Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Comment déployer Endpoint Privilege Management ?

Tuto Intune Endpoint Privilege Management
  • 6 août 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Sous Windows, comment permettre à un utilisateur d’installer une application sans qu’il soit administrateur de son PC ? Ou, autrement dit, comment déléguer les droits admin uniquement pour certaines actions ? Voyons comment répondre à cette problématique.

Lorsqu’un utilisateur a besoin d’installer un logiciel, mettre à jour un pilote ou modifier un paramètre système, cela requiert généralement une élévation de privilèges.

Traditionnellement, cela impose :

Une intervention des équipes IT,

Un temps d’attente pour l’utilisateur,

Un risque accru de compromission (keyloggers, abus de comptes admin).

Microsoft propose avec Endpoint Privilege Management (EPM) une approche Zero Trust qui offre des droits d’administration ciblés sans exposer l’intégralité du système. EPM prend en charge plusieurs types de fichiers : .msi, .exe et .ps1.

L’outil repose sur la vérification de l’éditeur via le certificat et l’empreinte numérique du fichier, garantissant ainsi l’intégrité des élévations.

Endpoint Privilege Management propose plusieurs modes de fonctionnement :

Automatique : élévation directe sans action utilisateur.

Confirmation utilisateur : l’utilisateur initie l’élévation via un clic droit.

Refusé : blocage systématique, utile contre les malwares.

Approbation du support : nécessite la validation par les administrateurs Intune.

EPM ajoute une nouvelle option spécifique au menu contextuel de Windows, distincte de « Exécuter en tant qu’administrateur » et intitulée « Exécuter avec un accès surélevé ». Voici l’option en question :

II. La licence Endpoint Privilege Management

Attention tout de même, cette fonctionnalité est soumise à une licence spécifique ! C’est un module additionnel disponible avec la licence Entra ID P2. Actuellement, le coût de la licence représente 3.40 euros / par utilisateur / par mois et c’est résiliable à tout moment.

Une fois la souscription faite, vous retrouvez vos licences ici :

Sous l’onglet « Groupes », vous pouvez affecter les licences à un groupe d’utilisateurs (recommandé : groupes dynamiques).

III. EPM : création de la stratégie par défaut

Pour effectuer la configuration de cette fonctionnalité, accédez au portail Intune dans la section « Sécurité du point de terminaison » puis « Gestion des privilèges des points de terminaison ». Voici un lien direct :

Vous obtenez ceci :

Il faut vous rendre dans la section « Stratégies » :

Nous allons créer une Azure Policy via le bouton adéquat :

Nous créons un profil : « Elevation Settings policy » pour « Windows ».

Dans les informations de base, vous devez spécifier un nom pour votre stratégie. Nous lui donnerons le nom suivant : « Default Elevation Settings Policy ». Puis, nous allons sélectionner « Suivant » :

Nous allons configurer le comportement par défaut des requêtes d’élévation, selon le principe suivant.

Nous souhaitons activer la gestion des privilèges pour point de terminaison ainsi que les rapports pour les requêtes d’élévation :

J’ai choisi volontairement le mode « non configuré », car dans l’exemple qui va suivre, nous souhaitons autoriser l’élévation de privilège uniquement sur l’application que nous avons déclarée dans la configuration.

Nous verrons plus loin dans ce tutoriel, le mode de fonctionnement : « Support Approval »

Vous pouvez configurer d’autres modes en fonction de votre souhait et vos besoins.

Puis passez à la suite avec « Suivant ».

Passez directement l’étape des balises d’étendue avec le bouton « Suivant ».

S’affiche alors l’étape permettant d’effectuer l’affectation de la stratégie. Il est possible d’ajouter un groupe statique ou même un groupe dynamique. Ici nous allons choisir un groupe de test qui cible des utilisateurs, car nous ne souhaitons pas nous soucier de l’appareil utilisé. Sinon, cela peut être problématique si la personne change de PC et que l’on veut lui fournir cette fonctionnalité malgré tout.

Le déploiement prend environ 8h ou peut être accéléré via une synchronisation manuelle. Ici, nous voyons que c’est opérationnel.

IV. EPM : autoriser l’installation d’une application

Nous allons maintenant passer à un exemple pratique où nous allons autoriser l’installation d’une application, en l’occurrence Yubico Manager, grâce à cette fonctionnalité. Autrement dit, l’utilisateur sera autonome pour en faire l’installation. Vous pouvez répéter cette opération pour une autre application, en suivant la même logique.

A. Exportation du certificat éditeur en base64

Nous allons avoir besoin d’exporter le certificat de l’éditeur en Base64. Nous allons procéder de la manière suivante.

Commencer par accéder au répertoire où se situe l’exécutable que nous venons de télécharger sur le site de l’éditeur. Pour ma part :

C:\yubico

Nous faisons un clic droit sur l’exécutable et nous sélectionnons « Propriétés ».

Il faut se rendre sur l’onglet intitulé « Signatures numériques ».

Vous devez cliquer sur la signature ou faire « Détails ». Ici, la signature s’appelle Yubico AB.

Une autre fenêtre apparaît. Maintenant, nous allons sélectionner le bouton « Afficher le certificat ».

Nous constatons qu’il s’agit bien d’un certificat éditeur, délivré à Yubico par DigiCert.

Nous nous rendons dans l’onglet « Détails » et nous sélectionnons l’option « Copier dans un fichier » dans l’objectif de l’exporter.

Un nouvel assistant s’affiche à l’écran. Passez la première étape simplement en cliquant sur « Suivant ».

Ensuite, nous devons choisir le format à utiliser. Nous allons choisir « X.509 encodé en Base 64 (*.cer) » et faire « Suivant ».

Nous allons cliquer sur « Parcourir ». Nous sélectionnons notre dossier de destination et nous nommons le fichier, par exemple “Yubico AB Certificat”. Dans mon cas, j’ai choisi d’exporter vers C:\Yubico. Nous sélectionnons « Enregistrer » pour valider.

Vous obtenez le répertoire et le nom du certificat que vous avez choisi. Nous sélectionnons « Suivant ».

Pour finir cette partie, nous allons sélectionner « Terminer » afin de lancer l’export.

Ensuite, cliquez sur « OK » quand le message « L’exportation a réussi » s’affiche à l’écran.

B. Récupération du Hash du fichier

Nous allons avoir besoin de l’empreinte numérique du fichier (hash), qui va nous offrir une garantie supplémentaire pour éviter l’usurpation de l’exécutable.

Il faut saisir la commande suivante en Invite de commande ou en PowerShell :

certutil.exe -hashfile SHA256

Nous obtenons en retour l’empreinte SHA256 :

Nous allons soigneusement récupérer le hash et le mettre de côté dans un Bloc-notes, car nous en aurons besoin par la suite. Dans mon cas, il s’agit de la valeur suivante :

fc8f1c992c5b9f5d542549072cf58178a45af31851561b22a768e35dbfd648b7

C. Création de la stratégie

À partir du portail Intune, nous allons créer une nouvelle stratégie. Pour cela, nous sélectionnons « Créer une Azure Policy ».

Cette fois-ci, nous choisissons la plateforme Windows et le profil « Elevation rules Policy ». Ensuite, cliquez sur le bouton « Créer ».

Nous allons nommer notre règle : « YubikeyManager Installation » et il nous faudra faire « Suivant » :

Dans les paramètres de configuration, nous allons choisir de « Modifier l’instance » :

Nous allons de nouveau nommer la règle et lui mettre une description.

Dans le type d’élévation, vous pouvez choisir (choix évoqués précédemment) :

Confirmation de l’utilisateur

Automatique

Refuser

Support approuvé

Dans cet exemple, nous allons sélectionner : « Confirmation de l’utilisateur ».

Lors de la validation, il est possible de :

Demander une justification métier

D’exiger l’authentification Windows

De demander les deux

Ici, nous sélectionnerons « Authentification Windows » :

Nous allons renseigner :

Le nom du fichier : yubikey-manager-qt-1.2.6-win64.exe

Le chemin d’accès au fichier : C:\yubico\

Je renseigne simplement les informations dans les cases correspondantes :

Nous allons charger notre Certificat que nous avons récupéré précédemment.

Nous sélectionnons notre certificat en allant le chercher dans le dossier et nous appuyons sur « Ouvrir ».

Nous choisissons le fichier CER exporté précédemment et obtenu à partir de l’exécutable Yubico :

Vous obtenez ceci :

Nous spécifions que nous sommes dans le cas d’un « Certificat Editeur » :

Nous allons renseigner le hash du fichier que nous avons obtenu précédemment.

Vous pouvez également renseigner la version du produit pour ajouter une couche de vérification supplémentaire et d’autres choses qui sont facultatives.

Vous retrouverez les informations dans les propriétés de l’exécutable.

Ici, nous n’avons rien, mais attention, ce sont des paramètres importants qui peuvent empêcher l’élévation de privilège de fonctionner. Je vous encourage à les renseigner le plus possible.

Vous obtenez ceci et il nous faut « Enregister ».

Encore un peu de patience, nous avons presque fini ! Nous allons sélectionner « Suivant » :

Passez directement l’étape « Balises d’étendue ».

À l’étape « Affectations », je sélectionne mon groupe d’utilisateurs de tests et non pas des appareils (pour rappel, je souhaite que cela s’applique à l’utilisateur et non pas par appareil, en cas de rotation de PC entre les utilisateurs).

Nous cliquons simplement sur « Suivant » : 

Il nous faut sélectionner « Créer » ! Ouf, c’est fini pour la configuration. Désormais, nous allons prendre le temps de tester.

D. Les paramètres réutilisables

Avant de passer à la phase de test, j’attire votre attention sur une possibilité intéressante. Il est possible d’ajouter vos certificats Éditeur dans les paramètres réutilisables. C’est pratique si vous êtes amené à faire plusieurs règles qui concernent le même éditeur avec le même certificat.

C’est ici que ça se passe :

Il nous faut faire « Ajouter » :

Nous allons lui donner le nom suivant : « Yubico AB Certificat » et nous allons poursuivre.

Il ne nous reste plus qu’à charger notre fichier comme précédemment et faire « Suivant » :

Pour finir, nous allons sélectionner « Ajouter » :

Vous obtenez ceci :

Lors de la configuration de votre stratégie, il vous suffira de choisir « Utiliser un fichier de certificat dans des paramètres réutilisables » :

Il nous faut ajouter le certificat :

Puis, nous sélectionnons le certificat en question à partir de, ce que l’on pourrait appeler, notre catalogue de certificats :

E. Test de la stratégie EPM

Mes stratégies apparaissent bien dans la liste. Dans un premier temps, j’ai volontairement introduit des erreurs dans le paramétrage de la stratégie afin de voir le comportement sur le poste client.

Ce qui est incorrect, puisque dans les propriétés du fichier, nous avons un autre état.

Je force la synchronisation sur mon PC afin de faire un test. Coffee time.

Vous pouvez également passer par le portail d’entreprise et faire synchroniser, le résultat sera le même. Il existe plusieurs façons de forcer la synchronisation.

Côté portail d’administration, il est également possible de vérifier l’application de la stratégie en utilisant les rapports de la stratégie. Pour cela, il suffit de cliquer dessus :

Voyons ce qui se passe lorsque je lance le processus avec mon accès surélevé :

J’ai le résultat suivant ! Il y a deux options :

Soit, je me suis trompé

Soit, la stratégie n’est pas encore appliquée

Si nous cliquons sur la stratégie dans le portail Intune… Nous pouvons constater que la synchronisation est maintenant terminée, mais cela ne fonctionne pas pour autant !

D’où peut bien venir l’erreur 0x80070005 ?

Cette erreur s’explique, car nous avons des incohérences entre les paramètres de la stratégie et les propriétés du fichier. Pour rappel, il s’agit d’erreurs volontaires pour montrer la précision (mais aussi la sensibilité) de cette fonctionnalité.

À partir du portail, nous allons éditer la stratégie :

Nous éditions les paramètres de configuration avec « Modifier », et nous allons « Modifier l’instance » correspondante à YubiKey Manager.

L’idée étant de retirer les mauvaises informations et essayer de nouveau !

Il faut ensuite confirmer et valider les modifications de la stratégie. Ensuite, nous devons répéter l’opération précédente, à savoir lancer une synchronisation sur la machine.

L’état est correct dans le portail Intune. Nous allons pouvoir refaire un test !

Nous faisons de nouveau un clic droit sur l’exécutable pour le lancer via l’option « Exécuter avec un accès surélevé ».

Vous obtenez ceci, nous cliquons sur « Continuer » :

Une fenêtre s’ouvre vous invitant à confirmer votre identité, soit par mot de passe, empreinte, code PIN, etc… En fonction de votre configuration.

Le Launcher du setup s’exécute normalement :

L’utilisateur parvient à lancer l’installation de l’application grâce à cette élévation de privilèges ciblée.

Nous pouvons même lancer l’application pour vérifier que l’installation est un succès ! Le tout sans intervention du support informatique et sans pour autant négliger la sécurité.

F. Le cas des processus enfants

En fonction de l’exécutable ou fichier PowerShell sur lequel vous donnez des accès administrateurs en libre-service, il est possible que celui-ci génère des processus enfants. C’est une notion importante à prendre en considération pour les installations qui lancent plusieurs processus, comme les utilitaires Nvidia, par exemple.

Il y a une option qui va en ce sens, comme le montre l’image ci-dessous. Faites des essais avant de vous lancer dans un déploiement.

D’après ma compréhension, l’option « Exiger l’élévation de la règle » va faire apparaitre une fenêtre UAC administrateur si un processus enfant souhaite se lancer.

Je vous conseille de garder la configuration par défaut pour obtenir un niveau de protection supplémentaire et d’adapter en fonction de vos besoins.

G. EPM : le mode « Support Approval »

Pour finir, nous allons regarder de plus près le mode « Support Approval » évoqué précédemment. Nous revenons sur notre règle du début : « Default Elevation Settings » :

Cette fois-ci, nous allons sélectionner la méthode « Exiger l’approbation du support » et enregistrer.

Ensuite, nous allons refaire un test… Une nouvelle synchronisation s’impose sur la machine Windows ! Je choisis un exécutable que je n’ai pas ajouté dans ma liste d’applications. De la même manière, nous allons l’« Exécuter avec un accès surélevé ».

Une zone de saisie s’affiche à l’écran : l’occasion pour l’utilisateur de saisir une justification pour sa demande, avant de cliquer sur « Envoyer ».

La demande est en cours d’exécution :

Ce qu’il faut comprendre, c’est qu’à ce moment-là, elle est envoyée aux Administrateurs Intune. Un message intitulé « Demande envoyée » confirme l’action.

D’un point de vue de l’administrateur, vous retrouvez la requête dans « Requêtes d’élévation » sur le portail Intune.

À partir de là, vous pouvez :

Créer une règle avec ces détails de fichier

Ajouter le certificat de TECLIB SAS aux paramètres réutilisables

Approuver ou refuser la demande

Nous approuvons :

Nous devons saisir une raison et sélectionner « OUI ».

Vous obtenez une requête avec l’état « Approuvé ». Du côté du poste de travail, notre utilisateur devrait pouvoir relancer sa requête. C’est ce que nous allons voir.

En effet, quelques minutes après, vous recevrez une notification dans la barre des tâches de Windows ! Elle atteste l’approbation de l’administrateur. Nous pouvons relancer notre accès surélevé avec l’option habituelle du menu contextuel.

Cette fois ci, nous obtenons une nouvelle fenêtre où nous sommes autorisés à continuer !

Nous pouvons continuer notre installation ! Le mode d’approbation du support fonctionne bien.

V. Conclusion

Chaque modification doit être testée avant application en production en tenant comptes de vos usages et de votre contexte. EPM offre une approche granulaire au niveau de l’élévation de privilège, et il répond à une vraie problématique (de longue date, je dirais même).

Si vous souhaitez optimiser l’expérience utilisateur, vous pouvez l’utiliser dans une approche sans mot de passe avec un lecteur d’empreinte, code PIN ou clé de sécurité. Il existe d’autres solutions telles que MakeMeAdmin ou encore LAPS (bien que ce ne soit pas aussi granulaire).

En effet, l’inconvénient de ses autres solutions est qu’elles offrent un accès Administrateur total à la machine, même si celui reste temporaire ! Pour la partie licence, il n’est pas obligatoire ni nécessaire d’inclure tous vos utilisateurs.

C’est très adapté pour des équipes IT/DEV ou autres personnes qui travaillent dans le digital et qui peuvent souvent en avoir besoin. Dans mes cas d’usages, il n’y a pas d’intérêt sur les utilisateurs bureautique qui vous sollicite une fois dans l’année.

Il est préférable de viser l’automatisation silencieuse des installations et des mises à jour. Cela dit, c’est assez complexe d’automatiser l’ensemble de votre SI et de couvrir 100% des usages, donc EPM reste une bonne alternative, et une vraie réponse à ce besoin.

Au-delà de la partie technique, il est important de communiquer avec vos utilisateurs sur l’implémentation de la fonctionnalité. N’oublions pas qu’il y a une nouvelle entrée dans le menu contextuel de Windows ! En effet, pour garantir le succès de l’utilisation de la solution, il faut que celle-ci soit connu de vos utilisateurs.

Ce tutoriel est terminé, amusez-vous bien avec Endpoint Privilege Management !

Architecte Systèmes et Réseaux. Certifié CEH v12. A la fois fidèle défenseur de l’open source et passionné par l’univers Microsoft, je souhaite partager mon savoir et mes compétences sur IT-Connect.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *