Ciao a tutti, specialisti IT! 👋 Oggi vediamo insieme una funzionalità molto interessante di Microsoft Intune: Endpoint Privilege Management (EPM).
Video
Trovate l’intero video qui sotto, altrimenti potete continuare a leggere l’articolo.
Cos’è l’Endpoint Privilege Management?
L’Endpoint Privilege Management è una funzionalità della Intune Suite che consente agli utenti non amministrativi di eseguire attività con privilegi elevati, come l’esecuzione di file .exe, .msi e .ps1. In altre parole, permette l’installazione e l’esecuzione di software e script senza richiedere una password amministrativa.
How to: implementazione di EPM
Creazione delle Policy di Elevation Settings
Per attivare la funzionalità di EPM, è necessario creare una policy di elevation settings. Questa policy serve per risvegliare la funzionalità all’interno del client Windows e stabilire la baseline di default in caso di elevazione. In questo video, a titolo esemplificativo,ho creato una policy che nega tutte le richieste di elevazione.
Vediamo se è effettivamente così!
Perfetto, funziona! Ora creiamo la prima Elevation Rule.
Creazione e gestione delle Elevation Rules
Le elevation rules servono a stabilire il comportamento di una specifica richiesta di elevazione, intercettando file specifici tramite nome, hash o altri parametri. Queste regole possono richiedere un flusso approvativo o essere eseguite automaticamente.
Esempio di elevation rule con approvazione
Creiamo un’elevation rule con approvazione.
Ok, ora andiamo a verificare sul client cosa succede se proviamo ad installare 7-Zip.
Visto? È richiesta un’approvazione da parte dell’amministratore di sistema. La richiesta di elevazione può essere approvata direttamente sul portale di Intune.
Torniamo sulla nostra macchina Windows per vedere se ora l’utente riesce ad installare 7-Zip.
Perfetto, funziona tutto! 😊
Esempio di Elevation Rule automatica
Proviamo ora a creare un’elevation rule automatica ovvero che non richiede nessun flusso approvativo per l’esecuzione del file. Un caso d’uso tipico per questa situazione potrebbe essere un software aziendale sviluppato internamente.
Vediamo come creare la regola per questa situazione.
Regola creata! Andiamo a vedere ora cosa succede sul client Windows.
Visto? Tutto liscio al primo colpo senza nessun messaggio o interazione ulteriore.
Strategie per la Gestione delle Versioni dei Software
Se cambia la versione dell’installer di un software, è necessario ricalcolare l’hash o recuperarlo dal portale di Intune nel report delle elevazioni. Con quelli si può creare una nuova policy. Tuttavia, esistono tecniche per intercettare tutti i software di un certo publisher utilizzando i reusable settings. Questi settings permettono di associare diverse policy senza dover creare nuove regole ogni volta.
Documentazione allegata
Come sempre, ecco il paccone di documentazione per i vostri approfondimenti.
📌 Use Endpoint Privilege Management with Microsoft Intune
📌 Guidance for creating elevation rules with Endpoint Privilege Management
📌 Configure policies for Endpoint Privilege Management
📌 Deployment Considerations and frequently asked questions for Endpoint Privilege Management
Conclusione
L’Endpoint Privilege Management di Microsoft Intune offre un modo efficace per gestire i privilegi degli utenti standard, consentendo loro di eseguire attività con privilegi elevati in modo controllato. Se volete approfondire ulteriormente, lasciate un commento e iscrivetevi al mio canale YouTube per non perdere i prossimi video! 📚🔔
Grazie!
Il vostro IT Specialist,
Riccardo