Megosztás a következőn keresztül:


Szabályzatok konfigurálása végponti jogosultságkezeléshez

Megjegyzés:

Ez a képesség intune-bővítményként érhető el. További információ: Az Intune Suite bővítmény képességeinek használata.

A Microsoft Intune Endpoint Privilege Management (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatók, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.

Az Endpoint Privilege Management azzal támogatja a megbízhatóság nélküli folyamatot, hogy segít a szervezetnek elérni a minimális jogosultságokkal futó széles körű felhasználói bázist, miközben lehetővé teszi a felhasználók számára, hogy továbbra is a szervezet által engedélyezett feladatokat futtassanak, hogy produktívak maradjanak.

A cikkben található információk segítségével konfigurálhatja a következő házirendeket és újrafelhasználható beállításokat az EPM-hez:

  • A Windows jogosultságszint-emelési beállításainak házirendje.
  • Windows jogosultságszint-emelési szabályok szabályzata.
  • Újrafelhasználható beállításcsoportok, amelyek nem kötelező konfigurációk a jogosultságszint-emelési szabályokhoz.

Érintett szolgáltatás:

  • Windows 10
  • Windows 11

Az EPM-szabályzatok használatának első lépései

A Végponti jogosultságkezelés két házirendtípust használ, amelyek konfigurálásával kezelheti a fájlszint-emelési kérések kezelését. A szabályzatok együttesen konfigurálják a fájlszint-emelések viselkedését, amikor a standard felhasználók rendszergazdai jogosultságokkal való futtatás kérését kérik.

A végponti jogosultságkezelési szabályzatok létrehozása előtt intune-bővítményként kell licencelnie az EPM-et a bérlőben. A licencelési információkért lásd: Az Intune Suite bővítményfunkcióinak használata.

Tudnivalók a Windows jogosultságszint-emelési beállítási szabályzatáról

A Windows jogosultságszint-emelési beállításainak házirendje a következő esetekben használható:

  • Engedélyezze a végponti jogosultságkezelést az eszközökön. Alapértelmezés szerint ez a szabályzat engedélyezi az EPM-et. Amikor először engedélyezve van az EPM, az eszköz kiépíti azokat az összetevőket, amelyek használati adatokat gyűjtenek a jogosultságszint-emelési kérelmekről, és amelyek jogosultságszint-emelési szabályokat kényszerítenek ki.

    Ha egy eszközön le van tiltva az EPM, az ügyfélösszetevők azonnal le lesznek tiltva. Az EPM-összetevő teljes eltávolítása hét nap késéssel történik. A késés segít csökkenteni az EPM visszaállításához szükséges időt, ha egy eszköznél véletlenül le van tiltva az EPM, vagy a jogosultságszint-emelési beállításokra vonatkozó szabályzat nincs hozzárendelve.

  • Alapértelmezett jogosultságszint-emelési válasz – Beállíthat egy alapértelmezett választ egy olyan fájl jogosultságszint-emelési kéréséhez , amelyet nem a Windows jogosultságszint-emelési szabályszabály-szabályzata kezel. Ahhoz, hogy ez a beállítás hatással legyen, nem létezhet szabály az alkalmazáshoz, és a végfelhasználónak explicit módon emelt szintű jogosultságszint-emelést kell kérnie a Futtatás emelt szintű hozzáféréssel jobb gombbal menüben. Alapértelmezés szerint ez a beállítás nincs konfigurálva. Ha nincs megadva beállítás, az EPM-összetevők visszaállnak a beépített alapértelmezett értékre, vagyis az összes kérés elutasítására.

    A lehetőségek a következők:

    • Minden kérés elutasítása – Ez a beállítás letiltja a jogosultságszint-emelési műveletet olyan fájlok esetében, amelyek nincsenek meghatározva a Windows jogosultságszint-emelési szabályainak szabályzatában.
    • Felhasználó megerősítésének megkövetelése – Ha a felhasználó megerősítésére van szükség, a Windows jogosultságszint-emelési szabályokra vonatkozó szabályzatban található érvényesítési lehetőségek közül választhat.
    • Támogatás jóváhagyásának megkövetelése – Ha támogatási jóváhagyásra van szükség, a rendszergazdának a jogosultságszint-emelési kérelmeket a jogosultságszint-emelés megkövetelése előtt egyező szabály nélkül kell jóváhagynia.

    Megjegyzés:

    Az alapértelmezett válaszok csak a Futtatás emelt szintű hozzáféréssel jobb gombbal menüben érkező kérések esetén lesznek feldolgozva.

  • Érvényesítési beállítások – Megadhatja az érvényesítési beállításokat, ha az alapértelmezett jogosultságszint-emelési válasz a Felhasználó megerősítésének megkövetelése.

    A lehetőségek a következők:

    • Üzleti indoklás – Ez a beállítás megköveteli a végfelhasználótól, hogy az alapértelmezett jogosultságszint-emelési válasz által megkönnyített jogosultságszint-emelési válasz végrehajtása előtt adjon meg egy indoklást.
    • Windows-hitelesítés – Ehhez a beállításhoz a végfelhasználónak hitelesítenie kell magát, mielőtt elvégez egy olyan jogosultságszint-emelést, amelyet az alapértelmezett jogosultságszint-emelési válasz tesz lehetővé.

    Megjegyzés:

    A szervezet igényeinek kielégítésére több ellenőrzési lehetőség is választható. Ha nincsenek megadva beállítások, akkor a felhasználónak csak a Folytatás gombra kell kattintania a jogosultságszint-emelés befejezéséhez.

  • Jogosultságszint-emelési adatok küldése jelentéskészítéshez – Ez a beállítás szabályozza, hogy az eszköz megosztja-e a diagnosztikai és használati adatokat a Microsofttal. Ha engedélyezve van az adatok megosztása, az adattípust a Jelentési hatókör beállítás konfigurálja.

    A Microsoft diagnosztikai adatokat használ az EPM-ügyfélösszetevők állapotának mérésére. A használati adatok a bérlőn belüli jogosultságszint-emelések megjelenítésére szolgálnak. Az adattípusokkal és azok tárolási módjával kapcsolatos további információkért lásd: Az Endpoint Privilege Management adatgyűjtése és adatvédelme.

    A lehetőségek a következők:

    • Igen – Ez a beállítás a Jelentési hatókör beállítás alapján küld adatokat a Microsoftnak.
    • Nem – Ez a beállítás nem küld adatokat a Microsoftnak.
  • Jelentéskészítési hatókör – Ez a beállítás azt szabályozza, hogy a Rendszer mennyi adatot küldjön a Microsoftnak, ha a jogosultságszint-emelési adatok küldése jelentéskészítéshezigen értékre van állítva. Alapértelmezés szerint a Diagnosztikai adatok és az összes végpontszint-emelés lehetőség van kiválasztva.

    A lehetőségek a következők:

    • Csak diagnosztikai adatok és felügyelt jogosultságszint-emelések – Ez a beállítás diagnosztikai adatokat küld a Microsoftnak az ügyfélösszetevők állapotáról , valamint az Endpoint Privilege Management által megkönnyített jogosultságszint-emelési adatokról.
    • Diagnosztikai adatok és végpontszint-emelések – Ez a beállítás diagnosztikai adatokat küld a Microsoftnak az ügyfélösszetevők állapotáról ÉS a végponton történt összes jogosultságszint-emelési adatról.
    • Csak diagnosztikai adatok – Ez a beállítás csak a diagnosztikai adatokat küldi el a Microsoftnak az ügyfélösszetevők állapotáról.

Tudnivalók a Windows jogosultságszint-emelési szabályairól

A Windows jogosultságszint-emelési szabályokra vonatkozó szabályzatának profiljaival kezelheti az egyes fájlok azonosítását, valamint a fájlok jogosultságszint-emelési kéréseinek kezelését. Minden Windows jogosultságszint-emelési szabály egy vagy több jogosultságszint-emelési szabályt tartalmaz. A jogosultságszint-emelési szabályokkal konfigurálhatja a felügyelt fájl részleteit, és emelt szintűre vonatkozó követelményeket.

A következő fájltípusok támogatottak:

  • Végrehajtható fájlok vagy .exe.msi kiterjesztéssel.
  • PowerShell-szkriptek a .ps1 bővítménnyel.

Minden jogosultságszint-emelési szabály az EPM-et az alábbiakra utasítja:

  • Azonosítsa a fájlt a következővel:

    • Fájlnév (a kiterjesztést is beleértve). A szabály olyan opcionális feltételeket is támogat, mint a build minimális verziója, a terméknév vagy a belső név. A nem kötelező feltételek a fájl további ellenőrzésére szolgálnak a jogosultságszint-emelés megkísérlésekor.
    • Igazolás. A tanúsítványok közvetlenül egy szabályhoz vagy egy újrafelhasználható beállításcsoport használatával adhatók hozzá. Ha egy szabályban tanúsítványt használ, annak is érvényesnek kell lennie. Javasoljuk az újrafelhasználható beállításcsoportok használatát, mivel ezek hatékonyabbak lehetnek, és egyszerűbbé tehetik a tanúsítvány jövőbeli módosítását. További információt a következő, Újrafelhasználható beállításcsoportok című szakaszban talál.
  • Ellenőrizze a fájlt:

    • Fájlkivonat. Az automatikus szabályokhoz fájlkivonatra van szükség. A felhasználó által megerősített szabályok esetén választhat, hogy tanúsítványt vagy fájlkivonatot használ, amely esetben a fájlkivonat nem kötelező.
    • Igazolás. Ha a tanúsítvány meg van adva, a Rendszer a Windows API-kkal ellenőrzi a tanúsítvány és a visszavonás állapotát.
    • További tulajdonságok. A szabályokban megadott további tulajdonságoknak egyeznie kell.
  • Konfigurálja a fájlok jogosultságszint-emelési típusát. A jogosultságszint-emelési típus azonosítja, hogy mi történik, ha jogosultságszint-emelési kérést intéznek a fájlhoz. Alapértelmezés szerint ez a beállítás a Felhasználó megerősítve értékre van állítva, amely a jogosultságszint-emeléshez ajánlott.

    • Felhasználó megerősítve (ajánlott): A felhasználó által megerősített jogosultságszint-emelés mindig megköveteli a felhasználótól, hogy a fájl futtatásához kattintson egy megerősítési kérésre. További felhasználói megerősítéseket is hozzáadhat. Ehhez a felhasználóknak hitelesíteniük kell magukat a szervezeti hitelesítő adataikkal. Egy másik lehetőséghez a felhasználónak üzleti indoklást kell megadnia. Bár az indoklásként megadott szöveg a felhasználón múlik, az EPM akkor gyűjtheti és jelentheti, ha az eszköz úgy van konfigurálva, hogy a Windows jogosultságszint-emelési beállítási szabályzatának részeként jelentse a jogosultságszint-emelési adatokat.
    • Automatikus: Az automatikus jogosultságszint-emelés láthatatlanul történik a felhasználó számára. Nincs rákérdezés, és nincs jele annak, hogy a fájl emelt szintű környezetben fut.
    • Támogatás jóváhagyva: A rendszergazdának jóvá kell hagynia minden olyan, a támogatáshoz szükséges jogosultságszint-emelési kérelmet , amely nem rendelkezik egyező szabmánnyal ahhoz, hogy az alkalmazás emelt szintű jogosultságokkal fusson.
  • A gyermekfolyamatok viselkedésének kezelése. Beállíthatja az emelt szintű folyamat által létrehozott gyermekfolyamatokra vonatkozó jogosultságszint-emelési viselkedést.

    • Szabályszint emelésének megkövetelése – Konfigurálja a gyermekfolyamatokat úgy, hogy saját szabályt követeljenek meg ahhoz, hogy a gyermekfolyamat emelt szintű környezetben fusson.
    • Az összes megtagadása – Minden gyermekfolyamat emelt szintű környezet nélkül indul el.
    • Gyermekfolyamatok futtatásának engedélyezése emelt szintűre – Gyermekfolyamat konfigurálása mindig emelt szintű futtatásra.

Megjegyzés:

Az erős szabályok létrehozásával kapcsolatos további információkért tekintse meg a jogosultságszint-emelési szabályok Endpoint Privilege Managementtel való létrehozásával kapcsolatos útmutatónkat.

Az EpmTools PowerShell-modul PowerShell-parancsmagja is használhatóGet-FileAttributes. Ez a parancsmag lekérheti egy .exe fájl fájlattribútumait, és kinyerheti a közzétevői és ca-tanúsítványait egy megadott helyre, amellyel feltöltheti a jogosultságszint-emelési szabály tulajdonságait egy adott alkalmazáshoz.

Figyelem!

Javasoljuk, hogy az automatikus jogosultságszint-emelést csak takarékosan használja, és csak az üzleti szempontból kritikus fontosságú megbízható fájlokhoz. A végfelhasználók automatikusan emelik ezeket az alkalmazásokat az alkalmazás minden indításakor.

Újrafelhasználható beállítások csoportja

A Végponti jogosultságkezelés támogatja az újrafelhasználható beállításcsoportok használatát a tanúsítványok kezeléséhez a tanúsítvány közvetlen hozzáadása helyett egy jogosultságszint-emelési szabályhoz. Az Intune összes újrafelhasználható beállítási csoportjához hasonlóan a rendszer automatikusan átadja az újrahasználható beállításcsoport konfigurációit és módosításait a csoportra hivatkozó szabályzatoknak. Javasoljuk, hogy használjon újrafelhasználható beállításcsoportot, ha ugyanazt a tanúsítványt szeretné használni a fájlok több jogosultságszint-emelési szabályban való érvényesítéséhez. Az újrafelhasználható beállításcsoportok használata hatékonyabb, ha ugyanazt a tanúsítványt több jogosultságszint-emelési szabályban használja:

  • Közvetlenül a jogosultságszint-emelési szabályhoz hozzáadott tanúsítványok: A szabályhoz közvetlenül hozzáadott tanúsítványokat az Intune egyedi példányként tölti fel, és ezt a tanúsítványpéldányt társítja a szabályhoz. Ha ugyanazt a tanúsítványt közvetlenül két külön szabályhoz adja hozzá, az kétszeri feltöltést eredményez. Később, ha módosítania kell a tanúsítványt, minden egyes szabályt szerkesztenie kell, amely azt tartalmazza. Minden szabálymódosítás esetén az Intune minden szabályhoz egyszer feltölti a frissített tanúsítványt.
  • Újrafelhasználható beállításcsoporton keresztül kezelt tanúsítványok: Minden alkalommal, amikor tanúsítványt adnak hozzá egy újrafelhasználható beállításcsoporthoz, az Intune minden alkalommal feltölti a tanúsítványt, függetlenül attól, hogy hány jogosultságszint-emelési szabály tartalmazza ezt a csoportot. A tanúsítvány ezen példánya ezután az adott csoportot használó összes szabály fájljával van társítva. Később az újrahasználható beállítások csoportban egyetlen alkalommal módosíthatja a tanúsítványt. Ez a módosítás azt eredményezi, hogy az Intune egyetlen alkalommal tölti fel a frissített fájlt, majd alkalmazza a módosítást a csoportra hivatkozó összes jogosultságszint-emelési szabályra.

Windows jogosultságszint-emelési beállítások szabályzata

Az alábbi beállítások eszközökre való konfigurálásához telepítse a Windows jogosultságszint-emelési beállításokra vonatkozó szabályzatát a felhasználókra vagy eszközökre:

  • Végponti jogosultságkezelés engedélyezése egy eszközön.
  • Állítson be alapértelmezett szabályokat a jogosultságszint-emelési kérelmekhez minden olyan fájlhoz, amelyet nem az adott eszközön található Endpoint Privilege Management jogosultságszint-emelési szabály kezel.
  • Konfigurálja, hogy az EPM milyen információkat jelent vissza az Intune-nak.

Az eszköznek olyan jogosultságszint-emelési beállítási szabályzattal kell rendelkeznie, amely lehetővé teszi az EPM támogatását, mielőtt az eszköz feldolgozhat egy jogosultságszint-emelési szabályházirendet, vagy kezelheti a jogosultságszint-emelési kérelmeket. Ha a támogatás engedélyezve van, a rendszer hozzáadja a C:\Program Files\Microsoft EPM Agent mappát az eszközhöz az EPM Microsoft Agenttel együtt, amely az EPM-szabályzatok feldolgozásáért felelős.

Windows jogosultságszint-emelési beállítási szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen a Végpontbiztonság>Végponti jogosultságkezelés> elemre, válassza a Szabályzatok lapot > , majd a Házirend létrehozása lehetőséget. Állítsa a Platform beállítást Windowsra, profilrólWindowsra jogosultságszint-emelési beállításokra vonatkozó szabályzatot, majd válassza a Létrehozás lehetőséget.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.
  3. A Konfigurációs beállítások területen konfigurálja a következőket az eszköz jogosultságszint-emelési kéréseinek alapértelmezett viselkedésének meghatározásához:

    A kiértékelési beállítások konfigurációs oldalának képe.

    • Végponti jogosultságkezelés: Engedélyezve (alapértelmezett) értékre van állítva. Ha engedélyezve van, az eszköz végponti jogosultságkezelést használ. Ha Letiltva értékre van állítva, az eszköz nem használja a Végponti jogosultságkezelést, és azonnal letiltja az EPM-et, ha korábban engedélyezve volt. Hét nap elteltével az eszköz megszünteti az Endpoint Privilege Management összetevőit.

    • Alapértelmezett jogosultságszint-emelési válasz: Konfigurálja, hogy ez az eszköz hogyan kezelje a nem szabály által közvetlenül felügyelt fájlok jogosultságszint-emelési kéréseit:

      • Nincs konfigurálva: Ez a beállítás ugyanúgy működik, mint az Összes kérelem elutasítása.
      • Az összes kérés elutasítása: Az EPM nem segíti elő a fájlok kiterjesztését, és a felhasználó egy előugró ablakban jeleníti meg a megtagadással kapcsolatos információkat. Ez a konfiguráció nem akadályozza meg a rendszergazdai engedélyekkel rendelkező felhasználókat abban, hogy a Futtatás rendszergazdaként parancsot használják nem felügyelt fájlok futtatásához.
      • Támogatás jóváhagyásának megkövetelése: Ez a viselkedés arra utasítja az EPM-et, hogy kérje meg a felhasználót, hogy küldjön be egy támogatott kérést.
      • Felhasználó megerősítésének megkövetelése: A felhasználó egy egyszerű kérést kap a fájl futtatására vonatkozó szándék megerősítéséhez. Az Ellenőrzés legördülő menüből további kéréseket is kérhet:
        • Üzleti indoklás: A felhasználónak meg kell adnia a fájl futtatásának indoklását. Ehhez az indokláshoz nincs szükség formátumra. A rendszer menti a felhasználói bemenetet, és naplókon keresztül tekintheti át, ha a jelentéskészítési hatókör tartalmazza a végpontszint-emelések gyűjteményét.
        • Windows-hitelesítés: Ehhez a beállításhoz a felhasználónak a szervezeti hitelesítő adataival kell hitelesítenie magát.
    • Jogosultságszint-emelési adatok küldése jelentéskészítéshez: Ez a viselkedés alapértelmezés szerint Igen értékre van állítva. Ha igen értékre van állítva, konfigurálhat egy jelentéskészítési hatókört. Ha a Nem értékre van állítva, az eszköz nem jelenti a diagnosztikai adatokat vagy a fájlszint-emelésekkel kapcsolatos információkat az Intune-nak.

    • Jelentési hatókör: Válassza ki, hogy milyen típusú információkat jelent az eszköz az Intune-nak:

      • Diagnosztikai adatok és végpontszint-emelések (alapértelmezett): Az eszköz az EPM által megkönnyített összes fájlemelés diagnosztikai adatait és részleteit jelenti.

        Ez az információszint segíthet azonosítani azokat a fájlokat, amelyeket még nem kezel egy emelt szintű szabály, amelyet a felhasználók emelt szintű környezetben szeretnének futtatni.

      • Csak diagnosztikai adatok és felügyelt jogosultságszint-emelések: Az eszköz csak a jogosultságszint-emelési szabályházirend által kezelt fájlokra vonatkozóan jelenti a diagnosztikai adatokat és a fájlszint-emelések részleteit. A nem felügyelt fájlokra vonatkozó fájlkérelmeket és a Futtatás rendszergazdaként windowsos alapértelmezett művelete által emelt szintű fájlokat a rendszer nem felügyelt jogosultságszint-emelésekként jelenti.

      • Csak diagnosztikai adatok: A rendszer csak a végponti jogosultságkezelés működésére vonatkozó diagnosztikai adatokat gyűjti. A fájlszint-emelésekkel kapcsolatos információk nem lesznek jelentve az Intune-nak.

    Ha készen áll, válassza a Tovább gombot a folytatáshoz.

  4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

  5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése. Válassza a Tovább gombot.

  6. A Felülvizsgálat + létrehozás beállításnál tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Windows jogosultságszint-emelési szabályok szabályzata

Windows jogosultságszint-emelési szabályokkal kapcsolatos szabályzatot telepíthet felhasználókra vagy eszközökre, hogy egy vagy több szabályt telepítsen az Endpoint Privilege Management által jogosultságszint-emelésre felügyelt fájlokra. A szabályzathoz hozzáadott összes szabály:

  • Azonosítja azt a fájlt, amelynek jogosultságszint-emelési kéréseit kezelni szeretné.
  • Tartalmazhat tanúsítványt a fájl integritásának ellenőrzéséhez a futtatás előtt. Hozzáadhat egy újrafelhasználható csoportot is, amely egy tanúsítványt tartalmaz, amelyet aztán egy vagy több szabvánnyal vagy szabályzattal használ.
  • Meghatározza, hogy a fájl jogosultságszint-emelési típusa automatikus (csendes) vagy felhasználói megerősítést igényel-e. A felhasználó megerősítésével további felhasználói műveleteket adhat hozzá, amelyeket a fájl futtatása előtt végre kell hajtani. A házirend mellett az eszközökhöz olyan Windows jogosultságszint-emelési beállításokat is hozzá kell rendelni, amelyek lehetővé teszik a végponti jogosultságkezelést.

Az alábbi módszerek egyikével hozhat létre új jogosultságszint-emelési szabályokat, amelyeket a rendszer hozzáad a jogosultságszint-emelési szabályok szabályzatához:

  • Jogosultságszint-emelési szabályok automatikus konfigurálása – Ezzel a módszerrel időt takaríthat meg a jogosultságszint-emelési szabályok létrehozásakor az Intune által már gyűjtött fájlészlelési adatok automatikus feltöltésével. A fájl részleteit az Intune azonosítja a Jogosultságszint-emelési jelentésből vagy egy támogatott jogosultságszint-emelési kérelmek rekordjából.

    Ezzel a módszerrel a következőt kell használnia:

    • Válassza ki azt a fájlt, amelyhez jogosultságszint-emelési szabályt szeretne létrehozni a Jogosultságszint-emelési jelentésből, vagy támogassa a jóváhagyott jogosultságszint-emelési kérést.
    • Adja hozzá az új jogosultságszint-emelési szabályt egy meglévő jogosultságszint-emelési szabályházirendhez, vagy hozzon létre egy új jogosultságszint-emelési szabályházirendet, amely tartalmazza az új szabályt.
      • Ha hozzáadja egy meglévő szabályzathoz, az új szabály azonnal elérhető lesz a szabályzatokhoz hozzárendelt csoportok számára.
      • Új szabályzat létrehozásakor szerkesztenie kell a szabályzatot a csoportok hozzárendeléséhez, mielőtt az elérhetővé válik.
  • Jogosultságszint-emelési szabályok manuális konfigurálása – Ehhez a módszerhez azonosítania kell az észleléshez használni kívánt fájladatokat, és manuálisan kell megadnia őket a szabálylétrehozási munkafolyamat részeként. További információ az észlelési feltételekről: A végponti jogosultságkezeléssel való használat szabályainak meghatározása.

    Ezzel a módszerrel a következőt kell használnia:

    • Manuálisan határozza meg a használni kívánt fájladatokat, majd adja hozzá őket a jogosultságszint-emelési szabályhoz a fájlazonosításhoz.
    • Konfigurálja a szabályzat minden aspektusát a szabályzat létrehozása során, beleértve a szabályzat csoportokhoz rendelését is.

Jogosultságszint-emelési szabályok automatikus konfigurálása a Windows jogosultságszint-emelési szabályainak szabályzatához

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen a Végpontbiztonsági>végpont jogosultságkezelése elemre. A jogosultságszint-emelési szabályhoz használandó fájl kiválasztásához válasszon az alábbi elérési utak közül:

    Kiindulás jelentésből:

    1. Válassza a Jelentések lapot, majd a Jogosultságszint-emelési jelentés csempét. Keresse meg azt a fájlt, amelyhez szabályt szeretne létrehozni a Fájl oszlopban.
    2. Válassza ki a fájl csatolt nevét a fájlok Jogosultságszint-emelési részletek paneljének megnyitásához.

    Kiindulás a támogatás által jóváhagyott jogosultságszint-emelési kérelemből:

    1. Válassza a Jogosultságszint-emelési kérelem lapot.

    2. A Fájl oszlopban válassza ki a jogosultságszint-emelési szabályhoz használni kívánt fájlt, amely megnyitja a fájlok Jogosultságszint-emelés részletei panelt.

      A jogosultságszint-emelési kérelem állapota nem számít. Használhat függőben lévő vagy korábban jóváhagyott vagy elutasított kérést.

  2. A Jogosultságszint-emelés részletei panelen tekintse át a fájl részleteit. Ezt az információt a jogosultságszint-emelési szabály a megfelelő fájl azonosítására használja. Ha készen áll, válassza a Szabály létrehozása a fájladatokkal lehetőséget.

    A Jogosultságszint-emelési jelentésből kiválasztott fájl felügyeleti központbeli felhasználói felületének képe.

  3. Válasszon egy szabályzatbeállítást a létrehozott új jogosultságszint-emelési szabályhoz:

    Hozzon létre egy új szabályzatot:
    Ez a beállítás létrehoz egy új szabályzatot, amely tartalmaz egy jogosultságszint-emelési szabályt a kiválasztott fájlhoz.

    1. A szabályhoz konfigurálja a Típus és gyermek folyamat viselkedését, majd kattintson az OK gombra a szabályzat létrehozásához.
    2. Amikor a rendszer kéri, adja meg az új szabályzat szabályzatnevét , és erősítse meg az új és hozzárendeletlen jogosultságszint-emelési szabályok szabályzatának létrehozását.
    3. A szabályzat létrehozása után szerkesztheti a szabályzatot, hogy hozzárendelje, és szükség esetén további konfigurációkat adjon hozzá.

    Hozzáadás meglévő szabályzathoz:
    Ezzel a lehetőséggel használja a legördülő listát, és válasszon ki egy meglévő jogosultságszint-emelési szabályzatot, amelyhez az új jogosultságszint-emelési szabály hozzá van adva.

    1. A szabályhoz konfigurálja a jogosultságszint-emelési típus és a gyermekfolyamat viselkedését, majd kattintson az OK gombra. A szabályzat frissül az új szabmánnyal.
    2. Miután hozzáadta a szabályt a szabályzathoz, szerkesztheti a szabályzatot, hogy hozzáférjen a szabályhoz, majd szükség esetén módosítsa úgy, hogy további konfigurációkat hozzon létre.

    Kép a Szabály létrehozása panel Felügyeleti központ felhasználói felületéről.

Jogosultságszint-emelési szabályok manuális konfigurálása Windows jogosultságszint-emelési szabályok szabályzatához

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen a Végpontbiztonság>Végponti jogosultságkezelés> elemre, válassza a Szabályzatok lapot > , majd a Házirend létrehozása lehetőséget. Állítsa a Platform beállítást Windows értékre, profiltWindows jogosultságszint-emelési szabályokra, majd válassza a Létrehozás lehetőséget.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.
  3. A Konfigurációs beállítások lapon adjon hozzá egy szabályt minden fájlhoz, amelyet ez a szabályzat kezel. Amikor új szabályzatot hoz létre, a szabályzat elindul, és tartalmaz egy üres szabályt, amelynek jogosultságszint-emelési típusa Felhasználó megerősítve , és nincs szabálynév. Először konfigurálja ezt a szabályt, majd később a Hozzáadás lehetőséget választva további szabályokat adhat hozzá ehhez a szabályzathoz. Minden hozzáadott új szabály rendelkezik egy felhasználó által megerősített jogosultságszint-emelési típussal, amely a szabály konfigurálásakor módosítható.

    Egy új jogosultságszint-emelési szabályházirend képe a Felügyeleti központ felhasználói felületéről.

    Szabály konfigurálásához válassza a Példány szerkesztése lehetőséget a Szabály tulajdonságai lap megnyitásához, majd konfigurálja a következőket:

    A jogosultságszint-emelési szabályok tulajdonságainak képe.

    • Szabály neve: Adjon meg egy leíró nevet a szabálynak. Nevezze el a szabályokat, hogy később könnyen azonosíthassa őket.
    • Leírás (nem kötelező): Adja meg a profil leírását.

    A jogosultságszint-emelési feltételek olyan feltételek, amelyek meghatározzák a fájlok futtatásának módját, és a felhasználóérvényesítéseket, amelyeknek teljesülniük kell ahhoz, hogy a szabály hatálya alatt lévő fájl futtatható legyen.

    • Jogosultságszint-emelés típusa: Ez a beállítás alapértelmezés szerint a Felhasználó által megerősítve értékre van állítva, amely a legtöbb fájlhoz ajánlott jogosultságszint-emelési típus.

      • A felhasználó megerősítette: Ezt a beállítást a legtöbb szabályhoz javasoljuk. Egy fájl futtatásakor a felhasználó egy egyszerű üzenetben megerősíti a fájl futtatására vonatkozó szándékát. A szabály az Ellenőrzés legördülő listából elérhető egyéb kéréseket is tartalmazhat:

        • Üzleti indoklás: A felhasználónak meg kell adnia a fájl futtatásának indoklását. A bejegyzéshez nincs szükség formátumra. A rendszer menti a felhasználói bemenetet, és naplókon keresztül tekintheti át, ha a jelentéskészítési hatókör tartalmazza a végpontszint-emelések gyűjteményét.
        • Windows-hitelesítés: Ehhez a beállításhoz a felhasználónak a szervezeti hitelesítő adataival kell hitelesítenie magát.
      • Automatikus: Ez a jogosultságszint-emelési típus automatikusan emelt szintű engedélyekkel futtatja a kérdéses fájlt. Az automatikus jogosultságszint-emelés átlátható a felhasználó számára anélkül, hogy megerősítést vagy indoklást vagy hitelesítést kér a felhasználótól.

        Figyelem!

        Csak a megbízható fájlok automatikus jogosultságszint-emelése használható. Ezek a fájlok felhasználói beavatkozás nélkül automatikusan megemelkednek. A nem jól definiált szabályok lehetővé tehetik a nem jóváhagyott alkalmazások megemelkedhetnek. Az erős szabályok létrehozásával kapcsolatos további információkért tekintse meg a szabályok létrehozására vonatkozó útmutatót.

      • Támogatás jóváhagyva: Ez a jogosultságszint-emelési típus megköveteli, hogy a rendszergazda jóváhagyjon egy kérést, mielőtt a jogosultságszint-emelés befejeződik. További információ: A jóváhagyott jogosultságszint-emelési kérelmek támogatása.

        Fontos

        A fájlok támogatott jogosultságszint-emelésének használatához a további engedélyekkel rendelkező rendszergazdáknak felül kell vizsgálniuk és jóvá kell hagyniuk a fájlszint-emelési kéréseket, mielőtt a fájl rendszergazdai engedélyekkel rendelkezik az eszközön. További információ a támogatott jogosultságszint-emelési típus használatáról: A jóváhagyott fájlszint-emelések támogatása a Végponti jogosultságkezeléshez.

    • Gyermekfolyamat viselkedése: Alapértelmezés szerint ez a beállítás a Szabály megkövetelése a szint emeléséhez beállításra van állítva, amely megköveteli, hogy a gyermekfolyamat megegyezik az azt létrehozó folyamattal. További lehetőségek:

      • Az összes gyermekfolyamat emelt szintű futtatásának engedélyezése: Ezt a beállítást körültekintően kell használni, mivel lehetővé teszi, hogy az alkalmazások feltétel nélkül hozzanak létre gyermekfolyamatokat.
      • Az összes elutasítása: Ez a konfiguráció megakadályozza a gyermekfolyamatok létrehozását.

    A fájlinformációkban adhatja meg azokat a részleteket, amelyek azonosítják a szabály által érintett fájlokat.

    • Fájlnév: Adja meg a fájl nevét és kiterjesztését. Például: myapplication.exe

    • Fájl elérési útja (nem kötelező): Adja meg a fájl helyét. Ha a fájl bármely helyről futtatható, vagy ismeretlen, ezt üresen hagyhatja. Változót is használhat.

    • Aláírás forrása: Válasszon az alábbi lehetőségek közül:

      • Használjon tanúsítványfájlt az újrahasználható beállításokban (alapértelmezett): Ez a beállítás olyan tanúsítványfájlt használ, amely hozzá lett adva a Végponti jogosultságkezelés újrafelhasználható beállítások csoportjához. A beállítás használatához létre kell hoznia egy újrafelhasználható beállításcsoportot .

        A tanúsítvány azonosításához válassza a Tanúsítvány hozzáadása vagy eltávolítása lehetőséget, majd válassza ki a megfelelő tanúsítványt tartalmazó újrafelhasználható csoportot. Ezután adja meg a Közzétevő vagy a Hitelesítésszolgáltatótanúsítványtípusát.

      • Tanúsítványfájl feltöltése: Adjon hozzá egy tanúsítványfájlt közvetlenül a jogosultságszint-emelési szabályhoz. A Fájlfeltöltés beállításnál adjon meg egy .cer fájlt, amely képes ellenőrizni annak a fájlnak az integritását, amelyekre ez a szabály vonatkozik. Ezután adja meg a Közzétevő vagy a Hitelesítésszolgáltatótanúsítványtípusát.

      • Nincs konfigurálva: Akkor használja ezt a beállítást, ha nem szeretne tanúsítványt használni a fájl integritásának ellenőrzéséhez. Ha nem használ tanúsítványt, meg kell adnia egy fájlkivonatot.

    • Fájlkivonat: A fájlkivonatra akkor van szükség, ha az Aláírás forrása nincs konfigurálva értékre van állítva, és nem kötelező, ha tanúsítvány használatára van beállítva.

    • Minimális verzió: (Nem kötelező) Az x.x.x.x formátummal adja meg a szabály által támogatott minimális fájlverziót.

    • Fájl leírása: (Nem kötelező) Adja meg a fájl leírását.

    • Terméknév: (Nem kötelező) Adja meg annak a terméknek a nevét, amelyből a fájl származik.

    • Belső név: (Nem kötelező) Adja meg a fájl belső nevét.

    A szabálykonfiguráció mentéséhez válassza a Mentés lehetőséget. Ezután hozzáadhat további szabályokat. Miután hozzáadta a szabályzathoz szükséges összes szabályt, válassza a Tovább gombot a folytatáshoz.

  4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

  5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése. Válassza a Tovább gombot.

  6. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Újrafelhasználható beállításcsoportok

A Végponti jogosultságkezelés újrafelhasználható beállításcsoportokkal kezeli azokat a tanúsítványokat, amelyek az Endpoint Privilege Management jogosultságszint-emelési szabályaival ellenőrzik a kezelt fájlokat. Az Intune összes újrahasználható beállítási csoportjához hasonlóan az újrahasználható csoportok módosításai is automatikusan át lesznek adva a csoportra hivatkozó szabályzatoknak. Ha frissítenie kell a fájlérvényesítéshez használt tanúsítványt, csak egyszer kell frissítenie az újrafelhasználható beállítások csoportjában. Az Intune a frissített tanúsítványt az adott csoportot használó összes jogosultságszint-emelési szabályra alkalmazza.

Az Endpoint Privilege Management újrafelhasználható beállításcsoportjának létrehozása:

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba , lépjen a Végpontbiztonság>Végponti jogosultságkezelés> területre, válassza az Újrahasználható beállítások (előzetes verzió) lapot > , majd válassza a Hozzáadás lehetőséget.

    A felhasználói felület képernyőképe egy újrafelhasználható beállításcsoport hozzáadásához.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet az újrafelhasználható csoportnak. Nevezze el a csoportokat, hogy később könnyen azonosíthatók legyenek.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.
  3. A Konfigurációs beállítások területen válassza a Tanúsítványfájl mappaikonját, és tallózással keresse meg a következőt: . CER-fájl , amely hozzáadja ehhez az újrafelhasználható csoporthoz. Az Alap 64 érték mező a kiválasztott tanúsítvány alapján töltődik ki.

    Képernyőfelvétel a tanúsítvány böngészéséhez használt felhasználói felületről.

  4. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a rendszer menti a konfigurációt, és a csoport megjelenik az Endpoint Privilege Management újrafelhasználható beállítások csoportjának listájában.

Szabályzatütközések kezelése végponti jogosultságkezeléshez

A következő helyzet kivételével az EPM ütköző szabályzatai a többi szabályzatütközéshez hasonlóan kezelhetők.

Windows jogosultságszint-emelési beállítások szabályzata:

Ha egy eszköz két eltérő jogosultságszint-emelési beállítási szabályzatot kap ütköző értékekkel, az EPM-ügyfél az ütközés feloldásáig visszaáll az alapértelmezett ügyfélviselkedésre.

Megjegyzés:

Ha a Végponti jogosultságkezelés engedélyezése ütközik, az ügyfél alapértelmezett viselkedése az EPM engedélyezése . Ez azt jelenti, hogy az ügyfélösszetevők továbbra is működni fognak, amíg egy explicit érték nem kerül az eszközre.

Windows jogosultságszint-emelési szabályok szabályzata:

Ha egy eszköz két, ugyanazt az alkalmazást célzó szabályt kap, az eszközön mindkét szabályt felhasználja a rendszer. Amikor az EPM a jogosultságszint-emelési szabályok feloldására kerül sor, a következő logikát használja:

  • A felhasználó számára üzembe helyezett szabályok elsőbbséget élveznek az eszközön telepített szabályokkal szemben.
  • A kivonattal rendelkező szabályokat mindig a legspecifikusabb szabálynak tekintik.
  • Ha egynél több szabály van érvényben (kivonat definiálása nélkül), a legelfoglaltabb attribútumokkal rendelkező szabály nyer (a legspecifikusabb).
  • Ha az eljáráslogika alkalmazása több szabályt eredményez, a következő sorrend határozza meg a jogosultságszint-emelési viselkedést: Felhasználó megerősítve, Támogatás jóváhagyva, majd Automatikus.

Megjegyzés:

Ha nem létezik jogosultságszint-emelésre vonatkozó szabály, és a jogosultságszint-emelést a Futtatás emelt szintű hozzáféréssel helyi menüben kérték, akkor a rendszer az alapértelmezett jogosultságszint-emelési viselkedést fogja használni.

Következő lépések