Sdílet prostřednictvím


Podpora schválených zvýšení oprávnění souborů pro správu oprávnění koncového bodu

Poznámka

Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňků sady Intune.

S Microsoft Intune Endpoint Privilege Management (EPM) můžou uživatelé vaší organizace spouštět jako standardní uživatel (bez oprávnění správce) a provádět úlohy, které vyžadují zvýšená oprávnění. Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Tento článek vysvětluje, jak používat pracovní postup schválený pro podporu se správou oprávnění koncového bodu.

Podpora schválená zvýšení oprávnění umožňuje vyžadovat schválení před povolením zvýšení oprávnění. Funkci schválenou podporou můžete použít jako součást pravidla zvýšení oprávnění nebo jako výchozí chování klienta. Odeslané žádosti vyžadují, aby správci Intune žádost schválili případ od případu.

Když se uživatel pokusí spustit soubor v kontextu se zvýšenými oprávněními a tento soubor spravuje podpora schváleného typu zvýšení oprávnění, Intune uživateli zobrazí výzvu k odeslání žádosti o zvýšení oprávnění. Žádost o zvýšení oprávnění se pak odešle do Intune ke kontrole správcem Intune. Když správce žádost o zvýšení oprávnění schválí, uživatel zařízení dostane oznámení a soubor se pak dá spustit v kontextu se zvýšenými oprávněními. Ke schválení žádostí musí mít účet správce Intune další oprávnění, která jsou specifická pro úlohu kontroly a schválení.

Platí pro:

  • Windows 10
  • Windows 11

Informace o zvýšení úrovně schválené podporou

Použijte zásady EPM s typem schváleného zvýšení oprávnění podpory pro soubory, které potřebují souhlas správce, než je možné spustit s vyšším přístupem. Jsou podobné jiným pravidlům zvýšení úrovně EPM, ale mají určité rozdíly, které vyžadují další plánování.

Tip

Informace o třech typech zvýšení oprávnění a dalších možnostech zásad najdete v tématu Zásady pravidel zvýšení oprávnění windows.

Následující témata jsou podrobnosti, které je potřeba naplánovat a očekávat, když použijete typ zvýšení úrovně schválené podpory:

  • Žádosti o zvýšení oprávnění

    Když uživatel spustí soubor s možností Spustit se zvýšenými oprávněními po kliknutí pravým tlačítkem a tento soubor spravuje zásady s pravidlem schváleného pro podporu zvýšení oprávnění, Intune zobrazí uživateli výzvu k odeslání žádosti o zvýšení oprávnění do Centra pro správu Intune.

    • Výzva uživateli umožňuje zadat obchodní důvod zvýšení oprávnění. Tento důvod se stane součástí žádosti o zvýšení oprávnění, která obsahuje také uživatelské jméno, zařízení a název souboru.

    • Když uživatel odešle žádost, přejde do Centra pro správu Intune, kde se správce Intune s oprávněními ke správě těchto žádostí rozhodne ji schválit nebo zamítnout.

    Následující obrázek ukazuje příklad výzvy ke zvýšení oprávnění souboru, která se uživatelům zobrazí:

    Snímek obrazovky zobrazující příklad výzvy k žádosti o zvýšení oprávnění uživatele

  • Kontrola žádostí o zvýšení oprávnění

    Aby mohl správce Intune kontrolovat a schvalovat žádosti o zvýšení oprávnění, musí mít oprávnění k zobrazení a správě oprávnění Ke správě oprávnění správy oprávnění koncového bodu .

    K vyhledání žádostí a odpovědí na ně tito správci používají kartu Žádosti o zvýšení oprávnění na stránce Správa oprávnění koncového bodu v Centru pro správu. Vzhledem k tomu, že Intune nemá způsob, jak informovat správce o nových žádostech o zvýšení oprávnění, měli by správci naplánovat pravidelné kontroly nevyřízených žádostí na kartě.

    Správci, kteří můžou spravovat žádosti o zvýšení oprávnění, můžou žádost přijmout nebo odmítnout. Mohou také uvést důvod svého rozhodnutí. Tento důvod se stane součástí záznamu auditu pro žádost.

    • Pro schválení: Když správce schválí žádost o zvýšení oprávnění, Intune odešle do zařízení, na které uživatel žádost odeslal, zásadu, která uživateli umožní spustit soubor se zvýšenými oprávněními po dobu následujících 24 hodin. Toto období začíná v okamžiku, kdy správce žádost schválí. Před vypršením 24hodinového období se aktuálně nepodporuje vlastní časové období ani zrušení schváleného zvýšení oprávnění.

      Po schválení žádosti Intune zařízení upozorní a zahájí synchronizaci. To může nějakou dobu trvat. Intune používá na zařízení oznámení, které uživatele upozorní, že teď může soubor úspěšně spustit pomocí možnosti Spustit se zvýšeným přístupem kliknutím pravým tlačítkem myši.

    • Pro odepření: Intune uživatele neoznámí. Správce by měl ručně upozornit uživatele, že jeho žádost byla zamítnuta.

  • Auditování žádostí o zvýšení oprávnění

    Správce Intune, který má dostatečná oprávnění, může zobrazit informace o zásadách EPM, jako je vytváření, úpravy a zpracování žádostí o zvýšení oprávnění, v protokolech auditu Intune, které jsou dostupné vprotokolech auditu správy >tenanta.

    Následující snímek obrazovky ukazuje příklad protokolu auditu pro duplikaci zásad zvýšení oprávnění schválených podporou , původně s názvem Testovat zásadu – schválenou podporu:

    Obrázek zobrazující položku protokolu auditu pro zásady pravidel zvýšení oprávnění schválené podpory

Oprávnění RBAC pro žádosti o zvýšení oprávnění

Kvůli zajištění dohledu nad schvalováním zvýšení oprávnění můžou žádosti o zvýšení oprávnění zobrazovat a spravovat jenom správci Intune, kteří mají v Intune následující oprávnění řízení přístupu na základě role (RBAC):

  • Žádosti o zvýšení oprávnění správy koncových bodů – Toto oprávnění se vyžaduje pro práci s žádostmi o zvýšení oprávnění odesílanými uživateli ke schválení a podporuje následující práva:

    • Zobrazení žádostí o zvýšení oprávnění
    • Úprava žádostí o zvýšení oprávnění

Další informace o všech oprávněních pro správu EPM najdete v tématu Řízení přístupu na základě role pro správu oprávnění koncového bodu.

Vytvoření zásad pro podporu schválených zvýšení oprávnění souborů

Pokud chcete vytvořit zásady zvýšení oprávnění schválené podporou, použijte stejný pracovní postup pro vytváření dalších zásad pravidel zvýšení oprávnění EPM. Viz Zásady pravidel zvýšení oprávnění Windows v tématu Konfigurace zásad pro správu oprávnění koncového bodu.

Správa čekajících žádostí o zvýšení oprávnění

Následující postup použijte jako doprovodné materiály ke kontrole a správě žádostí o zvýšení oprávnění.

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte na kartuŽádosti o zvýšení oprávnění>koncového bodu zabezpečení>koncového bodu.

  2. Na kartě Žádosti o zvýšení oprávnění se zobrazují žádosti čekající na vyřízení a žádosti za posledních 30 dnů. Když vyberete řádek, otevře se položka s vlastnostmi žádosti o zvýšení oprávnění, kde můžete požadavek podrobně zkontrolovat.

  3. Podrobnosti o žádosti o zvýšení oprávnění zahrnují následující informace:

    1. Obecné podrobnosti:

      • Soubor – název souboru, který byl požádán o zvýšení oprávnění.
      • Publisher – název vydavatele, který podepsal soubor, který byl požádán o zvýšení oprávnění. Název vydavatele je odkaz, který načte řetěz certifikátů pro soubor ke stažení.
      • Zařízení – zařízení, ze kterého bylo požadováno zvýšení oprávnění. Název zařízení je odkaz, který otevře objekt zařízení v Centru pro správu.
      • Kompatibilní s Intune – Stav dodržování předpisů intune zařízení.
    2. Podrobnosti žádosti:

      • Stav – stav žádosti. Žádosti začínají jako čekající a správce je může buď schválit , nebo zamítnout .
      • Podle – Účet správce, který žádost schválil nebo zamítl .
      • Naposledy změněno – čas poslední změny položky požadavku.
      • Odůvodnění uživatele – odůvodnění, které uživatel poskytl pro žádost o zvýšení oprávnění.
      • Vypršení platnosti schválení – čas vypršení platnosti schválení. Až do dosažení této doby vypršení platnosti je povoleno zvýšení oprávnění schváleného souboru.
      • Důvod správce – odůvodnění poskytnuté správcem při dokončení schválení nebo zamítnutí .
    3. Informace o souborech – specifika metadat pro soubor, který byl požádán o schválení.

    Obrázek zobrazující podrobnosti žádosti o zvýšení oprávnění

  4. Jakmile správce žádost zkontroluje, může vybrat Schválit nebo Zamítnout. Při každém výběru se jim zobrazí dialogové okno odůvodnění , ve kterém můžou uvést důvod s podrobnostmi o svém rozhodnutí. Poskytnutí důvodu je volitelné. Zobrazí se následující dialogové okno schválení:

    • Pro schválení – správce dokončí dialogové okno odůvodnění a pak výběrem možnosti Ano žádost schválí. Intune odešle schválení do zařízení a koncový uživatel obdrží oznámení prostřednictvím informační zprávy, že může zvýšit úroveň aplikace.

      Koncový uživatel teď může dokončit aktivitu zvýšení oprávnění pomocí nabídky Spustit s přístupem se zvýšenými oprávněními v souboru po kliknutí pravým tlačítkem myši.

      Obrázek zobrazující dialogové okno schválení zvýšení oprávnění s ukázkovým odůvodněním schválení jako důvodem

    • Pro odepření – Správce dokončí dialogové okno odůvodnění a výběrem možnosti Ano žádost zamítá.

      Když správce žádost o schválení odmítne, žádost o zvýšení oprávnění se neschválila. Intune neodesílá do zařízení odpověď a uživatel nedostane oznámení.

      Obrázek zobrazující dialogové okno odepření zvýšení oprávnění bez zadaného ukázkového odůvodnění schválení

Poznámka

Žádosti o zvýšení oprávnění obsahují v případě potřeby všechny informace potřebné k vytvoření pravidla zvýšení oprávnění, včetně kompletního řetězu certifikátů. Schválené zvýšení oprávnění podpory se také zobrazují v datech o využití zvýšení oprávnění stejně jako jakékoli jiné žádosti o zvýšení oprávnění.

Další kroky