Teil 1: Policy Kopie erstellen, einmaliges Ausnahme-Gruppen Anlegen und so

Nach dem Anwenden der „Security Baseline for Windows 10 and later“ darf keine „Admin Erhöhung“ (AdminElevation) mehr gemacht werden, um in einer Standard User Anmeldung kurzzeitig AdminRechte auszuüben.

Dazu kann man eine Kopie der Policy anlegen, welche die Elevation erlaubt und diese Policy auf die Computer anwenden, für die man das kurzzeitig ermöglichen will.

Vorgehensweise zum temporären Erlauben von Admin Elevation für Rechner:

Kopie der Policy erstellen:

image-19 Intune: Admin Elevation nach MS Security Baseline erlauben

Diese dann wie folgt benennen:

„allow Admin elevation |  Security Baseline for Windows 10 and later“

Grund der Sicherheitseinschränkung ist folgende Einstellung in der Security Baseline:

image-23 Intune: Admin Elevation nach MS Security Baseline erlauben
image-20 Intune: Admin Elevation nach MS Security Baseline erlauben

Die Security Baselines stellen das auf wie folgt auf „Deny“ ein:

image-22 Intune: Admin Elevation nach MS Security Baseline erlauben

Diese Konfig Einstellung ändern wir IN DER KOPIE (!!) der Policy:

image-21 Intune: Admin Elevation nach MS Security Baseline erlauben

„User Account Control Behavior…“

auf

„Prompt for Credentials“

(default Wert ohne Security Baseline).

image-24 Intune: Admin Elevation nach MS Security Baseline erlauben

Dann müssen wir für die neue Policy in Entra (Identity) noch eine Gruppe erstellen, welcher diese Policy dann zugewiesen wird:

Eine „Ausnahme Gruppe“ zur normalen Policy mit dem „deny“ in Entra (Identity) erstellen:

image-26 Intune: Admin Elevation nach MS Security Baseline erlauben

Namenschema:

„Kundenkürzel | allow Admin elevation | Security Baseline for Windows 10 and later Group“

Also z.B.

„TrinCo | allow Admin elevation | Security Baseline for Windows 10 and later Group“

Diese „Ausnahme“ Gruppe von der Policy mit DENY ausschließen:

image-25 Intune: Admin Elevation nach MS Security Baseline erlauben

und der Ausnahme Gruppe die neue Policy mit „prompt for credentials“ zuweisen:

image-28-1024x382 Intune: Admin Elevation nach MS Security Baseline erlauben

Teil 2: Computer auf denen kurzzeitig AdminElevation möglich sein soll der Ausnahmegruppe hinzufügen

Den Rechner in Entra (Identity) auf dem die „AdminErhöhung“ kurzzeitig gewünscht ist (und nur den!)

kurzzeitig der Ausnahme Gruppe hinzufügen

image-27-1024x313 Intune: Admin Elevation nach MS Security Baseline erlauben

und, damit es schneller geht, in der „Unternehmensportal App“ (company portal) auf diesem Rechner einen „Sync“ durchführen:

image-30 Intune: Admin Elevation nach MS Security Baseline erlauben
image-29 Intune: Admin Elevation nach MS Security Baseline erlauben

Dann sollte an diesem Rechner eine Admin Elevation (wie ohne Policy) möglich sein.

Nach Erledigung der Arbeiten nicht vergessen den Computer aus der Ausnahme-Gruppe wieder zu entfernen!