Introduction
Endpoint Privilege Management (EPM) est un outil puissant integre a Microsoft Intune permettant aux administrateurs de deleguer certaines actions aux utilisateurs sans leur accorder les droits de super-administrateur. Jusqu'ici, cela fonctionnait bien pour des scenarios d'elevation de fichiers comme des executables, des scripts ou des installateurs.
Cependant, de nombreux parametres systeme de Windows, notamment les reglages de configuration reseau ou de synchronisation horaire, ne pouvaient pas etre geres via ce mode d'elevation. Avec les evolutions recemment reperees dans les composants d'EPM, Microsoft semble combler cette lacune. Explorons ces nouveautes en detail.
Nouveautes EPM : Elevation des reglages systeme
Lors de l'inspection des fichiers lies a EPM sur un environnement de test, plusieurs constantes intriguantes sont apparues dans le dossier de l'agent EPM :
- EnableNetworkSettings
- EnableTimeSync
- EnableElevationRuleSystemSettingsEnrichment
Ces parametres laissent entendre que Microsoft travaille sur des scenarios specifiques liees aux reglages reseau et a la synchronisation horaire.
Contexte supplementaire dans les regles
Contrairement aux regles EPM classiques qui reposent principalement sur des fichiers ou scripts, les reglages systeme requierent du contexte additionnel, comme comprendre quelle action precise l'utilisateur tente d'effectuer sur Windows. Cet enrichissement des regles permet de cibler des actions systeme sans necessiter l'elevation globale, renforcant ainsi la securite.
Bon a savoir
Les nouveaux parametres proposes par EPM enrichissent les workflows sans compromettre le cadre de securite. L'administration granulaire devient plus intuitive.
EpmElevate.exe : L'outil d'assistance des reglages systeme
Un nouveau fichier executable crucial a ete decouvert dans le repertoire de l'agent EPM :
1C:\Program Files\Microsoft EPM Agent\EPMService\EpmElevate.exe
Fenetres et commandes disponibles
La structure du binaire montre qu'il gere trois types de fenetres :
- NetworkSettings.MainWindow : Responsable de la configuration reseau.
- TimeSync.MainWindow : Gere la synchronisation temporelle.
- CombinedSettings.CombinedSettingsWindow : Combine les fonctions des deux modules precedents.
Les parametres de ligne de commande permettent de sélectionner ces experiences :
1EpmElevate.exe -SystemSettings NetworkSettings2EpmElevate.exe -SystemSettings TimeSync3EpmElevate.exe -SystemSettings NetworkSettings TimeSyncCette derniere commande ouvre la fenetre combinee intitulee : Endpoint Privilege Management â System Settings.
Validation des claims
L'execution directe du fichier EpmElevate.exe, sans le lancer via EPM, provoque une erreur d'acces refuse. Le fichier effectue une verification de claims avant de demarrer toute action.
Voici les principaux claims requis :
MEMEPM_RULE_IDMEMEPM_POLICY_IDMEMEPM_INITIATING_PROCESS
L'agent EPM doit obligatoirement lancer le processus avec des tokens et contextes valides, interdisant tout contournement manuel.
Attention
Les manipulations directes de EpmElevate.exe sans contexte approuve par EPM ne permettent pas de modifier les reglages. Toute elevation doit suivre les policies configurees dans Intune.
Configurer une regle systeme via Intune
Pour tirer parti de ces nouvelles fonctionnalites, vous devrez configurer des regles dans Intune qui autorisent les scenarios specifiques comme les reglages reseau ou la synchronisation horaire.
Acceder a Microsoft Intune
Connectez-vous au portail Microsoft Endpoint Manager Admin Center.
Configurer une regle EPM
Ajoutez une nouvelle regle EPM dans Intune. Incluez les actions autorisees comme NetworkSettings et TimeSync. Assurez-vous d'assigner ces regles a des utilisateurs ou groupes.
Tester les fonctionnalites
Verifiez les regles configurees en simulant une action utilisateur sur un appareil cible. Observe les logs generes par l'agent EPM pour confirmer l'application des regles.
Reglages reseau : Une interface utilisateur dediee
La fenetre NetworkSettings.MainWindow gere directement les configurations liees aux adaptateurs reseaux selectionnes.
Une fois un adaptateur selectionne, voici le type d'interface propose :
Synchronisation horaire : Focus sur les NTP
Le module TimeSync.MainWindow permet de configurer les serveurs NTP (Network Time Protocol) pour une synchronisation precise sans modification manuelle de l'horloge.
Ce qui manque encore
Bien que l'infrastructure semble en place, l'experience utilisateur finale dependra probablement de l'application Company Portal. Un panneau dans Company Portal pourrait faciliter l'acces aux reglages sans avoir a manipuler directement les arguments de commande ou les executables.
Cela pourrait encore ĂȘtre en cours de developpement ou masquer par le systeme de flighting chez Microsoft.
Conclusion
Microsoft semble diriger EPM vers un modele de gestion plus granulaire et securise des reglages Windows. Les premiers exemples autour des configurations reseau et de la synchronisation temporelle sont prometteurs et montrent l'intention d'administrer des actions specifiques sans compromettre la securite globale.
Astuce
Anticipez les prochains developpements en monitorant les mises a jour Intune et Company Portal. Ces evolutions permettront une gestion encore plus efficace des privileges utilisateurs.
