Accueil » Créer une politique EPM

Créer une stratégie EPM

Table des matières

Introduction

La mise en œuvre de la gestion des privilèges dans Endpoint Central commence par la création d’une stratégie robuste de gestion des privilèges des terminaux qui régit la manière dont les utilisateurs peuvent accéder aux applications et les exécuter avec des droits élevés. Les administrateurs commencent par définir une liste d’applications privilégiées, qui comprend les applications nécessitant un accès administratif. Une fois la liste établie, elle est ensuite associée à des groupes personnalisés spécifiques contenant les appareils utilisateurs qui ont besoin de ce niveau d’accès. Après l’association, la stratégie est déployée depuis la console Endpoint Central, permettant aux utilisateurs sélectionnés d’exécuter les applications approuvées avec des privilèges élevés, tout en conservant des droits d’utilisateur standard ailleurs. Cette approche structurée garantit que l’élévation des privilèges est strictement contrôlée et appliquée en fonction du contexte, ce qui réduit les risques de sécurité et assure la conformité dans toute l’entreprise.

Créer une liste d’applications privilégiées

Accédez à Gestion des privilèges et cliquez sur Créer pour configurer une nouvelle liste ou sur Modifier pour mettre à jour la liste existante. Les applications peuvent être exécutées avec des privilèges élevés des manières suivantes :

  • Auto-élévation des applications : Toutes les applications peuvent être élevées de deux façons, indiquées ci-dessous, et cette capacité peut être configurée pour des applications spécifiques ou pour toutes les applications figurant sur la liste d’autorisation. Elle peut également être laissée sur « Non configuré » si vous ne souhaitez pas autoriser l’élévation.
    • Autoriser les utilisateurs à élever les applications avec motif : Les administrateurs peuvent autoriser les utilisateurs à élever les privilèges de leurs applications en fournissant une justification. La justification fournie sera consignée et pourra être consultée sous Rapports → Rapport des applications élevées avec motif.

      Auto-élévation

      Voici la notification affichée sur le terminal lorsque l’utilisateur tente d’auto-élever une application :

      Invite d’auto-élévation d’application

      Remarque : Pour plus de détails sur les notifications destinées aux utilisateurs finaux, consultez cette page.
    • Autoriser les utilisateurs à élever les applications sur demande : Les administrateurs peuvent autoriser les utilisateurs à demander une élévation Just-In-Time pour une durée spécifique avec une justification. Pour plus de détails sur les demandes d’élévation initiées par l’utilisateur, consultez cette page.

      Élévation sur demande

  • Élévation vers toutes les applications autorisées : Les groupes personnalisés associés à la liste d’applications privilégiées lors du déploiement de la stratégie seront autorisés à auto-élever leurs privilèges vers toutes les applications figurant sur la liste d’autorisation.

    Élévation pour les applications autorisées

  • Élévation vers des applications spécifiques : Les groupes associés à la liste d’applications privilégiées lors du déploiement de la stratégie seront autorisés à auto-élever leurs privilèges vers toutes les applications sélectionnées. Consultez la section ci-dessous pour en savoir plus.

    Élévation pour des applications spécifiques

  • Élévation automatique : Les groupes associés seront autorisés à exécuter automatiquement les applications avec des privilèges élevés.

    Élévation automatique

Sélection d’applications spécifiques

L’élévation des privilèges peut être configurée soit pour toutes les applications autorisées, soit pour des applications spécifiques. Les applications spécifiques pour l’élévation peuvent être ajoutées à l’aide de types de règles tels que Fournisseur, Produits, Exécutable vérifié, Hachage de fichier, CLSID et Chemin de dossier.

Remarque : Pour connaître les extensions prises en charge par chaque type de règle, consultez ici.

Applications spécifiques EPM

Le type de règle CLSID vous permet de contrôler l’élévation des objets COM en faisant référence à leurs identifiants de classe uniques plutôt qu’aux exécutables ou aux chemins. Cela garantit que les règles d’élévation s’appliquent directement aux composants système Windows ou aux objets COM enregistrés, réduisant ainsi la dépendance aux attributs de fichiers modifiables. Il offre une gestion granulaire des privilèges pour les fonctions intégrées du système d’exploitation.

Filtre CLSID des applications spécifiques EPM

Création d’une règle personnalisée

Des règles personnalisées peuvent également être configurées pour définir des critères personnalisés tels que le fournisseur, le nom du produit, l’exécutable vérifié, le hachage du fichier ou le CLSID afin de créer des règles d’application pour celles qui ne sont pas détectées sur votre réseau. Cliquez sur Ajouter sous le type de règle spécifique pour définir la règle personnalisée.

Règle personnalisée EPM

Remarque : Une fois la liste d’applications privilégiées créée, consultez Déploiement de la stratégie pour associer et déployer la stratégie sur les machines cibles.