Prise en charge des élévations de fichiers approuvées pour Endpoint Privilege Management

  • Article

Remarque

Cette fonctionnalité est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

Avec Gestion des privilèges de points de terminaison Microsoft Intune (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches nécessitant des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

Cet article explique comment utiliser le flux de travail approuvé avec Endpoint Privilege Management.

La prise en charge des élévations approuvées vous permet d’exiger une approbation avant qu’une élévation ne soit autorisée. Vous pouvez utiliser la fonctionnalité approuvée par le support dans le cadre d’une règle d’élévation ou comme comportement client par défaut. Les demandes envoyées nécessitent Intune administrateurs d’approuver la demande au cas par cas.

Lorsqu’un utilisateur tente d’exécuter un fichier dans un contexte élevé et que ce fichier est géré par le type d’élévation de fichier approuvé par prise en charge, Intune affiche une invite à l’utilisateur pour envoyer une demande d’élévation. La demande d’élévation est ensuite envoyée à Intune pour révision par un administrateur Intune. Lorsqu’un administrateur approuve la demande d’élévation, l’utilisateur sur l’appareil est averti et le fichier peut ensuite être exécuté dans le contexte avec élévation de privilèges. Pour approuver les demandes, le compte de l’administrateur Intune doit disposer d’autorisations supplémentaires spécifiques à la tâche de révision et d’approbation.

S’applique à :

  • Windows 10
  • Windows 11

À propos de la prise en charge des élévations approuvées

Utilisez des stratégies EPM avec le type d’élévation approuvé pour les fichiers qui nécessitent l’approbation d’un administrateur avant de pouvoir s’exécuter avec un accès plus élevé. Elles sont similaires à d’autres règles d’élévation EPM, mais elles présentent certaines différences qui nécessitent une planification supplémentaire.

Conseil

Pour passer en revue les trois types d’élévation et les autres options de stratégie, consultez Stratégie des règles d’élévation Windows.

Les sujets suivants sont les détails à planifier et à attendre lorsque vous utilisez le type d’élévation approuvé par la prise en charge :

  • Requêtes d’élévation

    Lorsqu’un utilisateur exécute un fichier avec l’option de clic droit Exécuter avec un accès élevé et que ce fichier est géré par une stratégie avec une règle d’élévation approuvée par le support, Intune affiche à l’utilisateur une invite pour envoyer une demande d’élévation au centre d’administration Intune.

    • L’invite permet à l’utilisateur d’entrer une raison professionnelle pour l’élévation. Cette raison fait partie de la demande d’élévation, qui contient également le nom de l’utilisateur, l’appareil et le nom de fichier.

    • Lorsque l’utilisateur envoie la demande, il accède au centre d’administration Intune où un administrateur Intune disposant d’autorisations pour gérer ces demandes décide de l’approuver ou de la refuser.

    L’image suivante montre un exemple d’invite d’élévation de fichier que les utilisateurs rencontrent :

    Capture d’écran qui affiche un exemple de l’invite de demande d’élévation de l’utilisateur.

  • Examen des demandes d’élévation

    Un administrateur Intune doit disposer de droits d’affichage et de gestion pour l’autorisation Demandes d’élévation de gestion des privilèges de point de terminaison avant de pouvoir examiner et approuver les demandes d’élévation.

    Pour rechercher et répondre aux demandes, ces administrateurs utilisent l’onglet Demandes d’élévation de la page Gestion des privilèges de point de terminaison dans le centre d’administration. Étant donné que Intune n’a pas de moyen d’informer les administrateurs des nouvelles demandes d’élévation, les administrateurs doivent prévoir de case activée régulièrement l’onglet pour les demandes en attente.

    Les administrateurs qui peuvent gérer les demandes d’élévation peuvent accepter ou rejeter une demande. Ils peuvent également fournir une raison de leur décision. Cette raison fait partie de l’enregistrement d’audit de la demande.

    • Pour les approbations : lorsqu’un administrateur approuve une demande d’élévation, Intune envoie une stratégie à l’appareil où l’utilisateur a envoyé la demande, ce qui permet à cet utilisateur d’exécuter le fichier avec élévation de privilèges pour les 24 prochaines heures. Cette période commence au moment où l’administrateur approuve la demande. Il n’existe actuellement aucune prise en charge pour une période personnalisée ou l’annulation de l’élévation approuvée avant l’expiration de la période de 24 heures.

      Une fois la demande approuvée, Intune avertit l’appareil et lance une synchronisation. Cela peut prendre un certain temps. Intune utilise une notification sur l’appareil pour avertir l’utilisateur qu’il peut maintenant exécuter correctement le fichier avec l’option de clic droit Exécuter avec accès élevé.

    • Pour les refus : Intune n’en informe pas l’utilisateur. L’administrateur doit informer manuellement l’utilisateur que sa demande a été refusée.

  • Audit des demandes d’élévation

    Un administrateur Intune disposant des autorisations suffisantes peut afficher des informations sur la stratégie EPM, telles que la création, la modification et la gestion des demandes d’élévation dans les journaux d’audit Intune, disponibles dans l’administration> du locataireJournaux d’audit.

    La capture d’écran suivante montre un exemple de journal d’audit pour la duplication d’une stratégie d’élévation approuvée par le support , initialement nommée Stratégie de test - support approuvé :

    Image qui affiche une entrée de journal d’audit pour une stratégie de règles d’élévation approuvées par le support.

Autorisations RBAC pour les demandes d’élévation

Pour superviser les approbations d’élévation, seuls les administrateurs Intune disposant des autorisations de contrôle d’accès en fonction du rôle (RBAC) suivantes dans Intune peuvent afficher et gérer les demandes d’élévation :

  • Demandes d’élévation de gestion des privilèges des points de terminaison : cette autorisation est requise pour travailler avec les demandes d’élévation soumises par les utilisateurs pour approbation et prend en charge les droits suivants :

    • Afficher les demandes d’élévation
    • Modifier les demandes d’élévation

Pour plus d’informations sur toutes les autorisations de gestion d’EPM, consultez Contrôles d’accès en fonction du rôle pour Endpoint Privilege Management.

Créer une stratégie pour la prise en charge des élévations de fichiers approuvées

Pour créer une stratégie d’élévation approuvée par la prise en charge, utilisez le même flux de travail pour créer d’autres stratégies de règle d’élévation EPM. Consultez Créer une stratégie de règles d’élévation Windows dans Configurer des stratégies pour Endpoint Privilege Management.

Gérer les demandes d’élévation en attente

Utilisez la procédure suivante pour examiner et gérer les demandes d’élévation.

  1. Connectez-vous au centre d’administration Microsoft Intune et accédez à l’ongletDemandes d’élévation de la sécurité> des points determinaison Endpoint Privilege Management>.

  2. L’onglet Demandes d’élévation affiche les demandes en attente et les demandes des 30 derniers jours. La sélection d’une ligne ouvre les entrées des propriétés de demande d’élévation, où vous pouvez examiner la demande en détail.

  3. Les détails de la demande d’élévation incluent les informations suivantes :

    1. Détails généraux :

      1. File : nom du fichier qui a été demandé pour l’élévation.
      2. Publisher : nom de l’éditeur qui a signé le fichier demandé pour l’élévation. Le nom de l’éditeur est un lien qui récupère la chaîne de certificats pour le fichier à télécharger.
      3. Appareil : appareil à partir duquel l’élévation a été demandée. Le nom de l’appareil est un lien qui ouvre l’objet appareil dans le centre d’administration.
      4. Intune conforme : état de conformité Intune de l’appareil.

    2. Détails de la demande :

      1. État : état de la demande. Les demandes commencent par En attente et peuvent être approuvées ou refusées par un administrateur.
      2. Par : compte de l’administrateur qui a approuvé ou refusé la demande.
      3. Dernière modification : heure de la dernière modification de l’entrée de la demande.
      4. Justification de l’utilisateur : justification fournie par l’utilisateur pour la demande d’élévation.
      5. Expiration de l’approbation : heure d’expiration de l’approbation. Tant que ce délai d’expiration n’est pas atteint, l’élévation du fichier approuvé est autorisée.
      6. raison de Administration : justification fournie par l’administrateur lorsqu’une approbation ou un refus est effectué.

    3. Informations sur le fichier : spécificités des métadonnées du fichier qui a été demandé pour approbation.

    Image qui affiche les détails d’une demande d’élévation.

  4. Une fois qu’un administrateur a examiné une demande, il peut sélectionner Approuver ou Refuser. Avec l’une ou l’autre sélection, ils sont présentés avec la boîte de dialogue de justification où ils peuvent fournir une raison avec des détails sur leur décision. La fourniture d’une raison est facultative. La boîte de dialogue d’approbation suivante s’affiche :

    • Pour les approbations : l’administrateur termine la boîte de dialogue de justification, puis sélectionne Oui pour approuver la demande. Intune envoie l’approbation à l’appareil et l’utilisateur final est averti via une notification toast qu’il peut élever l’application.

      L’utilisateur final peut maintenant terminer l’activité d’élévation à l’aide du menu de clic droit Exécuter avec accès élevé du fichier.

      Image qui affiche la boîte de dialogue d’approbation d’élévation avec l’exemple de justification d’approbation fourni comme motif

    • Pour les refus : l’administrateur termine la boîte de dialogue de justification, puis sélectionne Oui pour refuser la demande.

      Lorsqu’un administrateur refuse une demande d’approbation, la demande d’élévation n’est pas approuvée. Intune n’envoie pas de réponse à l’appareil et l’utilisateur n’est pas averti.

      Image qui affiche la boîte de dialogue de déni d’élévation sans justification d’approbation d’exemple fournie

Remarque

Les demandes d’élévation contiennent toutes les informations nécessaires pour créer une règle d’élévation si nécessaire, y compris la chaîne de certificats complète . Prise en charge des élévations approuvées s’affichent également dans les données d’utilisation de l’élévation comme toutes les autres demandes d’élévation.

Prochaines étapes