Gerenciamento de Privilégio de Ponto de Extremidade do Microsoft Intune (EPM)
setembro 21, 2023
O que é o EPM?
O Gerenciamento de privilégios de ponto de extremidade do Microsoft Intune (EPM) permite que os usuários da sua organização executem como um usuário padrão (sem direitos de administrador) e conclua tarefas que exigem privilégios elevados como instalação de aplicativos específicos.
Quais os benefícios do EPM?
Conceder acesso de administrador a dispositivos é considerado um risco de segurança, com o EPM podemos garantir que tarefas simples que fazem parte do dia a dia do usuário, mas que exigem um certo privilégio para execução possam ser executadas sem a concessão de acesso administrativo, com ele podemos designar aplicativos aprovados para serem executados por usuários comuns com base na política de privilégio definida.
O EPM faz parte do conceito de segurança Zero Trust do Microsoft Intune: Confiança Zero com Microsoft Intune | Microsoft Learn
Requisitos do EPM
O EPM exige um licenciamento adicional do Intune, ele pode ser adquirido como um Addon do Microsoft Intune ou através da licença do Microsoft Intune Suite.
Usar recursos de complemento do Intune Suite – Microsoft Intune | Microsoft Learn
Requisitos do Cliente Windows
O EPM tem os seguintes requisitos do sistema operacional:
- Windows 11, versão 22H2 (22621.1344 ou posterior) com KB5022913
- Windows 11, versão 21H2 (22000.1761 ou posterior) com KB5023774
- Windows 10, versão 22H2 (19045.2788 ou posterior) com KB5023773
- Windows 10, versão 21H2 (19044.2788 ou posterior) com KB5023773
- Windows 10, versão 20H2 (19042.2788 ou posterior) com KB5023773
Permitir que os nomes de host a seguir por meio do firewall deem suporte ao Gerenciamento de Privilégios do Ponto de Extremidade.
Para comunicação entre clientes e o serviço de nuvem:
- *.dm.microsoft.com – O uso de um curinga dá suporte aos pontos de extremidade de serviço de nuvem usados para registro, marcar e relatórios e que podem ser alterados conforme o serviço é dimensionado.
Criação de políticas
No centro de administração do Intune em Segurança do Ponto de Extremidade>Gerenciamento de Privilégios de Ponto de Extremidade
Há duas políticas do EPM que podem ser criadas.
Política de configuração de elevação: Essa política habilita o EPM no dispositivo do cliente e instala o agente, além disse permite definir configurações especificas, mas não direcionadas a aplicativos ou tarefas individuais, pode ser usada por exemplo para definir um comportamento padrão para ações de elevação.
Política de regra de elevação: Essa política permite vincular aplicativos ou tarefas individuais e definir o comportamento quando uma solicitação de elevação for realizada para um desses aplicativos ou tarefas
Para exemplificar irei criar uma política de configuração definindo a negação de elevação para todos aplicativos ou tarefas e criar uma política de regra permitindo somente e execução do powershell.exe com privilégio elevado.
Política de configuração de elevação:
Após atribuir a política a um grupo específico de dispositivos é possível verificar a pasta de instalação do agente do EPM e seus logs:
Política de regra de elevação:
Há duas questões principais na política de regra de elevação:
- Condições de elevação. Isso nos permite configurar o tipo de elevação, aprovar automaticamente as solicitações dos usuários ou exigir a confirmação do usuário com “Justificativa comercial” e/ou “Autenticação do Windows”
- Informações de arquivo. É aqui que podemos configurar informações de arquivo EXE individuais usando hash de arquivo ou certificado. Hash de arquivo ou certificado são informações necessárias.
Para obter hash de arquivo, uso este comando do PowerShell:
Get-FileHash "your exe file path here" | select-object HashResultado final
Ao clicar com botao direito do mouse no aplicativo do powershell (utilizado como exemplo) um novo menu estará disponível “Run with elevated access”
Após clicar na opção uma justificativa será solicitada conforme definido na politica
Podemos também validar os relatórios de elevação pela guia Relatórios do EPM:
