Gebruik Endpoint Privilege Management om gebruikers over te schakelen van beheerder naar standaardgebruiker

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken voltooien waarvoor verhoogde bevoegdheden zijn vereist. Zie EPM-overzicht voor meer informatie.

Van toepassing op:

• Windows

Een veelvoorkomend scenario voor klanten die Endpoint Privilege Management willen gebruiken, is het verminderen van het aantal lokale beheerders in hun omgeving. Dit scenario voldoet aan het Zero Trust principe van minimale bevoegdheden. Dit document doorloopt de stappen die een klant kan volgen om EPM te gebruiken om gebruikers met minimale onderbrekingen te verplaatsen van beheerders naar standaardgebruikers.

Fase 1: Controle

Ongeacht of u migreert vanuit een ander product voor eindpuntrechtenbeheer of een nieuwe versie wilt starten, raden we u aan controle in te schakelen als de eerste stap. Door controle in te schakelen, kunnen de EPM-client en -apparaten diagnostische gegevens verzenden naar Intune, waar deze kunnen worden weergegeven in verschillende rapporten. Het verzamelen van deze uitbreidingsgegevens biedt inzicht in welke processen gebruikers willen uitbreiden en helpen om veelvoorkomende patronen te identificeren. Idealiter zijn deze afgestemd op uw persona's, zoals ontwikkelaars, IT-ondersteuningstechnici, enzovoort. De implementatie van dit beleid voor controle is naadloos en kan worden gericht op een groep gebruikers of apparaten van uw keuze, volgens een normale Intune beleidstoewijzing.

Stappen voor het maken van het beleid:

1. Meld je aan bij het Microsoft Intune-beheercentrum.
2. Selecteer Endpoint Security>Endpoint Privilege Management>Policies
3. Selecteer Beleid maken. Voer de volgende gegevens in:
   • Platform: Windows
   • Profiel: Beleid voor uitbreidingsinstellingen
4. Selecteer Maken
5. Geef een naam op voor het beleid, zoals: EPM-instellingenbeleid – Alleen controle
6. Selecteer Volgende
7. Vouw de sectie Clientinstellingen voor bevoegdhedenbeheer uit en zorg ervoor dat de volgende waarden zijn ingesteld:
   • Endpoint Privilege Management: ingeschakeld
   • Standaardantwoord voor verhoging van bevoegdheden: Niet geconfigureerd
   • Hoogtegegevens verzenden voor rapportage: Ja
   • Rapportagebereik: Diagnostische gegevens en alle eindpuntverhogingen
8. Selecteer Volgende
9. Laat de bereiktags staan en selecteer Volgende
10. Een groep apparaten of gebruikers toevoegen waarop u het beleid wilt toepassen
11. Selecteer Volgende
12. Selecteer Maken om het beleid te maken

Controleer als volgt of de regel werkt zoals verwacht:

• Meld u aan bij het Windows-apparaat met de standaardgebruikersreferenties.
• Start>Uitvoeren>Services.msc> Ok
• Controleer of de Microsoft EPM Agent-service aanwezig is, Actief en is ingesteld op Automatisch opstarttype.
• Sluit de module Services.
• Start>Uitvoeren>C:\Program Files\> OK
• Controleer of er een map is met de naam: Microsoft EPM Agent

Na 24 uur of meer zijn verstreken:

1. Meld je aan bij het Microsoft Intune-beheercentrum.
2. Selecteer Endpoint Security>Endpoint Privilege Management>Rapporten
3. Rapport Over hoogte selecteren
4. De details van het rapport over verhogingen bekijken

Identificeer groepen gebruikers (idealiter afgestemd op de persona's die u eerder hebt geïdentificeerd) die vergelijkbare uitbreidingsvereisten hebben. Het identificeren van zowel gebruikspatronen als gebruikersgroepen helpt bij de volgende stappen.

Fase 2: Persona-identificatie

Het gebruik van persona's van gebruikers in het ontwerp van EPM-beleid (Microsoft Intune Endpoint Privilege Management) is een strategische manier om uitbreidingsinstellingen en regels af te stemmen op de behoeften van gebruikers in de praktijk.

Wat zijn persona's van gebruikers in EPM?

Persona's van gebruikers zijn gegevensgestuurde representaties van verschillende gebruikerstypen binnen uw organisatie. Elke persona weerspiegelt een groep gebruikers met vergelijkbare rollen, verantwoordelijkheden en toepassingsbehoeften.

Voorbeeld van personatoewijzing:

Hoe helpen persona's bij het ontwerpen van uitbreidingsinstellingen en -regels?

Door de behoeften van de gebruiker toe te wijzen, kunt u een strategie voor verhoging van bevoegdheden definiëren voor elk gebruikerscohort.

Fase 3: Regels maken

EPM-regels bestaan uit twee fundamentele elementen: een detectie en een verhogingsactie.

Detecties worden gedefinieerd als de set kenmerken die worden gebruikt om een toepassing of binair te identificeren. Deze kenmerken omvatten bestandsnaam, bestandsversie en handtekeningeigenschappen. Uitbreidingsacties zijn de resulterende uitbreiding die optreedt nadat een toepassing of binair bestand is gedetecteerd.

Aanbevolen procedures

• Gebruik sterke kenmerken of meerdere kenmerken om de detectiesterkte te vergroten.
• Een bestands-hash of certificaat is verplicht.

Zie Beveiligingsaanbeveling voor meer beveiligingsaanbeveling.

Stappen voor het maken van een regel met rapportgegevens over bevoegdheden

1. Meld je aan bij het Microsoft Intune-beheercentrum.
2. Selecteer Endpoint Security>Endpoint Privilege Management>Policies
3. Rapport Over hoogte selecteren
4. Selecteer een toepassing of proces (bijvoorbeeld. C:\Program Files\Notepad++\)
5. Selecteer Een regel maken met de volgende details:
   • Een nieuw beleid maken
   • Type: Door gebruiker bevestigd
   • Gedrag van onderliggend proces: Regel vereisen om te verhogen
   • Hetzelfde bestandspad vereisen als deze uitbreiding: geselecteerd
6. Selecteer OK
7. Geef een beleidsnaam op (bijvoorbeeld EPM rule – Notepad++ User Confirmed)
8. Selecteer Ja
9. Navigeer naar de lijst met EPM-beleidsregels en selecteer het beleid
10. Selecteer bewerken onder Toewijzingen
11. Groepen toevoegen selecteren
12. Toewijzen aan een groep (bijvoorbeeld Ontwikkelaars)
13. Selecteren, Controleren en Opslaan

Zie Regels voor uitbreidingsverhoging maken voor meer informatie over het maken van een regel.

Controleer of de regel werkt

• Meld u aan bij het Windows-apparaat met standaardgebruikersreferenties.
• Klik met de rechtermuisknop op de toepassing (bijvoorbeeld Notepad++) en selecteer Uitvoeren met verhoogde toegang
• Selecteer doorgaan in het pop-upvenster Endpoint Privilege Management
• Controleer of de toepassing wordt gestart met verhoogde machtigingen

Fase 4: Lokale beheerdersrechten verwijderen

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Eindpuntbeveiligingsaccountbeveiliging selecteren>

3. Selecteer Beleid maken:

   • Platform: Windows
   • Profiel: Lidmaatschap van lokale gebruikersgroep

4. Geef een naam op voor het beleid (bijvoorbeeld Remove local admin rights (developers))

5. Selecteer Toevoegen:

   • Lokale groep: Beheerders
   • Groeps- en gebruikersactie: Toevoegen (vervangen)
   • Type gebruikersselectie: Handmatig

6. Gebruikers selecteren

7. Voeg de twee beveiligings-id's (SID's) toe voor:

   • Hoofdbeheerder
   • Microsoft Entra gekoppelde lokale apparaatbeheerder

   Gebruik Lusrmgr.msc op een apparaat met Entra om SID's te vinden vanaf S-1-12-1-

8. Toewijzen aan een groep (bijvoorbeeld Developers)

9. Selecteer Opslaan

Zie Accountbeveiliging voor meer informatie over de profielen Lokale gebruikers en groepen

Fase 5: Bewaking

• Rapporten over verhogingen regelmatig bekijken
• Onbeheerde uitbreidingen toevoegen aan regels of deze weigeren
• Door ondersteuning goedgekeurde aanvragen voor vertragingen of patronen bewaken
• Regels bijwerken wanneer bestandsversies of certificaten worden gewijzigd
• Verouderde regels buiten gebruik stellen of aanscherpen

Volgende stappen