Microsoft Intune の Endpoint Privilege Management とは

皆さん、おはようございます。

今回は、Microsoft Intune ネタを紹介したいと思います。

Microsoft Intune Suite アドオンの中にある、Endpoint Privilege Management (EPM, エンドポイント特権管理) について取り上げます。

実は、この記事は昨年 (2023 年) 5 月下旬に下書きは作っていたのですが、諸般の事情により、2023 年 10 月に本格的にドラフトを作成し、問題があり、最終的には、2024 年 2 月の公開になってしまいました。。。理由については、後述に記載します。

<Endpoint Privilege Management (EPM) とは>

まずは、Endpoint Privilege Management とはどんな機能なのかをざっくりと説明します。

これは、Microsoft Intune で管理されたデバイス上で、標準ユーザー権限 (管理者権限ではない) で、管理者権限の必要なアプリケーションなどのインストールを一時的に管理者特権に昇格してインストールが行える機能になります。

https://learn.microsoft.com/ja-jp/mem/intune/protect/epm-overview

New Microsoft Intune Suite with Privilege Management, Advanced Analytics, Remote Help & App VPN

<Endpoint Privilege Management (EPM) の前提条件>

・ Microsoft Intune Suite ライセンスもしくは、EPM のみを追加するスタンドアロン ライセンス

(もちろん、Microsoft Intune のプラン 1 ライセンスは必須です)

・ 下記の Windows クライアント

Windows 11 version 22H2 (ビルド 22621.1344 以降)

Windows 11 version 21H2 (ビルド 22000.1761 以降)

Windows 10 version 22H2 (ビルド 19045.2788 以降)

Windows 10 version 21H2 (ビルド 19044.2788 以降)

Windows 10 version 20H2 (ビルド 19042.2788 以降)

※ Workplace-join デバイスはエンドポイント特権管理ではサポートされていません

<Endpoint Privilege Management (EPM) をトライしてみる>

  1. Microsoft Intune 管理センター (https://endpoint.microsoft.com/) にアクセスし、[テナント管理] > [Intune アドオン] のページに移動します。
  2. ライセンスを購入していない or ライセンスをユーザーに付与していない場合は、下記のような画面が表示されます。
    私は、既に Microsoft Intune Suite ライセンスを保有していますが、上記の表示となりました。また、この状態で、次のステップ以降を進めても、最終的にクライアントに Endpoint Privilege Management エージェントがインストールされなかったので、評価版をアクティベートします。評価版をアクティベートしないとライセンスを持っていても使えないのかもしれません。
  3. [エンドポイント特権の管理] の [詳細の表示] を選択し、右側に表示される [試用または購入するには、[サービスの購入] に移動します。] を選択します。
  4. Microsoft 365 管理センターに移動しますので、右側の [無料試用の開始] を選択します。
  5. 画面に従い、無料試用版の手続きを進めます。[無料トライアル] を選択します。
  6. 注文が完了すると下記のページが表示されます。
  7. その後、Microsoft 365 管理センターで、Microsoft Intune Suite をユーザーに付与する。(画面割愛)
  8. ライセンスを付与したら、再度、[テナント管理] > [Intune アドイン] の画面に戻って来ます。
    下記表示のように、[エンドポイント特権の管理] のところに、緑色のチェックがつきました。
  9. [エンドポイント セキュリティ] > [エンドポイント特権の管理] に移動します。
  10. [ポリシーの作成] を選択します。
  11. [プラットフォーム] を [Windows 10 以降] に選択し、[プロファイル] を [Elevation settings policy] を選択します。
  12. Elevation settings policy では、Endpoint Privilege Management を利用するか等の Endpoint Privilege Management 全体の設定を行いますので、適切な名前を [名前] に設定し、[次へ] を選択します。
  13. [エンドポイント特権の管理] を [有効] にし、[レポート用に昇格データを送信する] は [いいえ] を選択します。(これは、[レポート用に昇格データを送信する] を有効化するとうまく動作しないというレポートがあったため、今回は [いいえ] に設定しています。)
  14. [スコープ タグ] は、既定値のまま進めます。
  15. [割り当て] では、今回は、Windows Autopilot でセットアップしたデバイスが所属するグループを選択します。
  16. [確認および作成] にて、設定内容が正しいことを確認して [作成] を選択します。
  17. [エンドポイント特権の管理] の画面に戻って来ますので、[Elevation settings policy] が作成されていることを確認し、再度、[ポリシーの作成] を選択します。
  18. [プロファイルの作成] にて、[プラットフォーム] に [Windows 10 以降] を選択し、[プロファイル] を [Elevation rules policy] を選択します。
  19. 今回は、Microsoft Visual Studio Code (System Installer 版) を特権昇格して、インストールするルールを作るので、名前にそのような名前を入力します。
  20. [構成設定] にて、[インスタンスの編集] を選択します。
  21. [ルール名] に適切なルール名を入力し、[昇格の種類] は [ユーザーが確認しました] を選択、[検証] は [業務上の正当な理由] を選択します。
  22. 次に、今回のルールでは、事前に管理者が入手した特権昇格するファイルと合致するものというルールにするため、Visual Studio Code をダウンロードして必要な情報を集めます。
  23. https://code.visualstudio.com/#alt-downloads にアクセスし、System Installer をダウンロードします。
  24. ダウンロードしたら、ファイル名 (拡張子を含む) とファイル ハッシュを収集します。
  25. ファイル ハッシュは、certutil コマンドを用いて、入手します。
  26. コマンド プロンプトを起動して、下記のコマンドを実行します。
    certutil -hashfile <ファイル名> SHA256
  27. 上記の結果より、下記の情報であることが分かります。
    ファイル名 : VSCodeSetup-x64-1.83.0.exe
    ファイル ハッシュ (SHA256) : 507269bb0e9806243088815af19a6aff9a9f18907d88c1a6368f9cba758b0da2
  28. 次に、Intune 管理画面に戻り、上記のステップで入手した情報を基に、下記のように設定します。
  29. [構成設定] にて、設定したルール名が設定されていることを確認し、次に進めます。
  30. [スコープ タグ] は既定のまま進めます。
  31. [割り当て] は、Elevation settings policy 同様に、Windows Autopilot でセットアップしたデバイスが含まれるグループを指定します。
  32. [確認および作成] にて、設定内容が正しいことを確認して、[作成] を選択します。
    これで、管理者サイドで設定する内容は一通り終わりです。

<クライアント マシンで動作を確認する>

早速、ポリシーを展開したクライアント マシンで動作確認をしましょう。

  1. まず、[Elevation settings policy] を管理対象のマシンに割り当てを行うと、下記のように EPM エージェントがインストールされます。
  2. 早速、EPM を使って、VS Code を実行したいところですが、まずは、通常通り、右クリック メニューから [管理者として実行] を選択してみましょう。
    あたり前ですが、下記のように “管理者” の資格情報を求められます。
  3. 次は、右クリック メニューで、[管理者特権での実行] を選択します。
  4. [管理者特権での実行] を選択すると、下記の画面が表示されます。
  5. [業務上の正当な理由をここに入力してください] に、コメントを入力し、[続行] を選択します。
    2024/02/03 時点では、このフィールドには残念ながら、日本語を直接入力できません。メモ帳などで入力した日本語をコピー & ペーストはできます。
    日本語環境ではかなり辛い制約です。本件は既に開発チームに 2023 年 5 月時点でフィードバック済みです。
  6. その後、VS Code のインストールが無事スタートしました。

動画でも動作状況を撮りましたので、ご参考までに。

<通常の動作の場合の動作 ([管理者として実行] を選択した場合)>

<Intune EPM を用いた場合の動作>

<なぜ、本記事の公開が延期されたのか?>

本記事の、<クライアント マシンで動作を確認する> までは順調に作成できていたのですが、実際にクライアント マシンで動作確認しようとした際に、EPM エージェントが対象マシンに展開されず、クライアント マシン上で動作検証が行えませんでした。

そのため、マイクロソフトのサポートに SR (Service Request) を切って、10 月頃から調査依頼をしておりました。しかしながら、調査は難航して、結果的に、現時点 (2024/02/03) では原因不明ですが、2024/01/30 頃に、管理対象のマシンに EPM エージェントがインストールされていました。(特に何か構成プロファイルなどは変更しておりませんので、テナント側の問題かと思います。)

もし、皆さんのテナントでも Intune EPM エージェントが管理対象クライアントに振ってこない場合は、マイクロソフト サポートにケースをオープンして確認してみてはいかがでしょうか。

<まとめ>

今回は、Microsoft Intune の Endpoint Privilege Management (EPM) について取り上げました。記事中でも紹介しましたが、EPM エージェントが対象マシンにインストールされない問題で相当な時間を消費しました。最終的には、EPM エージェントがインストールされたのですが、原因は現時点では不明です。また、EPM にて、特権昇格する際に、正当な理由を入力するフィールドには、未だに日本語の入力がサポートされていないという状況下です。この点は、日本市場で展開する際にかなりの障壁になると感じております。是非とも、マイクロソフトさんには早く修正してほしいところです。(私も継続的にフィードバックを続けます。)

まだまだ、Intune EPM は改善ポイントが多いですが、特権昇格ソリューションの新たな解になるのではないでしょうか。皆さんも是非、Intune EPM (Intune Suite) をトライしてみてはいかがでしょうか。

それでは、また次回の記事で。