaciliteerd door het standaardantwoord voor verhoging van bevoegdheden.
        • Windows-verificatie : voor deze optie moet de eindgebruiker zich verifiëren voordat een verhoging wordt voltooid die wordt gefaciliteerd door het standaardantwoord voor verhoging van bevoegdheden.

        Opmerking

        Er kunnen meerdere validatieopties worden geselecteerd om te voldoen aan de behoeften van de organisatie. Als er geen opties zijn geselecteerd, hoeft de gebruiker alleen doorgaan te selecteren om de uitbreiding te voltooien.

    Voorzichtigheid

    Het standaardantwoord voor verhogingen is van toepassing op alle bestanden die niet overeenkomen met een uitbreidingsregel. Als gevolg hiervan kunnen alle bestanden standaard worden verhoogd met de instelling Gebruikersbevestiging vereisen . Als u geen zakelijke redenen of referentieprompts zoekt voor verhogingen, raden we u aan alle aanvragen weigeren of Ondersteuningsgoedkeuring vereisen te gebruiken.

  • Gegevens over bevoegdheden verzenden voor rapportage : met deze instelling bepaalt u of uw apparaat diagnostische en gebruiksgegevens deelt met Microsoft. Gebruik de instelling Rapportagebereik om de verzamelde gegevens te beheren.

    Diagnostische gegevens worden door Microsoft gebruikt om de status van de EPM-clientonderdelen te meten. Gebruiksgegevens worden gebruikt om verhogingen in uw tenant weer te geven. Zie Gegevensverzameling en privacy voor Endpoint Privilege Management voor meer informatie over de typen gegevens en hoe deze worden opgeslagen.

    Opties zijn onder andere:

    • Ja : met deze optie worden gegevens naar Microsoft verzonden op basis van de instelling Rapportagebereik .
    • Nee : met deze optie worden geen gegevens naar Microsoft verzonden.

  • Rapportagebereik : met deze instelling bepaalt u de hoeveelheid gegevens die naar Microsoft worden verzonden wanneer Verhogingsgegevens verzenden voor rapportage is ingesteld op Ja. Standaard zijn *Diagnostische gegevens en alle eindpuntverhogingen geselecteerd.

    Opties zijn onder andere:

    • Alleen diagnostische gegevens en beheerde verhogingen: met deze optie worden diagnostische gegevens naar Microsoft verzonden over de status van de clientonderdelen EN gegevens over verhogingen die worden gefaciliteerd door Endpoint Privilege Management.
    • Diagnostische gegevens en alle eindpuntverhogingen : met deze optie worden diagnostische gegevens naar Microsoft verzonden over de status van de clientonderdelen EN gegevens over alle uitbreidingen op het eindpunt.
    • Alleen diagnostische gegevens : met deze optie worden alleen de diagnostische gegevens over de status van de clientonderdelen naar Microsoft verzonden.

Een windows-beleid voor uitbreidingsinstellingen maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>Endpoint Privilege Management> selecteer het tabblad >Beleid en selecteer vervolgens Beleid maken. Stel het beleid Platform in op Windows, Profiel op Windows-uitbreidingsinstellingen en selecteer vervolgens Maken.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  3. Configureer in Configuratie-instellingen het volgende om standaardgedrag voor uitbreidingsaanvragen op een apparaat te definiëren:

    Afbeelding van de configuratiepagina voor evaluatie-instellingen.

    • Endpoint Privilege Management: ingesteld op Ingeschakeld (standaard). Als deze optie is ingeschakeld, gebruikt een apparaat Endpoint Privilege Management. Wanneer deze optie is ingesteld op Uitgeschakeld, maakt het apparaat geen gebruik van Endpoint Privilege Management en wordt EPM onmiddellijk uitgeschakeld als dit eerder was ingeschakeld. Na zeven dagen wordt de inrichting van de onderdelen voor Endpoint Privilege Management ongedaan gemaakt.

    • Standaardantwoord op verhoging: configureer hoe dit apparaat aanvragen voor uitbreidingsverhoging beheert voor bestanden die niet overeenkomen met een regel:

      • Niet geconfigureerd: deze optie werkt op dezelfde manier als Alle aanvragen weigeren.

      • Alle aanvragen weigeren: EPM vergemakkelijkt de uitbreiding van bestanden niet en de gebruiker krijgt een pop-upvenster te zien met informatie over de weigering. Deze configuratie voorkomt niet dat gebruikers met beheerdersmachtigingen Uitvoeren als administrator gebruiken om onbeheerde bestanden uit te voeren.

      • Goedkeuring van ondersteuning vereisen: dit gedrag geeft EPM de opdracht om de gebruiker te vragen een goedgekeurde ondersteuningsaanvraag in te dienen.

      • Bevestiging van de gebruiker vereisen: de gebruiker ontvangt een eenvoudige prompt om te bevestigen dat hij of zij het bestand wil uitvoeren. U kunt ook meer prompts vereisen die beschikbaar zijn in de vervolgkeuzelijst Validatie :

        • Zakelijke reden: de gebruiker moet een reden invoeren voor het uitvoeren van het bestand. Er is geen vereiste indeling voor deze reden. Gebruikersinvoer wordt opgeslagen en kan worden gecontroleerd via logboeken als het rapportagebereik een verzameling eindpuntverhogingen bevat.
        • Windows-verificatie: voor deze optie moet de gebruiker zich verifiëren met behulp van de referenties van de organisatie.

        Voorzichtigheid

        Het standaardantwoord voor verhogingen is van toepassing op alle bestanden die niet overeenkomen met een uitbreidingsregel. Als gevolg hiervan kunnen alle bestanden standaard worden verhoogd met de instelling Gebruikersbevestiging vereisen . Als u geen aanvullende controle- of referentieprompts zoekt, raden we u aan alle aanvragen weigeren of Ondersteuningsgoedkeuring vereisen te gebruiken.

    • Hoogtegegevens verzenden voor rapportage: dit gedrag is standaard ingesteld op Ja. Wanneer deze optie is ingesteld op Ja, kunt u vervolgens een rapportagebereik configureren. Wanneer deze optie is ingesteld op Nee, rapporteert een apparaat geen diagnostische gegevens of informatie over bestandsverhogingen aan Intune.

    • Rapportagebereik: kies welk type informatie een apparaat rapporteert aan Intune:

      • Diagnostische gegevens en alle eindpuntverhogingen (standaard): het apparaat rapporteert diagnostische gegevens en details over alle bestandsverhogingen die EPM mogelijk maakt.

        Dit informatieniveau kan u helpen bij het identificeren van andere bestanden die nog niet worden beheerd door een regel voor verhoging van bevoegdheden die gebruikers proberen uit te voeren in een verhoogde context.

      • Alleen diagnostische gegevens en beheerde uitbreidingen: het apparaat rapporteert diagnostische gegevens en details over bestandsverhogingen die worden beheerd door EPM. EPM-verhogingen omvatten uitbreidingen die overeenkomen met een regel voor verhogingen of die zijn geïnitieerd door het snelmenu Uitvoeren met verhoogde toegang . Bestandsaanvragen voor niet-beheerde bestanden en bestanden die zijn verhoogd via de standaardactie van Windows van Uitvoeren als beheerder, worden niet gerapporteerd als beheerde uitbreidingen.

      • Alleen diagnostische gegevens: alleen diagnostische gegevens voor de werking van Endpoint Privilege Management worden verzameld. Informatie over bestandsverhogingen wordt niet gerapporteerd aan Intune.

    Wanneer u klaar bent, selecteert u Volgende om door te gaan.

  4. Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.

  5. Selecteer bij Toewijzingen de groepen die het beleid ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

  6. Controleer uw instellingen voor Beoordelen en maken en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.

Volgende stappen

Volgende: Een beleid voor uitbreidingsregels maken >

  • Last updated on