Quando consideramos o Microsoft Intune Endpoint Privilege Management como uma solução, temos um problema muito real sendo resolvido. Direitos de administrador.

Soluções técnicas existem para resolver um problema, certo? Sem um problema, uma solução é apenas uma artimanha – um token – um gesto, na melhor das hipóteses. Como Bill Gates é dito ter comentado: “O computador nasceu para resolver problemas que não existiam antes.”

A solução para conceder ‘direitos de administrador’ a ‘usuários regulares’, também conhecidos como privilégios elevados, sempre foi bastante simples – não faça isso. No entanto, isso muitas vezes provoca uma pergunta imediata – e válida. O que fazemos para aqueles que realmente precisam de privilégios elevados, mas são de outra forma ‘usuários regulares’? Até agora, a resposta da Microsoft para isso tem sido… pouco notável.

É geralmente aceito que simplesmente adicionar o usuário ao grupo de Administradores Locais não é aceitável. Como uma segunda opção na lista de coisas que provavelmente não deveríamos fazer; podemos fornecer a eles uma segunda conta (privilegiada), que permita a elevação quando necessário.

A Microsoft lançou a Solução de Senha do Administrador Local em 2015, mas mesmo isso não foi projetado para resolver o problema exato que enfrentamos. Na verdade, essa solução – agora revitalizada para a nuvem – foi concebida para ajudar a evitar que administradores de TI reais tenham que usar um nome de usuário e senha idênticos para a conta de ‘Admin Local’ em todos os pontos finais, geralmente exigido para os piores cenários de recuperação.

A solução para a gestão de privilégios de endpoint

E assim, a Gestão de Privilégios de Endpoint (EPM) nasceu. O EPM serve para permitir que ‘usuários regulares’ elevem seus privilégios ao nível de administrador quando necessário. Isso pode ser feito ‘sob demanda’ por meio de uma ação de menu de contexto, ou automaticamente com base na aplicação que está sendo iniciada. Isso traz uma série de benefícios, por exemplo:

1. Reduz superfícies de ataque
   Ao limitar os usuários aos privilégios mínimos necessários para desempenhar suas funções, o EPM garante que o acesso administrativo desnecessário seja removido, prevenindo, em última análise, que atores maliciosos e malware explorem privilégios elevados em dispositivos para obter persistência ou realizar técnicas de movimento lateral.
2. Protege contra ameaças internas
   Isso dito, nem todas as ameaças de segurança têm origem externa; as ameaças internas, sejam intencionais ou acidentais, representam riscos significativos. O EPM restringe os usuários de acessarem sistemas ou dados sensíveis que não precisam, reduzindo o risco de violações de dados ou comprometimento do sistema devido a erros humanos ou intenções maliciosas.
3. Aprimora conformidade e governança
   Muitas regulamentações (por exemplo, GDPR, HIPAA e PCI DSS) exigem que organizações implementem o princípio do menor privilégio como parte de suas práticas de segurança. O EPM ajuda as organizações a demonstrar conformidade fornecendo trilhas de auditoria e garantindo que os usuários tenham acesso apenas ao necessário para suas funções.
4. Suporta os princípios de confiança zero
   O EPM está alinhado com o modelo de segurança de Confiança Zero ao impor controles estritos de acesso e verificar as ações dos usuários com base em políticas predefinidas. Ele garante que a confiança nunca seja implícita, mesmo para usuários ou endpoints internos.

Como funciona o Gerenciamento de Privilégios de Endpoint do Intune?

Portanto, como concordamos que o Gerenciamento de Privilégios de Endpoint resolve um problema de tecnologia real para os administradores do Intune, vamos analisá-lo um pouco mais detalhadamente.

O EPM é um recurso no Intune projetado para gerenciar os privilégios do usuário em dispositivos Windows sem conceder direitos de administrador completos. É usado para permitir que usuários padrão executem tarefas administrativas específicas com segurança e apliquem políticas de privilégio mínimo em endpoints.

Requisitos do Intune EPM

Isso não seria um artigo cobrindo um tópico da Microsoft se não houvesse uma seção sobre licenciamento – então aqui está.

Licenciamento do Intune EPM

O EPM não está incluído no Windows Enterprise E3 ou E5, nem está incluído no Microsoft 365 E3 ou E5, ou no Intune Plano 1 ou Plano 2. Na verdade, o Gerenciamento de Privilégios de Endpoint é um dos muitos recursos avançados do Intune disponíveis como parte do complemento Microsoft Intune Suite.

O guia completo sobre os requisitos e instruções de implementação passo a passo estão disponíveis no Microsoft Learn.

No lado técnico, o EPM requer:

• Microsoft Entra ID ingressado ou dispositivos híbridos ingressados no Microsoft Entra ID
• Inscrição no Microsoft Intune ou dispositivos co-gerenciados pelo Microsoft Configuration Manager.
• Sistema operacional suportado (Windows 11 21H2 e posterior, com o nível de KB necessário)
• Linha de visão clara (sem Inspeção SSL) para os pontos finais necessários

Começando com o Intune EPM

Com os pré-requisitos técnicos e não técnicos definidos, existem duas etapas principais para habilitar o Gerenciamento de Privilégios de Endpoint em seu ambiente.

Etapa 1. Implantar uma política de configurações de elevação – Esta política ativa o agente EPM no dispositivo cliente e permite a configuração de configurações gerais relacionadas à elevação.

• Do Centro de Administração do Intune, navegue até Segurança do Endpoint > Gerenciamento de Privilégios de Endpoint > Criar Política > Política de Configurações de Elevação

Etapa 2. Implantar uma ou mais políticas de regras de elevação – Uma política de regra de elevação especifica o aplicativo, tarefa ou executável que será elevado pelo EPM. Esta política permite que você configure quais aplicativos são elegíveis para auto-elevação, elevação solicitada pelo usuário ou até mesmo elevação aprovada pelo administrador.

• Do Centro de Administração do Intune, navegue até Segurança de Ponto de Extremidade > Gestão de Privilégios de Ponto de Extremidade > Criar Política > Política de Regras de Elevação

Após decidir se a elevação será Automática (o processo é elevado silenciosamente, sem notificar o usuário) ou Confirmada pelo Usuário (o usuário precisa clicar com o botão direito e escolher Elevar para iniciar o processo), é necessário especificar tanto o Nome do Arquivo quanto o Hash do Arquivo para o arquivo que será elevado.

O Nome do Arquivo não deve representar um desafio – este é o nome completo do executável, incluindo a extensão (por exemplo, vscode.exe).

Por outro lado, os Hashes dos Arquivos não são tão fáceis de obter. Você pode determinar o hash do arquivo do executável executando o comando PowerShell Get-FileHash, ou executando o relatório de Elevação por Aplicativo integrado à Gestão de Privilégios de Ponto de Extremidade.

O relatório de Elevação por Aplicativo mostra todas as elevações de aplicativos gerenciados e não gerenciados em endpoints gerenciados pelo EPM, então se um usuário elevou este aplicativo no passado (talvez por meio de um daqueles métodos menos que ideais), ele aparecerá aqui.

Método de elevação ‘Aprovado pelo Suporte’

Um método adicional de elevação disponível é ‘Aprovado pelo Suporte’. Com este método, os usuários são solicitados a fornecer uma justificativa e, ao clicar em enviar, sua solicitação é enviada para o Centro de Administração do Intune, onde um administrador de TI pode revisar e processar sua solicitação.

Quando um usuário executa um aplicativo, que está especificado em uma regra de elevação aprovada pelo suporte, com a opção de clique com o botão direito Executar com acesso elevado, o Intune solicita a justificativa.

• A solicitação permite que o usuário insira um motivo comercial para a elevação. Esse motivo torna-se parte do pedido de elevação, que também contém o nome do usuário, dispositivo e nome do arquivo.

Alternativas ao Gerenciamento de Privilégios do Endpoint do Intune

Existem, é claro, alternativas ao Gerenciamento de Privilégios do Endpoint, que visam alcançar um resultado semelhante. Soluções como AdminByRequest e AutoElevate são exemplos que podem fornecer uma plataforma holística de Gerenciamento de Acesso Privilegiado, incorporando recursos que gerenciam a elevação do desktop.

A Microsoft irá estender o suporte para macOS?

Em resumo, acredito que é vital que a Microsoft tenha uma oferta como o Gerenciamento de Privilégios do Endpoint para Windows, e espero que isso continue a ser desenvolvido para suportar outras plataformas, como macOS, no futuro.

Por enquanto, você pode acessar um teste da Suíte Intune para experimentá-lo.