A jóváhagyott fájlszint-emelések támogatása a Végponti jogosultságkezeléshez
Megjegyzés:
Ez a képesség intune-bővítményként érhető el. További információ: Az Intune Suite bővítmény képességeinek használata.
A Microsoft Intune Endpoint Privilege Management (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatók, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.
Ez a cikk azt ismerteti, hogyan használhatja a támogatott munkafolyamatot az Endpoint Privilege Managementtel.
A támogatott jogosultságszint-emelések lehetővé teszik, hogy jóváhagyást igényeljen a jogosultságszint-emelés engedélyezése előtt. A támogatott funkciókat a jogosultságszint-emelési szabály részeként vagy alapértelmezett ügyfélviselkedésként használhatja. Az elküldött kérelmekhez az Intune rendszergazdáinak eseti alapon jóvá kell hagyniuk a kérelmet.
Amikor egy felhasználó emelt szintű környezetben próbál futtatni egy fájlt, és a fájlt a támogatott fájlszint-emelési típus kezeli, az Intune egy jogosultságszint-emelési kérés elküldésére kéri a felhasználót. A jogosultságszint-emelési kérelmet ezután egy Intune-rendszergazda továbbítja az Intune-nak véleményezésre. Amikor egy rendszergazda jóváhagyja a jogosultságszint-emelési kérést, a rendszer értesíti az eszközön lévő felhasználót, és a fájl ezután emelt szintű környezetben futtatható. A kérelmek jóváhagyásához az Intune-rendszergazda fiókjának további engedélyekkel kell rendelkeznie, amelyek a felülvizsgálati és jóváhagyási feladatra vonatkoznak.
Érintett szolgáltatás:
- Windows 10
- Windows 11
A támogatott jogosultságszint-emelések ismertetése
Használjon olyan EPM-szabályzatokat a támogatott jogosultságszint-emelési típussal, amelyekhez rendszergazdai jóváhagyásra van szükség ahhoz, hogy nagyobb hozzáféréssel fussanak. Hasonlóak a többi epm-jogosultságszint-emelési szabályhoz, de vannak olyan különbségek, amelyek további tervezést igényelnek.
Tipp
A három jogosultságszint-emelési típus és egyéb szabályzatbeállítások áttekintéséhez lásd: Windows jogosultságszint-emelési szabályok szabályzata.
A következő témák a támogatott jogosultságszint-emelési típus használatakor tervezendők és várhatók:
Jogosultságszint-emelési kérések
Ha egy felhasználó a jobb gombbal a Futtatás emelt szintű hozzáféréssel beállítással futtat egy fájlt, és a fájlt egy támogatási jogosultságszint-emelési szabmánnyal rendelkező szabályzat kezeli, az Intune megjeleníti a felhasználónak, hogy küldjön jogosultságszint-emelési kérést az Intune Felügyeleti központnak.
A kérés lehetővé teszi, hogy a felhasználó megadja a jogosultságszint-emelés üzleti okát. Ez az ok a jogosultságszint-emelési kérelem részévé válik, amely a felhasználó nevét, eszközét és fájlnevét is tartalmazza.
Amikor a felhasználó elküldi a kérést, az az Intune felügyeleti központjába kerül, ahol a kérések kezeléséhez engedéllyel rendelkező Intune-rendszergazda úgy dönt, hogy jóváhagyja vagy elutasítja azt.
Az alábbi képen egy példa látható arra a fájlszint-emelési kérésre, amelyet a felhasználók tapasztalnak:
Jogosultságszint-emelési kérelmek áttekintése
Az Intune-rendszergazdáknak megtekintési és kezelési jogosultságokkal kell rendelkezniük a végponti jogosultságkezelés jogosultságszint-emelési kérelmeihez , mielőtt felülvizsgálhatják és jóváhagyhatják a jogosultságszint-emelési kérelmeket.
A kérések megkereséséhez és megválaszolásához ezek a rendszergazdák a Felügyeleti központ Végponti jogosultságkezelés lapjának Jogosultságszint-emelési kérelmek lapját használják. Mivel az Intune nem tudja értesíteni a rendszergazdákat az új jogosultságszint-emelési kérelmekről, a rendszergazdáknak érdemes rendszeresen ellenőrizniük a függőben lévő kérelmeket.
Azok a rendszergazdák, akik kezelhetik a jogosultságszint-emelési kérelmeket, elfogadhatnak vagy elutasíthatnak egy kérést. A döntésük okát is meg tudják adni. Ez az ok a kérelem naplózási rekordjának részévé válik.
Jóváhagyások esetén: Amikor egy rendszergazda jóváhagy egy jogosultságszint-emelési kérést, az Intune egy szabályzatot küld arra az eszközre, amelyre a felhasználó elküldte a kérelmet, így a felhasználó a következő 24 órában emelt szintűként futtathatja a fájlt. Ez az időszak akkor kezdődik, amikor a rendszergazda jóváhagyja a kérelmet. A 24 órás időszak lejárta előtt nem támogatott az egyéni időszak vagy a jóváhagyott jogosultságszint-emelés visszavonása.
A kérelem jóváhagyása után az Intune értesíti az eszközt, és szinkronizálást kezdeményez. Ez eltarthat egy ideig. Az Intune az eszközön egy értesítéssel értesíti a felhasználót arról, hogy most már sikeresen futtathatja a fájlt a Futtatás emelt szintű hozzáféréssel jobb gombbal lehetőséggel.
Megtagadások esetén: Az Intune nem értesíti a felhasználót. A rendszergazdának manuálisan kell értesítenie a felhasználót a kérés elutasításáról.
Jogosultságszint-emelési kérések naplózása
A megfelelő engedélyekkel rendelkező Intune-rendszergazdák megtekinthetik az EPM-szabályzattal kapcsolatos információkat, például a létrehozást, a szerkesztést és a jogosultságszint-emelési kérések kezelését az Intune auditnaplóiban, amely a bérlői felügyeleti>auditnaplókban érhető el.
Az alábbi képernyőfelvételen egy példa látható a támogatási jóváhagyott jogosultságszint-emelési szabályzat duplikálására szolgáló auditnaplóra, eredetileg Tesztházirend – támogatás jóváhagyva néven:
Jogosultságszint-emelési kérelmek RBAC-engedélyei
A jogosultságszint-emelési jóváhagyások felügyeletének biztosítása érdekében csak az Intune-beli szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel rendelkező Intune-rendszergazdák tekinthetik meg és kezelhetik a jogosultságszint-emelési kérelmeket:
Végponti jogosultságkezelés jogosultságszint-emelési kérelmei – Ez az engedély szükséges a felhasználók által jóváhagyásra küldött jogosultságszint-emelési kérelmek kezeléséhez, és a következő jogosultságokat támogatja:
- Jogosultságszint-emelési kérelmek megtekintése
- Jogosultságszint-emelési kérelmek módosítása
Az EPM kezelésének összes engedélyével kapcsolatos további információkért lásd: Szerepköralapú hozzáférés-vezérlés a végponti jogosultságkezeléshez.
Szabályzat létrehozása a jóváhagyott fájlszint-emelések támogatásához
Támogatás által jóváhagyott jogosultságszint-emelési szabályzat létrehozásához használja ugyanazt a munkafolyamatot az EPM egyéb jogosultságszint-emelési szabályházirendjeinek létrehozásához. Lásd: Windows jogosultságszint-emelési szabályok szabályzata a Végponti jogosultságkezelés házirendjeinek konfigurálása című témakörben.
Függőben lévő jogosultságszint-emelési kérelmek kezelése
A jogosultságszint-emelési kérelmek áttekintéséhez és kezeléséhez kövesse az alábbi eljárást.
Jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen a Végpontbiztonsági>végpont jogosultságkezelési>jogosultságszint-emelési kérések lapjára.
A jogosultságszint-emelési kérelmek lap az elmúlt 30 napfüggőben lévő kéréseit és kéréseit jeleníti meg. Ha kijelöl egy sort, megnyílik a jogosultságszint-emelési kérelem tulajdonságainak bejegyzése, ahol részletesen áttekintheti a kérést.
A jogosultságszint-emelési kérelem részletei a következő információkat tartalmazzák:
Általános részletek:
- File – A jogosultságszint-emeléshez kért fájl neve.
- Publisher – Annak a közzétevőnek a neve, amely aláírta a jogosultságszint-emelésre kért fájlt. A közzétevő neve egy hivatkozás, amely lekéri a fájl tanúsítványláncát letöltésre.
- Eszköz – Az az eszköz, amelyről a jogosultságszint-emelést kérték. Az eszköz neve egy hivatkozás, amely megnyitja az eszközobjektumot a Felügyeleti központban.
- Intune-kompatibilis – Az eszköz Intune-megfelelőségi állapota.
Kérelem részletei:
- Állapot – A kérés állapota. A kérések Függőben állapotban kezdődnek, és a rendszergazda jóváhagyhatja vagy elutasíthatja .
- By – Annak a rendszergazdának a fiókja, aki jóváhagyta vagy elutasította a kérelmet.
- Utolsó módosítás – A kérelembejegyzés legutóbbi módosításának időpontja.
- Felhasználó indoklása – A felhasználó által a jogosultságszint-emelési kérelemhez megadott indoklás.
- Jóváhagyás lejárata – A jóváhagyás lejáratának időpontja. A lejárati idő eléréséig a jóváhagyott fájl jogosultságszint-emelése engedélyezett.
- Rendszergazdai ok – A rendszergazda által a jóváhagyás vagy a megtagadás befejezésekor megadott indoklás.
Fájlinformációk – A jóváhagyásra kért fájl metaadatainak jellemzői.
Miután egy rendszergazda áttekint egy kérelmet, kiválaszthatja a Jóváhagyás vagy a Megtagadás lehetőséget. Mindkét kijelölésnél megjelenik az indoklási párbeszédpanel, ahol részletes információkat adhatnak meg az okokkal kapcsolatban a döntésükről. Az ok megadása nem kötelező. Az alábbiakban a jóváhagyási párbeszédpanel jelenik meg:
Jóváhagyások esetén – A rendszergazda befejezi az indoklási párbeszédpanelt, majd az Igen lehetőséget választja a kérelem jóváhagyásához. Az Intune elküldi a jóváhagyást az eszköznek, és a végfelhasználó egy bejelentési értesítésen keresztül értesítést kap arról, hogy képes megemelni az alkalmazást.
A végfelhasználó most már elvégezheti a jogosultságszint-emelt szintű tevékenységet a fájl Futtatás emelt szintű hozzáféréssel parancsának jobb gombbal kattintva elérhető menüjével.
Elutasítás esetén – A rendszergazda befejezi az indoklási párbeszédpanelt, majd az Igen lehetőséget választva elutasítja a kérést.
Ha egy rendszergazda tagadja meg a jóváhagyási kérelmet, a jogosultságszint-emelési kérelem nem lesz jóváhagyva. Az Intune nem küld választ az eszközre, és a felhasználó nem kap értesítést.
Megjegyzés:
A jogosultságszint-emelési kérések tartalmazzák a jogosultságszint-emelési szabály létrehozásához szükséges összes információt, beleértve a teljes tanúsítványláncot is. A támogatott jogosultságszint-emelések a jogosultságszint-emelési kérelmekhez hasonlóan a jogosultságszint-emelési adatokban is megjelennek.