Sur Windows, comment déléguer les droits admin à des utilisateurs pour installer des logiciels ? Voici la promesse d'Endpoint Privilege Management d'Intune.
Sommaire
I. Présentation
II. La licence Endpoint Privilege Management
III. EPM : création de la stratégie par défaut
IV. EPM : autoriser l'installation d'une application
A. Exportation du certificat éditeur en base64
B. Récupération du Hash du fichier
C. Création de la stratégie
D. Les paramètres réutilisables
E. Test de la stratégie EPM
F. Le cas des processus enfants
G. EPM : le mode « Support Approval »
V. Conclusion
I. Présentation
Sous Windows, comment permettre à un utilisateur d'installer une application sans qu'il soit administrateur de son PC ? Ou, autrement dit, comment déléguer les droits admin uniquement pour certaines actions ? Voyons comment répondre à cette problématique.
Lorsqu'un utilisateur a besoin d'installer un logiciel, mettre à jour un pilote ou modifier un paramètre système, cela requiert généralement une élévation de privilèges.
Traditionnellement, cela impose :
Une intervention des équipes IT,
Un temps d'attente pour l'utilisateur,
Un risque accru de compromission (keyloggers, abus de comptes admin).
Microsoft propose avec Endpoint Privilege Management (EPM) une approche Zero Trust qui offre des droits d'administration ciblés sans exposer l'intégralité du système. EPM prend en charge plusieurs types de fichiers : .msi, .exe et .ps1.
L'outil repose sur la vérification de l'éditeur via le certificat et l'empreinte numérique du fichier, garantissant ainsi l'intégrité des élévations.
Endpoint Privilege Management propose plusieurs modes de fonctionnement :
Automatique : élévation directe sans action utilisateur.
Confirmation utilisateur : l'utilisateur initie l'élévation via un clic droit.
Refusé : blocage systématique, utile contre les malwares.
Approbation du support : nécessite la validation par les administrateurs Intune.
EPM ajoute une nouvelle option spécifique au menu contextuel de Windows, distincte de « Exécuter en tant qu'administrateur » et intitulée « Exécuter avec un accès surélevé ». Voici l'option en question :
II. La licence Endpoint Privilege Management
Attention tout de même, cette fonctionnalité est soumise à une licence spécifique ! C’est un module additionnel disponible avec la licence Entra ID P2. Actuellement, le coût de la licence représente 3.40 euros / par utilisateur / par mois et c’est résiliable à tout moment.
Une fois la souscription faite, vous retrouvez vos licences ici :
Licences - Microsoft 365 centre d’administration
Sous l’onglet « Groupes », vous pouvez affecter les licences à un groupe d’utilisateurs (recommandé : groupes dynamiques).
III. EPM : création de la stratégie par défaut
Pour effectuer la configuration de cette fonctionnalité, accédez au portail Intune dans la section « Sécurité du point de terminaison » puis « Gestion des privilèges des points de terminaiso... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité