Planear e Preparar a Implementação do Gerenciamento de privilégios de ponto de extremidade

Com Microsoft Intune Gerenciamento de privilégios de ponto de extremidade (EPM) os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. Para obter mais informações, consulte Descrição Geral do EPM.

Aplicável a:

• Windows

Este artigo abrange as informações necessárias para planear a implementação do Gerenciamento de privilégios de ponto de extremidade (EPM), incluindo requisitos, conceitos importantes, recomendações de segurança e controlo de acesso baseado em funções.

Lista de verificação de planejamento

• Reveja os pré-requisitos técnicos e de licenciamento no seu inquilino.
• Defina as suas personas de utilizador de destino para que possa criar regras com agrupamento lógico nestas pessoas.
• Confirme que tem uma boa compreensão das definições de elevação e das políticas de regras de elevação, incluindo:
  • Predefinições de elevação e recolha de dados de diagnóstico.
  • Definir ficheiros de elevação com hash de ficheiro, metadados ou certificados.
  • Como as regras de certificado podem permitir que qualquer aplicação assinada por esse certificado eleve. Tenha cuidado para os fornecedores que possam assinar todas as aplicações com o mesmo certificado.
  • Suporte de argumentos de regras e opções de comportamento do processo subordinado.
  • Tipos de elevação.
  • Como os conflitos de regras são tratados quando tem atribuições de regras sobrepostas.
• Encontre o equilíbrio certo entre a segurança e a flexibilidade para a sua organização e personalidades de utilizador.
• Certifique-se de que tem uma estratégia de implementação robusta. Isto inclui gestão de intervenientes, planos de comunicação e formação de utilizadores finais e monitorização.

Pré-requisitos

✅ Descubra o que precisa para o EPM

Licenciamento

Gerenciamento de privilégios de ponto de extremidade requer uma licença de suplemento para além da licença de Microsoft Intune (plano 1). Pode escolher entre uma licença autónoma que adiciona apenas o EPM ou licencie o EPM como parte do Microsoft Intune Suite. Para obter mais informações, veja Use Intune Suite add-on capabilities (Utilizar capacidades de suplementos do Intune Suite).

Requisitos

Gerenciamento de privilégios de ponto de extremidade tem os seguintes requisitos:

• Microsoft Entra associados ou Microsoft Entra associados híbridos
• Microsoft Intune Inscrição ou Microsoft Configuration Manager dispositivos cogeridos (sem requisitos de carga de trabalho)
• Sistema Operacional com Suporte
• Limpar linha de visão (sem Inspeção SSL) para os pontos finais necessários

Gerenciamento de privilégios de ponto de extremidade suporta os seguintes sistemas operativos:

• Windows 11, versão 24H2
• Windows 11, versão 23H2 (22631.2506 ou posterior) com KB5031455
• Windows 11, versão 22H2 (22621.2215 ou posterior) com KB5029351
• Windows 11, versão 21H2 (22000.2713 ou posterior) com KB5034121
• Windows 10, versão 22H2 (19045.3393 ou posterior) com KB5030211
• Windows 10, versão 21H2 (19044.3393 ou posterior) com KB5030211

Gerenciamento de privilégios de ponto de extremidade suporta as seguintes plataformas virtuais:

• Azure máquinas virtuais de sessão única (VMs) do Área de Trabalho Virtual do Azure (AVD)
• Windows 365

Suporte de nuvem do Governo

Gerenciamento de privilégios de ponto de extremidade é suportado com os seguintes ambientes de cloud soberana:

• Cloud da Comunidade Governamental dos E.U.A. (GCC) Elevada
• Departamento de Defesa dos E.U.A. (DoD)

Para obter mais informações, veja Microsoft Intune para a descrição do serviço GCC do Governo dos EUA.

Conceitos importantes para Gerenciamento de privilégios de ponto de extremidade

Quando configura as definições de elevação e as políticas de regras de elevação mencionadas anteriormente, existem alguns conceitos importantes para compreender se configura o EPM para satisfazer as necessidades da sua organização. Antes de implementar amplamente o EPM, os seguintes conceitos devem ser bem compreendidos, bem como o efeito que têm no seu ambiente:

• Executar com acesso elevado – uma opção de menu de contexto de clique com o botão direito do rato que aparece quando o EPM é ativado num dispositivo. Quando esta opção é utilizada, as políticas de regras de elevação de dispositivos são verificadas para uma correspondência para determinar se, e como, esse ficheiro pode ser elevado para ser executado num contexto administrativo. Se não existir nenhuma regra de elevação aplicável, o dispositivo utilizará as configurações de elevação predefinidas, conforme definido pela política de definições de elevação.

• Tipos de elevação e elevação de ficheiros – o EPM permite que os utilizadores sem privilégios administrativos executem processos no contexto administrativo. Quando cria uma regra de elevação, essa regra permite que o EPM execute o proxy do destino dessa regra com privilégios de administrador no dispositivo. O resultado é que a aplicação tem capacidade administrativa total no dispositivo.

Com exceção de Elevate como utilizador atual, o EPM utiliza uma conta virtual para elevar os processos. Isto isola as ações elevadas do perfil do utilizador, reduzindo a exposição a dados específicos do utilizador e reduzindo o risco de escalamento de privilégios.

Quando utiliza Gerenciamento de privilégios de ponto de extremidade, existem algumas opções para o comportamento de elevação:

• Automático: para regras de elevação automática, o EPM eleva automaticamente estas aplicações sem a entrada do utilizador. As regras abrangentes nesta categoria podem ter um impacto generalizado na postura de segurança da organização.

• Utilizador confirmado: com as regras confirmadas pelo utilizador, os utilizadores finais utilizam um novo menu de contexto de clique com o botão direito do rato em Executar com acesso elevado. As regras confirmadas pelo utilizador também podem exigir validação com autenticação ou justificação comercial. A necessidade de validação fornece uma camada adicional de proteção ao fazer com que o utilizador reconheça a elevação.

• Elevar como utilizador atual: este tipo de elevação executa o processo elevado na própria conta do utilizador com sessão iniciada, preservando a compatibilidade com ferramentas e instaladores que dependem do perfil de utilizador ativo. Isto requer que o utilizador introduza as respetivas credenciais para a Autenticação do Windows. Isto preserva os caminhos de perfil do utilizador, as variáveis de ambiente e as definições personalizadas. Uma vez que o processo elevado mantém a mesma identidade de utilizador antes e depois da elevação, os registos de auditoria permanecem consistentes e precisos.

  No entanto, uma vez que o processo elevado herda o contexto completo do utilizador, este modo introduz uma superfície de ataque mais ampla e reduz o isolamento dos dados do utilizador.

  Principais considerações:

  • Necessidade de compatibilidade: utilize este modo apenas quando a elevação da conta virtual causar falhas na aplicação.
  • Âmbito apertado: limite as regras de elevação a binários e caminhos fidedignos para reduzir o risco.
  • Compromisso de segurança: compreenda que este modo aumenta a exposição a dados específicos do utilizador.

  Dica

  Quando a compatibilidade não é um problema, prefira um método que utilize a elevação da conta virtual para uma segurança mais forte.

• Negar: uma regra de negação identifica um ficheiro que o EPM bloqueia a execução num contexto elevado. As regras de negação podem garantir que os ficheiros conhecidos ou software potencialmente malicioso não podem ser executados num contexto elevado.

• Suporte aprovado: para regras aprovadas pelo suporte, os utilizadores finais têm de submeter um pedido para executar uma aplicação com permissões elevadas. Assim que o pedido for submetido, um administrador pode aprovar o pedido. Assim que o pedido for aprovado, o utilizador final é notificado de que pode repetir a elevação no dispositivo. Para obter mais informações sobre como utilizar este tipo de regra, veja Suporte de pedidos de elevação aprovados

• Controlos de processo subordinado – quando os processos são elevados pelo EPM, pode controlar a forma como a criação de processos subordinados é regida pelo EPM, o que lhe permite ter controlo granular sobre quaisquer subprocessos que possam ser criados pela sua aplicação elevada.

• Componentes do lado do cliente – para utilizar Gerenciamento de privilégios de ponto de extremidade, Intune aprovisiona um pequeno conjunto de componentes no dispositivo que recebem políticas de elevação e os impõem. Intune aprovisiona os componentes apenas quando é recebida uma política de definições de elevação e a política expressa a intenção de ativar a gestão de Privilégios de Ponto Final.

• Elevações geridas vs. elevações não geridas – estes termos podem ser utilizados nos nossos dados de relatórios e utilização. Estes termos referem-se às seguintes descrições:

  • Elevação gerida: qualquer elevação que Gerenciamento de privilégios de ponto de extremidade facilita. As elevações geridas incluem todas as elevações que o EPM acaba por facilitar para o utilizador padrão. Estas elevações geridas podem incluir elevações que ocorrem como resultado de uma regra de elevação ou como parte da ação de elevação predefinida.

  • Elevação não gerida: todas as elevações de ficheiros que ocorrem sem a utilização de Gerenciamento de privilégios de ponto de extremidade. Estas elevações podem ocorrer quando um utilizador com direitos administrativos utiliza a ação predefinida do Windows de Executar como administrador.

Políticas EPM

✅ Compreender os tipos de política do EPM

Gerenciamento de privilégios de ponto de extremidade utiliza dois tipos de política que configura para gerir a forma como um pedido de elevação de ficheiros é processado. Em conjunto, as políticas configuram o comportamento das elevações de ficheiros quando os utilizadores padrão pedem a execução com privilégios administrativos.

Estas políticas são:

• Política de definições de elevação
• Política de regras de elevação

O EPM também suporta um grupo de definições reutilizáveis para armazenar certificados de publicador que podem ser referenciados em várias regras ou políticas de regras.

Processamento de conflitos de políticas para Gerenciamento de privilégios de ponto de extremidade

✅ Saiba mais sobre os conflitos de políticas

Com exceção das seguintes situações, as políticas em conflito para o EPM são tratadas como qualquer outro conflito de política.

Política de definições de elevação do Windows:

Quando um dispositivo recebe duas políticas de definições de elevação separadas com valores em conflito, o cliente EPM reverte para o comportamento predefinido do cliente até que o conflito seja resolvido.

Política de regras de elevação do Windows:

Se um dispositivo receber duas regras direcionadas para a mesma aplicação, ambas as regras são consumidas no dispositivo. Quando o EPM acede a resolve regras que se aplicam a uma elevação, utiliza a seguinte lógica:

• As regras com um tipo de elevação de Negar têm sempre precedência e a elevação do ficheiro é negada.
• As regras implementadas num utilizador têm precedência sobre as regras implementadas num dispositivo.
• As regras com um hash definido são sempre consideradas a regra mais específica .
• Se for aplicada mais do que uma regra (sem hash definido), a regra com os atributos mais definidos ganha (mais específico).
• Se a aplicação da lógica de procedimento resultar em mais do que uma regra, a seguinte ordem determina o comportamento de elevação: Utilizador confirmado, Elevar como utilizador atual, Suporte aprovado e, em seguida, Automático.

Gerenciamento de privilégios de ponto de extremidade e Controlo de Conta de Utilizador

✅ Compreender a interação entre o EPM e o Controlo de Conta de Utilizador

Gerenciamento de privilégios de ponto de extremidade e o controlo de conta de utilizador (UAC) incorporado do Windows são funcionalidades separadas com diferentes funcionalidades.

Ao mover utilizadores para executar como utilizadores padrão e utilizar Gerenciamento de privilégios de ponto de extremidade, pode optar por alterar o comportamento predefinido do UAC para os utilizadores padrão. Esta alteração pode reduzir a confusão quando uma aplicação requer elevação e cria uma melhor experiência de utilizador final. Examine o comportamento do pedido de elevação para utilizadores padrão para obter mais informações.

Recomendações de segurança

✅ Compreender a forma mais segura de utilizar o EPM

Para ajudar a garantir uma implementação segura de Gerenciamento de privilégios de ponto de extremidade, considere estas recomendações ao configurar o comportamento e as regras de elevação.

Definir uma resposta de elevação predefinida segura

Defina a resposta de elevação predefinida como Exigir aprovação de suporte ou Negar em vez de Exigir confirmação do utilizador. Estas opções garantem que a elevação é controlada com regras predefinidas para binários conhecidos, reduzindo o risco de os utilizadores elevarem executáveis arbitrários ou potencialmente maliciosos.

Exigir restrições de caminho de ficheiro em todos os tipos de regras

Ao configurar uma regra de elevação, especifique um Caminho de ficheiro necessário. Embora o caminho do ficheiro seja opcional, pode ser um marcar de segurança importante para regras que utilizam elevação automática ou atributos baseados em carateres universais quando o caminho aponta para uma localização que os utilizadores padrão não podem modificar, como um diretório de sistema seguro. A utilização de uma localização de ficheiro segura ajuda a impedir que os executáveis ou os binários dependentes sejam adulterados ou substituídos antes da elevação.

Esta recomendação aplica-se às regras criadas automaticamente com base nos detalhes do relatório de Elevação ou do pedido aprovado de suporte e às regras de elevação que criar manualmente.

Diferenciar o instalador e a elevação do runtime

Seja intencional quanto à elevação de ficheiros do instalador versus runtime de aplicação. A elevação dos instaladores deve ser controlada rigorosamente para impedir instalações de software não autorizadas. A elevação do runtime deve ser minimizada para reduzir a superfície de ataque geral.

Aplicar regras mais rigorosas a aplicações de alto risco

Utilize regras de elevação mais restritivas para aplicações com acesso mais amplo ou capacidades de scripting, como browsers e PowerShell. Para o PowerShell, considere utilizar regras específicas do script para garantir que apenas os scripts fidedignos podem ser executados com privilégios elevados.

Começar de novo, mesmo ao migrar a partir de um produto de terceiros

O EPM funciona de forma diferente dos produtos de terceiros e, como resultado, recomendamos que comece com uma política de auditoria. Em seguida, pode criar novas regras a partir de relatórios e tirar partido da elevação aprovada do suporte quando um ficheiro não tem uma regra, mas um utilizador tem de elevar esse ficheiro para realizar o seu trabalho.

Controlos de acesso baseados em funções para Gerenciamento de privilégios de ponto de extremidade

✅ Saiba como delegar o acesso ao EPM

Para gerir Gerenciamento de privilégios de ponto de extremidade, tem de ser atribuída à sua conta uma função de controlo de acesso baseado em funções (RBAC) Intune que inclua a seguinte permissão com direitos suficientes para concluir a tarefa pretendida:

• Gerenciamento de privilégios de ponto de extremidade Criação de Políticas – esta permissão é necessária para trabalhar com políticas ou dados e relatórios para Gerenciamento de privilégios de ponto de extremidade e suporta os seguintes direitos:

  • Exibir relatórios
  • Leitura
  • Criar
  • Atualizar
  • Excluir
  • Atribuir

• Gerenciamento de privilégios de ponto de extremidade Pedidos de Elevação – esta permissão é necessária para trabalhar com pedidos de elevação aprovados pelo suporte que são submetidos pelos utilizadores para aprovação e suporta os seguintes direitos:

  • Ver pedidos de elevação
  • Modificar pedidos de elevação

Pode adicionar esta permissão com um ou mais direitos às suas próprias funções RBAC personalizadas ou utilizar uma função RBAC incorporada dedicada à gestão de Gerenciamento de privilégios de ponto de extremidade:

• Endpoint Privilege Manager – esta função incorporada é dedicada à gestão de Gerenciamento de privilégios de ponto de extremidade na consola do Intune. Esta função inclui todos os direitos para a Criação de Políticas Gerenciamento de privilégios de ponto de extremidade e pedidos de elevação de Gerenciamento de privilégios de ponto de extremidade.

• Leitor de Privilégios de Ponto Final - utilize esta função incorporada para ver Gerenciamento de privilégios de ponto de extremidade políticas na consola do Intune, incluindo relatórios. Esta função inclui os seguintes direitos:

  • Exibir relatórios
  • Leitura
  • Ver pedidos de elevação

Além das funções dedicadas, as seguintes funções incorporadas para Intune também incluem direitos para Gerenciamento de privilégios de ponto de extremidade Criação de Políticas:

• Endpoint Security Manager – esta função inclui todos os direitos para a Criação de Políticas de Gerenciamento de privilégios de ponto de extremidade e pedidos de elevação de Gerenciamento de privilégios de ponto de extremidade.

• Operador Só de Leitura – esta função inclui os seguintes direitos:

  • Exibir relatórios
  • Leitura
  • Ver pedidos de elevação

Para obter mais informações, veja Controlo de acesso baseado em funções para Microsoft Intune.

Módulo EpmTools do PowerShell

✅ Saiba como utilizar o módulo EPM do PowerShell

Cada dispositivo que recebe Gerenciamento de privilégios de ponto de extremidade políticas instala o EPM Microsoft Agent para gerir essas políticas. O agente inclui o módulo EpmTools do PowerShell, um conjunto de cmdlets que pode importar para um dispositivo. Pode utilizar os cmdlets do EpmTools para:

• Diagnosticar e resolver problemas com Gerenciamento de privilégios de ponto de extremidade.
• Obtenha atributos de Ficheiro diretamente a partir de um ficheiro ou aplicação para o qual pretende criar uma regra de deteção.

Instalar o módulo EpmTools do PowerShell

O módulo EPM Tools do PowerShell está disponível a partir de qualquer dispositivo que tenha recebido a política EPM. Para importar o módulo EpmTools do PowerShell:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Seguem-se os cmdlets disponíveis:

• Get-Policies: obtém uma lista de todas as políticas recebidas pelo EPM para um determinado "PolicyType" ("ElevationRules" ou "ClientSettings").
• Get-DeclaredConfiguration: obtém uma lista de documentos WinDC que identificam as políticas direcionadas para o dispositivo.
• Get-DeclaredConfigurationAnalysis: obtém uma lista de documentos WinDC do tipo MSFTPolicies e verifica se a política já está presente no Agente Epm (coluna Processada).
• Get-ElevationRules: consulte a funcionalidade de pesquisa EpmAgent e obtenha as regras fornecidas com a pesquisa e o destino. A pesquisa é suportada para FileName e CertificatePayload.
• Get-ClientSettings: processe todas as políticas de definições de cliente existentes para apresentar as definições de cliente efetivas utilizadas pelo EPM.
• Get-FileAttributes: obtém atributos de ficheiro para um ficheiro de .exe e extrai os respetivos certificados de Publicador e AC para uma localização definida que pode ser utilizada para preencher as Propriedades da Regra de Elevação de uma determinada aplicação.

Para obter mais informações sobre cada cmdlet, reveja o ficheiro readme.md da pasta EpmTools no dispositivo.

Próximas etapas