Jogosultságszint-emelési szabályok létrehozása Végponti jogosultságkezelés

Megjegyzés:

Ez a képesség Intune bővítményként érhető el. További információ: A Intune Suite bővítmény képességeinek használata.

A Microsoft Intune Végponti jogosultságkezelés (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatnak, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. További információt az EPM áttekintésében talál.

Érintett szolgáltatás:

• A Windows

A jogosultságszint-emelési szabályok házirendjei lehetővé teszik, hogy Végponti jogosultságkezelés (EPM) azonosítsa az adott fájlokat és szkripteket, és végrehajtsa a kapcsolódó jogosultságszint-emelési műveletet. A jogosultságszint-emelési szabályok érvénybe léptetéséhez az eszközöknek rendelkezniük kell egy olyan jogosultságszint-emelési beállítási szabályzattal , amely engedélyezi az EPM-et. További információ: EPM-jogosultságszint-emelési beállítások.

Megjegyzés:

Emelési szabályokra vonatkozó szabályzatonként legfeljebb 100 jogosultságszint-emelési szabályt adhat hozzá Microsoft Intune Felügyeleti központból.

A cikkben található információk mellett a jogosultságszint-emelési szabályok kezelésekor fontos biztonsági javaslatokat is figyelembe kell vennie.

Tudnivalók a jogosultságszint-emelési szabályok szabályzatáról

A jogosultságszint-emelési szabályokkal kezelhetők az egyes fájlok azonosítása és a jogosultságszint-emelési kérelmek kezelése. Minden jogosultságszint-emelési szabályszabály egy vagy több jogosultságszint-emelési szabályt tartalmaz. A jogosultságszint-emelési szabályokkal konfigurálhatja a felügyelt fájl részleteit, és emelt szintűre vonatkozó követelményeket.

A következő fájltípusok támogatottak:

• Végrehajtható fájlok vagy .exe.msi kiterjesztéssel.
• PowerShell-szkriptek a .ps1 bővítménnyel.

Minden jogosultságszint-emelési szabály az EPM-et az alábbiakra utasítja:

• Azonosítsa a fájlt a következővel:

  • Fájlnév (a kiterjesztést is beleértve). A szabály olyan opcionális feltételeket is támogat, mint a build minimális verziója, a terméknév vagy a belső név. A nem kötelező feltételek a fájl további ellenőrzésére szolgálnak a jogosultságszint-emelés megkísérlésekor. A fájlnév (a kiterjesztések kivételével) tartalmazhat változókat egyetlen karakterhez kérdőjel ? vagy sztring használatával csillag használatával *.
  • Tanúsítvány. A tanúsítványok közvetlenül egy szabályhoz vagy egy újrafelhasználható beállításcsoport használatával adhatók hozzá. A tanúsítványoknak megbízhatónak és érvényesnek kell lenniük. Javasoljuk az újrafelhasználható beállításcsoportok használatát, mivel ezek hatékonyabbak lehetnek, és egyszerűbbé tehetik a tanúsítvány jövőbeli módosítását. További információ: Újrafelhasználható beállításcsoportok.

• Ellenőrizze a fájlt:

  • Fájlkivonat. Az automatikus szabályokhoz fájlkivonatra van szükség. A felhasználó által megerősített vagy aktuális felhasználóként emelt szintű jogosultságszinttel rendelkező szabályok esetében választhat, hogy tanúsítványt vagy fájlkivonatot használ, amely esetben a fájlkivonat nem kötelező.
  • Tanúsítvány. A fájltulajdonságok a fájl aláírásához használt közzétevői tanúsítvány mellett érvényesíthetők. A tanúsítványok érvényesítése Olyan Windows API-kkal történik, amelyek ellenőrzik az attribútumokat, például a megbízhatóságot, a tanúsítvány lejáratát és a visszavonás állapotát.
  • Fájltulajdonságok. A szabályokban megadott egyéb tulajdonságoknak egyeznie kell.

• Konfigurálja a fájlok jogosultságszint-emelési típusát. A jogosultságszint-emelési típus azonosítja, hogy mi történik, ha jogosultságszint-emelési kérést intéznek a fájlhoz. Ez a beállítás alapértelmezés szerint a Felhasználó által megerősítve értékre van állítva. Az Aktuális felhasználóként való jogosultságszint-emelés kivételével az EPM egy virtuális fiókot használ a folyamatok emeléséhez. Ez elkülöníti az emelt szintű műveleteket a felhasználó profiljától, csökkentve a felhasználóspecifikus adatoknak való kitettséget, és csökkenti a jogosultságok eszkalálásának kockázatát.

  • Megtagadás: A megtagadási szabályok megakadályozzák, hogy az azonosított fájl emelt szintű környezetben fusson.

  • Támogatás jóváhagyva: A rendszergazdának jóvá kell hagynia a támogatáshoz szükséges jogosultságszint-emelési kérést , mielőtt az alkalmazás emelt szintű jogosultságokkal futtatható.

  • A felhasználó megerősítette: A jogosultságszint-emelést visszaigazoló felhasználónak mindig meg kell adnia egy megerősítési kérést a fájl futtatásához. A megerősítés csak úgy konfigurálható, hogy felhasználói hitelesítést, üzleti indoklást (a jelentéskészítésben látható) vagy mindkettőt igényeljen.

  • Jogosultságszint emelése aktuális felhasználóként: Az ilyen típusú jogosultságszint-emelt szintű folyamat a bejelentkezett felhasználó saját fiókja alatt fut, megőrizve az aktív felhasználói profilra támaszkodó eszközökkel és telepítőkkel való kompatibilitást. Ehhez a felhasználónak meg kell adnia a Windows-hitelesítéshez szükséges hitelesítő adatait. Ez megőrzi a felhasználó profilútvonalait, környezeti változóit és személyre szabott beállításait. Mivel az emelt szintű folyamat ugyanazzal a felhasználói identitással rendelkezik a jogosultságszint emelése előtt és után, a naplózási naplók konzisztensek és pontosak maradnak.

    Mivel azonban az emelt szintű folyamat örökli a felhasználó teljes környezetét, ez a mód szélesebb körű támadási felületet vezet be, és csökkenti a felhasználói adatoktól való elkülönítést.

    Főbb szempontok:

    • Kompatibilitási igény: Ezt a módot csak akkor használja, ha a virtuális fiók emelése alkalmazáshibákat okoz.
    • Hatókör szigorúan: A kockázat csökkentése érdekében korlátozza a jogosultságszint-emelési szabályokat a megbízható bináris fájlokra és elérési utakra.
    • Biztonsági kompromisszum: Ismerje meg, hogy ez a mód növeli a felhasználóspecifikus adatoknak való kitettséget.

    Tipp

    Ha a kompatibilitás nem probléma, inkább olyan módszert válasszon, amely a virtuális fiók magasabb szintű jogosultságszint-emelését használja a nagyobb biztonság érdekében.

  • Automatikus: Az automatikus jogosultságszint-emelés láthatatlanul történik a felhasználó számára. Nincs rákérdezés, és nincs jele annak, hogy a fájl emelt szintű környezetben fut.

• A gyermekfolyamatok viselkedésének kezelése. Szabályozhatja, hogy a jogosultságszint-emelt szintű szabályok hogyan vonatkozzanak az emelt szintű szülőfolyamat által indított gyermekfolyamatokra.

  • Szabályszint emelésének megkövetelése – A gyermekfolyamatoknak meg kell felelniük a saját szabálykövetelményeiknek, mielőtt emelt szintű futtatásukra sor kerülhetnének. A gyermekfolyamat a szabálydefiníciónak megfelelően emel, beleértve a megtagadási szabályokat is.

  • Az összes megtagadása – Minden gyermekfolyamat emelt szintű környezet nélkül indul el.

  • Gyermekfolyamatok futtatásának engedélyezése emelt szintűre – Az emelt szintű szülő által indított gyermekfolyamatok automatikusan emelt szintűek lesznek. Ha ezt a beállítást választja, a gyermekfolyamat szabályértékelése kimarad, beleértve a megtagadási szabályokat is. Ez azt jelenti, hogy a gyermekfolyamatok akkor is futtathatók emelt szintűek, ha az adott folyamathoz explicit megtagadási szabály létezik.

  Ajánlott eljárás: Kerülje a túl széles körű jogosultságszint-emelési szabályok létrehozását olyan alkalmazásokhoz, amelyek más folyamatokat (például parancshéjakat vagy szkriptmotorokat) indíthatnak el a nem kívánt jogosultságszint-emelés megelőzése érdekében.

Megjegyzés:

További információ az erős szabályok létrehozásáról: Szabályok definiálása Végponti jogosultságkezelés.

Az EpmTools PowerShell-modul PowerShell-parancsmagja is használhatóGet-FileAttributes. Ez a parancsmag képes lekérni egy .exe fájl fájlattribútumait, és kinyerni annak közzétevői és ca-tanúsítványait egy megadott helyre, amellyel feltöltheti a jogosultságszint-emelési szabály tulajdonságait egy adott alkalmazáshoz.

Figyelem!

Javasoljuk, hogy az automatikus jogosultságszint-emelést csak takarékosan használja, és csak az üzleti szempontból kritikus fontosságú megbízható fájlokhoz. A végfelhasználók az alkalmazás minden indításakor automatikusan emelik ezeket az alkalmazásokat.

Szabályok meghatározása a Végponti jogosultságkezelés

Végponti jogosultságkezelés szabályok két alapvető elemből állnak: az észlelésből és a jogosultságszint-emelési műveletből.

Az észlelések az alkalmazások vagy bináris fájlok azonosítására használt attribútumok halmazaként vannak definiálva. Ezek az attribútumok közé tartozik a fájlnév, a fájlverzió és az aláírás tulajdonságai.

A jogosultságszint-emelési műveletek az alkalmazás vagy bináris észlelése után keletkező jogosultságszint-emelések.

Az észlelések meghatározásakor fontos, hogy azok a lehető legleíróbbak legyenek. Ha leíró jellegű szeretne lenni, használjon erős attribútumokat vagy több attribútumot az észlelés erősségének növeléséhez. Az észlelések meghatározásakor az a cél, hogy megszüntesse azt a képességet, hogy több fájl is ugyanabba a szabályba kerüljön, kivéve, ha ez kifejezetten a szándék.

Fájlkivonat-szabályok

A fájlkivonatszabályok a legerősebb szabályok, amelyek Végponti jogosultságkezelés hozhatók létre. Ezek a szabályok erősen ajánlottak , hogy a megemelni kívánt fájl legyen az emelt szintű fájl.

A fájlkivonat a közvetlen bináris fájlból a Get-Filehash PowerShell-módszerrel vagy közvetlenül a Végponti jogosultságkezelés jelentéséből gyűjthető össze.

Tanúsítványszabályok

A tanúsítványszabályok erős attribútumtípusok, és más attribútumokkal kell párosítani. Ha egy tanúsítványt olyan attribútumokkal párosít, mint a terméknév, a belső név és a leírás, jelentősen javítja a szabály biztonságát. Ezeket az attribútumokat fájlaláírás védi, és gyakran az aláírt fájlra vonatkozó konkrétumokat jelez.

Figyelem!

Nem ajánlott csak tanúsítványt és fájlnevet használni a fájlok azonosításához. Bármely általános jogú felhasználó , aki hozzáféréssel rendelkezik egy olyan könyvtárhoz, ahol a fájl található, módosíthatja a fájl nevét. Ez a probléma nem feltétlenül érinti az írásvédett könyvtárban található fájlokat.

Fájlnevet tartalmazó szabályok

A fájlnév olyan attribútum, amely egy emelt szintű alkalmazás észlelésére használható. A fájlnevek azonban könnyen módosíthatók, és nem képezik a közzétevői tanúsítvány által aláírt kivonat vagy attribútumok részét.

Ez azt jelenti, hogy a fájlnevek nagyon érzékenyek a módosításra. Files nem szándékosan olyan tanúsítvánnyal írta alá a célcsoportot, amelyet megbízhatónak talál, átnevezhető észlelési és emelt szintű névre.

Fontos

Mindig győződjön meg arról, hogy a fájlnevet tartalmazó szabályok más attribútumokat is tartalmaznak, amelyek erős helyességi feltételt biztosítanak a fájl identitásához. Az olyan attribútumok, mint a fájlkivonat vagy a fájlaláírásban szereplő tulajdonságok (például a terméknév) jól jelzik, hogy a kívánt fájl valószínűleg emelt szintű.

A PowerShell által gyűjtött attribútumokon alapuló szabályok

A pontosabb fájlészlelési szabályok létrehozásához használhatja a Get-FileAttributes PowerShell-parancsmagot. Az EpmTools PowerShell-modulban elérhető Get-FileAttributes lekérheti a fájl attribútumait és a fájl tanúsítványláncának anyagát, és a kimenettel feltöltheti egy adott alkalmazás jogosultságszint-emelési szabályának tulajdonságait.

Példamodul importálási lépései és kimenete Get-FileAttributes Windows 11 10.0.22621.2506-os verzióján futtatott msinfo32.exe:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Megjegyzés:

A msinfo32.exe tanúsítványlánca a parancs példájában felsorolt C:\CertsForMsInfo könyvtár kimenete.

További információ: EpmTools PowerShell-modul.

Gyermekfolyamatok viselkedésének szabályozása

A gyermekfolyamat-viselkedés lehetővé teszi a környezet szabályozását, amikor egy EPM-et emelt szintű folyamat létrehoz egy gyermekfolyamatot. Ez a viselkedés lehetővé teszi azokat a folyamatokat, amelyek automatikusan delegálják a szülőfolyamat környezetét.

A Windows automatikusan delegálja a szülőkörnyezetet egy gyermeknek, ezért különös figyelmet kell fordítani az engedélyezett alkalmazások viselkedésének szabályozására. Győződjön meg arról, hogy kiértékeli, mi szükséges a jogosultságszint-emelési szabályok létrehozásakor, és implementálja a minimális jogosultság elvét.

Megjegyzés:

A gyermekfolyamat viselkedésének módosítása kompatibilitási problémákat tapasztalhat bizonyos alkalmazásokkal, amelyek az alapértelmezett Windows-viselkedést várják. Győződjön meg arról, hogy alaposan teszteli az alkalmazásokat a gyermekfolyamat viselkedésének manipulálásakor.

A Végponti jogosultságkezelés használatával létrehozott szabályok üzembe helyezése

Végponti jogosultságkezelés szabályok úgy vannak üzembe helyezve, mint bármely más szabályzat a Microsoft Intune. Ez azt jelenti, hogy a szabályok üzembe helyezhetők felhasználókra vagy eszközökre, és a szabályok egyesítve lesznek az ügyféloldalon, és futásidőben lesznek kiválasztva. Az ütközéseket a szabályzatütközés viselkedése alapján oldja fel a rendszer.

Az eszközön üzembe helyezett szabályok az adott eszközt használó összes felhasználóra vonatkoznak. A felhasználóra telepített szabályok csak az adott felhasználóra vonatkoznak minden egyes használt eszközön. Jogosultságszint-emelési művelet esetén a felhasználóra telepített szabályok elsőbbséget élveznek az eszközre telepített szabályokkal szemben. Ez a viselkedés lehetővé teszi egy szabálykészlet telepítését egy eszköz összes felhasználója számára, és egy megengedőbb szabálykészletet egy adott felhasználóra (például egy támogatási rendszergazdára). Ez lehetővé tenné a támogatási rendszergazda számára, hogy az eszközre való bejelentkezéskor az alkalmazások szélesebb körét emelje.

Az alapértelmezett jogosultságszint-emelési viselkedés csak akkor használatos, ha nem található szabályegyeztetés. Az alapértelmezett jogosultságszint-emelési viselkedés csak akkor érvényes, ha a jogosultságszint-emelést a Futtatás emelt szintű hozzáféréssel jobb gombbal menü aktiválja.

Jogosultságszint-emelési szabályokra vonatkozó szabályzat létrehozása

Jogosultságszint-emelési szabályokra vonatkozó szabályzatot telepíthet felhasználókra vagy eszközökre, hogy egy vagy több szabályt telepítsen az Végponti jogosultságkezelés által jogosultságszint-emeléshez kezelt fájlokra. A szabályzathoz hozzáadott összes szabály:

• Azonosít egy fájlt fájlnév és fájlkiterjesztés alapján, amelynek jogosultságszint-emelési kéréseit kezelni szeretné.
• Tartalmazhat tanúsítványt a fájl integritásának ellenőrzéséhez. Hozzáadhat egy újrafelhasználható csoportot is, amely egy tanúsítványt tartalmaz, amelyet aztán egy vagy több szabvánnyal vagy szabályzattal használ.
• Tartalmazhat egy vagy több manuálisan hozzáadott fájlargumentumot vagy parancssori kapcsolót. Amikor fájlargumentumokat ad hozzá egy szabályhoz, az EPM csak a megadott parancssorokat tartalmazó kérések fájlszint-emelését engedélyezi. Ha egy megadott parancssor nem része a fájlszint-emelési kérésnek, az EPM ezt a kérést tagadja meg.
• Megadja, hogy a fájl jogosultságszint-emelési típusa automatikus (csendes), vagy felhasználói megerősítést igényel. A felhasználó megerősítésével megkövetelheti az érvényesítést egy hitelesítő adat kérésével, üzleti indoklással vagy mindkettővel.

Megjegyzés:

A házirenden kívül az eszközökhöz windowsos jogosultságszint-emelési beállításokat is hozzá kell rendelni, amely lehetővé teszi a Végponti jogosultságkezelés.

Az alábbi módszerek egyikével hozhat létre új jogosultságszint-emelési szabályokat, amelyeket a rendszer hozzáad a jogosultságszint-emelési szabályok szabályzatához:

• Jogosultságszint-emelési szabályok automatikus konfigurálása – Ezzel a módszerrel időt takaríthat meg jogosultságszint-emelési szabály létrehozásakor, ha fájladatokat ad hozzá a jelentéskészítésből. A szabályok a Jogosultságszint-emelési jelentéssel vagy a támogatás által jóváhagyott jogosultságszint-emelési kérelmek rekordjából hozhatók létre.

  Ezzel a módszerrel a következőt kell használnia:

  • Válassza ki azt a fájlt, amelyhez jogosultságszint-emelési szabályt szeretne létrehozni a Jogosultságszint-emelési jelentésből, vagy támogassa a jóváhagyott jogosultságszint-emelési kérést.
  • Adja hozzá az új jogosultságszint-emelési szabályt egy meglévő jogosultságszint-emelési szabályházirendhez, vagy hozzon létre egy új jogosultságszint-emelési szabályházirendet, amely tartalmazza az új szabályt.
    • Ha hozzáadja egy meglévő szabályzathoz, az új szabály azonnal elérhető lesz a hozzárendelt csoportok szabályzatlistájában.
    • Új szabályzat létrehozásakor szerkesztenie kell a szabályzatot a csoportok hozzárendeléséhez, mielőtt az elérhetővé válik.

• Jogosultságszint-emelési szabályok manuális konfigurálása – Ehhez a módszerhez azonosítania kell az észleléshez használni kívánt fájladatokat, és manuálisan kell megadnia őket a szabálylétrehozási munkafolyamat részeként. További információ az észlelési feltételekről: Szabályok meghatározása a Végponti jogosultságkezelés való használatra.

  Ezzel a módszerrel a következőt kell használnia:

  • Manuálisan határozza meg a használni kívánt fájladatokat, majd adja hozzá őket a jogosultságszint-emelési szabályhoz a fájlazonosításhoz.
  • Konfigurálja a szabályzat minden aspektusát a szabályzat létrehozása során, beleértve a szabályzat csoportokhoz rendelését is.
  • Hozzáadhat egy vagy több olyan fájlargumentumot, amelyeknek a jogosultságszint-emelési kérelem részét kell képezniük ahhoz, hogy az EPM engedélyezi a fájlszint-emelést.

Tipp

Az automatikusan konfigurált és a manuálisan konfigurált jogosultságszint-emelési szabályok esetében javasoljuk, hogy olyan fájlelérési utat használjon, amely olyan helyre mutat, amelyet a standard felhasználók nem tudnak módosítani.

Jogosultságszint-emelési szabályok automatikus konfigurálása a Windows jogosultságszint-emelési szabályainak szabályzatához

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság>Végponti jogosultságkezelés. A jogosultságszint-emelési szabályhoz használandó fájl kiválasztásához válasszon az alábbi elérési utak közül:

   Kiindulás jelentésből:

   1. Válassza a Jelentések lapot, majd a Jogosultságszint-emelési jelentés csempét. Keresse meg azt a fájlt, amelyhez szabályt szeretne létrehozni a Fájl oszlopban.
   2. Válassza ki a fájl csatolt nevét a fájlok Jogosultságszint-emelési részletek paneljének megnyitásához.

   Kiindulás a támogatás által jóváhagyott jogosultságszint-emelési kérelemből:

   1. Válassza a Jogosultságszint-emelési kérelem lapot.

   2. A Fájl oszlopban válassza ki a jogosultságszint-emelési szabályhoz használni kívánt fájlt, amely megnyitja a fájlok Jogosultságszint-emelés részletei panelt.

      A jogosultságszint-emelési kérelem állapota nem számít. Használhat függőben lévő vagy korábban jóváhagyott vagy elutasított kérést.

2. A Jogosultságszint-emelés részletei panelen tekintse át a fájl részleteit. Ezt az információt a jogosultságszint-emelési szabály a megfelelő fájl azonosítására használja. Ha készen áll, válassza a Szabály létrehozása a fájladatokkal lehetőséget.

   

3. Válasszon egy szabályzatbeállítást a létrehozott új jogosultságszint-emelési szabályhoz:

   Hozzon létre egy új szabályzatot: Ez a beállítás létrehoz egy új szabályzatot, amely tartalmaz egy jogosultságszint-emelési szabályt a kiválasztott fájlhoz.

   1. A szabályhoz konfigurálja a Típus és gyermek folyamat viselkedését, majd kattintson az OK gombra a szabályzat létrehozásához.
   2. Amikor a rendszer kéri, adja meg az új szabályzat házirendnevét , és erősítse meg a létrehozását.
   3. A szabályzat létrehozása után szerkesztheti a szabályzatot, és hozzárendelheti, és bármilyen más módosítást végezhet.

   Hozzáadás meglévő szabályzathoz: Ezzel a lehetőséggel használja a legördülő listát, és válasszon ki egy meglévő jogosultságszint-emelési szabályzatot, amelyhez az új jogosultságszint-emelési szabály hozzá van adva.

   1. A szabályhoz konfigurálja a jogosultságszint-emelési típus és a gyermekfolyamat viselkedését, majd kattintson az OK gombra. A szabályzat frissül az új szabmánnyal.
   2. Miután hozzáadta a szabályt a szabályzathoz, szerkesztheti a szabályzatot, hogy hozzáférjen a szabályhoz, majd szükség esetén módosítsa úgy, hogy további konfigurációkat hozzon létre.

   Ugyanazt a fájlelérési utat kell megadnia, mint ez a jogosultságszint-emelés: Ha bejelöli ezt a jelölőnégyzetet, a szabály Fájlelérési útja mezője a jelentésben látható fájlelérési útra van állítva. Ha nincs bejelölve a jelölőnégyzet, az elérési út üres marad.

   Tipp

   Bár nem kötelező, javasoljuk, hogy olyan fájlelérési utat használjon, amely olyan helyre mutat, amelyet a standard felhasználók nem tudnak módosítani.

   

Jogosultságszint-emelési szabályok manuális konfigurálása Windows jogosultságszint-emelési szabályok szabályzatához

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság> elemre Végponti jogosultságkezelés> válassza a Szabályzatok lapot>, majd a Házirend létrehozása lehetőséget. Állítsa a Platform beállítást Windows értékre, profiltWindows jogosultságszint-emelési szabályokra, majd válassza a Létrehozás lehetőséget.

2. Az Alapok területen adja meg a következő tulajdonságokat:

   • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
   • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

3. A Konfigurációs beállítások lapon adjon hozzá egy szabályt minden fájlhoz, amelyet ez a szabályzat kezel. Amikor új szabályzatot hoz létre, a szabályzat elindul, és tartalmaz egy üres szabályt, amelynek jogosultságszint-emelési típusa Felhasználó megerősítve , és nincs szabálynév. Először konfigurálja ezt a szabályt, majd később a Hozzáadás lehetőséget választva további szabályokat adhat hozzá ehhez a szabályzathoz. Minden hozzáadott új szabály rendelkezik egy felhasználó által megerősített jogosultságszint-emelési típussal, amely a szabály konfigurálásakor módosítható.

   

   Szabály konfigurálásához válassza a Példány szerkesztése lehetőséget a Szabály tulajdonságai lap megnyitásához, majd konfigurálja a következőket:

   

   • Szabály neve: Adjon meg egy leíró nevet a szabálynak. Nevezze el a szabályokat, hogy később könnyen azonosíthassa őket.
   • Leírás (nem kötelező): Adja meg a profil leírását.

   A jogosultságszint-emelési feltételek olyan feltételek, amelyek meghatározzák a fájlok futtatásának módját, és a felhasználóérvényesítéseket, amelyeknek teljesülniük kell ahhoz, hogy a szabály hatálya alatt lévő fájl futtatható legyen.

   • Jogosultságszint-emelés típusa: Ez a beállítás alapértelmezés szerint a Felhasználó által megerősített értékre van állítva, amely a leggyakrabban használt jogosultságszint-emelési típus, mivel engedélyezi a jogosultságszint-emelést, de felhasználói visszaigazolást igényel.

     • Megtagadás: A megtagadási szabály megakadályozza, hogy az azonosított fájl emelt szintű környezetben fusson. A következő viselkedések érvényesek:

       • A megtagadási szabályok ugyanazokat a konfigurációs beállításokat támogatják, mint a többi jogosultságszint-emelési típus, kivéve a gyermekfolyamat-beállításokat. A gyermekfolyamat-beállítások ebben a szabályban még akkor sem használhatók, ha konfigurálva vannak.
       • Ha egy felhasználó megtagadási szabálynak megfelelő fájlt próbál megemelni, a jogosultságszint-emelés meghiúsul. Az EPM egy üzenetet jelenít meg, amely jelzi, hogy az alkalmazás nem futtatható rendszergazdaként. Ha a felhasználóhoz olyan szabályt is hozzárendelnek, amely lehetővé teszi ugyanannak a fájlnak a jogosultságszint-emelését, a megtagadási szabály elsőbbséget élvez.
       • Az elutasított jogosultságszint-emelések elutasítottként jelennek meg a jogosultságszint-emelési jelentésben, hasonlóan az elutasított támogatás által jóváhagyott kérelmekhez.
       • Az EPM jelenleg nem támogatja a kiértékelési jelentés megtagadási szabályának automatikus konfigurálását.

     • Támogatás jóváhagyva: Ez a jogosultságszint-emelési típus megköveteli, hogy a rendszergazda jóváhagyjon egy jogosultságszint-emelési kérelmet. További információ: A jóváhagyott jogosultságszint-emelési kérelmek támogatása.

       Fontos

       A fájlok támogatott jogosultságszint-emelésének használatához a további engedélyekkel rendelkező rendszergazdáknak felül kell vizsgálniuk és jóvá kell hagyniuk a fájlszint-emelési kéréseket, mielőtt a fájl rendszergazdai engedélyekkel rendelkezik az eszközön. További információ a támogatott jogosultságszint-emelési típus használatáról: A jóváhagyott fájlszint-emelések támogatása Végponti jogosultságkezelés.

     • Felhasználó megerősítve: Leggyakrabban jogosultságszint-emelést igénylő szabályokkal rendelkező fájlokhoz használják, mivel lehetővé teszi a jogosultságszint-emelést, de felhasználói visszaigazolást igényel. Egy fájl futtatásakor a felhasználó egy egyszerű üzenetben megerősíti a fájl futtatására vonatkozó szándékát. A szabály az Ellenőrzés legördülő listából elérhető egyéb kéréseket is tartalmazhat:

       • Üzleti indoklás: A felhasználónak meg kell adnia a fájl futtatásának indoklását. A bejegyzéshez nincs szükség formátumra. A rendszer menti a felhasználói bemenetet, és naplókon keresztül tekintheti át, ha a jelentéskészítési hatókör tartalmazza a végpontszint-emelések gyűjteményét.
       • Windows-hitelesítés: Ehhez a beállításhoz a felhasználónak a szervezeti hitelesítő adataival kell hitelesítenie magát.

     • Automatikus: Ez a jogosultságszint-emelt szintű típus automatikusan emelt szintű engedélyekkel futtatja a fájlt. Az automatikus jogosultságszint-emelés átlátható a felhasználó számára anélkül, hogy megerősítést vagy indoklást vagy hitelesítést kér a felhasználótól.

       Figyelem!

       Csak a kivételek és a megbízható fájlok automatikus jogosultságszint-emelése használható. Ezek a fájlok felhasználói beavatkozás nélkül automatikusan megemelkednek. A nem jól definiált szabályok lehetővé tehetik a nem jóváhagyott alkalmazások megemelkedhetnek. Az erős szabályok létrehozásával kapcsolatos további információkért tekintse meg a szabályok létrehozására vonatkozó útmutatót.

   • Gyermekfolyamat viselkedése: Alapértelmezés szerint ez a beállítás a Szabály megkövetelése a szint emeléséhez beállításra van állítva, amely megköveteli, hogy a gyermekfolyamat megegyezik az azt létrehozó folyamattal. További lehetőségek:

     • Az összes gyermekfolyamat emelt szintű futtatásának engedélyezése: Ezt a beállítást körültekintően kell használni, mivel lehetővé teszi, hogy az alkalmazások feltétel nélkül hozzanak létre gyermekfolyamatokat.
     • Az összes elutasítása: Ez a konfiguráció megakadályozza a gyermekfolyamatok létrehozását.

   A fájlinformációkban adhatja meg azokat a részleteket, amelyek azonosítják a szabály által érintett fájlokat.

   • Fájlnév: Adja meg a fájl nevét és kiterjesztését. Például: myapplication.exe. A fájlnévben is használhat változót .

   • Fájl elérési útja (nem kötelező): Adja meg a fájl helyét. Ha a fájl bármely helyről futtatható, vagy ismeretlen, ezt üresen hagyhatja. Változót is használhat.

     Tipp

     Bár nem kötelező, javasoljuk, hogy olyan fájlelérési utat használjon, amely olyan helyre mutat, amelyet a standard felhasználók nem tudnak módosítani.

   • Aláírás forrása: Válasszon az alábbi lehetőségek közül:

     • Használjon tanúsítványfájlt az újrafelhasználható beállításokban (alapértelmezett): Ez a beállítás olyan tanúsítványfájlt használ, amelyet korábban hozzáadtak a Végponti jogosultságkezelés újrafelhasználható beállítások csoportjához. A beállítás használatához létre kell hoznia egy újrafelhasználható beállításcsoportot .

       A tanúsítvány azonosításához válassza a Tanúsítvány hozzáadása vagy eltávolítása lehetőséget, majd válassza ki a megfelelő tanúsítványt tartalmazó újrafelhasználható csoportot. Ezután adja meg a Közzétevő vagy a Hitelesítésszolgáltatótanúsítványtípusát.

     • Tanúsítványfájl feltöltése: Adjon hozzá egy tanúsítványfájlt közvetlenül a jogosultságszint-emelési szabályhoz. A Fájlfeltöltés beállításnál adjon meg egy .cer fájlt, amely képes ellenőrizni annak a fájlnak az integritását, amelyekre ez a szabály vonatkozik. Ezután adja meg a Közzétevő vagy a Hitelesítésszolgáltatótanúsítványtípusát.

     • Nincs konfigurálva: Akkor használja ezt a beállítást, ha nem szeretne tanúsítványt használni a fájl integritásának ellenőrzéséhez. Ha nem használ tanúsítványt, meg kell adnia egy fájlkivonatot.

   • Fájlkivonat: A fájlkivonatra akkor van szükség, ha az Aláírás forrása nincs konfigurálva értékre van állítva, és nem kötelező, ha tanúsítvány használatára van beállítva.

   • Minimális verzió: (Nem kötelező) Az x.x.x.x formátummal adja meg a szabály által támogatott minimális fájlverziót.

   • Fájl leírása: (Nem kötelező) Adja meg a fájl leírását.

   • Terméknév: (Nem kötelező) Adja meg annak a terméknek a nevét, amelyből a fájl származik.

   • Belső név: (Nem kötelező) Adja meg a fájl belső nevét.

   A szabálykonfiguráció mentéséhez válassza a Mentés lehetőséget. Ezután hozzáadhat további szabályokat. Miután hozzáadta a szabályzathoz szükséges összes szabályt, válassza a Tovább gombot a folytatáshoz.

4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése. Válassza a Tovább gombot.

6. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Változók használata jogosultságszint-emelési szabályokban

Ha manuálisan konfigurálja a fájlszint-emelési szabályokat, helyettesítő karaktereket használhat a következő konfigurációkhoz, amelyek a jogosultságszint-emelési szabályházirend Szabály tulajdonságai lapján érhetők el:

• Fájlnév: A Fájlnév mező konfigurálásakor a helyettesítő karakterek a fájlnév részeként támogatottak.
• Mappa elérési útja: A Mappa elérési útja mező konfigurálásakor a program támogatja a helyettesítő karaktereket a mappa elérési útjának részeként.

Megjegyzés:

Az automatikus jogosultságszint-emelési szabályok nem támogatják a helyettesítő karaktereket.

A helyettesítő karakterek használata rugalmasságot biztosít a szabályokban az olyan megbízható fájlok támogatásához, amelyek neve gyakran módosulhat a későbbi változatokban, vagy amelyek esetében a fájl elérési útja is megváltozhat.

A következő helyettesítő karakterek támogatottak:

• Kérdőjel ? – A kérdőjelek a fájlnévben szereplő egyes karaktereket helyettesítik.
• * Csillag – A csillag egy fájlnévben szereplő karaktersorozatot helyettesít.

Az alábbiakban példákat láthat a támogatott helyettesítő karakterek használatára:

• A Visual Studio nevű telepítőfájljának VSCodeSetup-arm64-1.99.2.exefájlneve:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Ugyanazon fájl elérési útja , amely általában a következő helyen C:\Users\<username>\Downloads\található:

  • C:\Users\*\Downloads\

Tipp

Ha változókat használ egy fájlnévben, ne használjon ütközést okozó szabálytulajdonságokat. A Fájlkivonat például csak egy fájlnak felel meg, így a helyettesítő karakterek redundánsak lehetnek.

Fájlargumentumok használata jogosultságszint-emelési szabályokhoz

A fájlszint-emelési szabályok is korlátozhatók, ha adott argumentumokkal engedélyezik a jogosultságszint-emelést.

A dsregcmd például hasznos lehet egy eszköz állapotának vizsgálatához Microsoft Entra ID, de emelést igényel. A fájlok vizsgálathoz való használatának támogatásához konfigurálhatja a szabályt a dsregcmd argumentumainak listájával, amely tartalmazza a /status, /listaccounts stb. kapcsolóit. Ha azonban meg szeretné akadályozni a romboló műveletet, például egy eszköz regisztrációja törlését, zárja ki az argumentumokat, például a /leave argumentumokat. Ezzel a konfigurációval a szabály csak akkor engedélyezi a jogosultságszint-emelést, ha az /status vagy a /listaccount argumentumot használja. A dsregcmd a /leave kapcsolóval, amely eltávolítja az eszközt a Microsoft Entra ID, megtagadva.

Ha egy vagy több argumentumot szeretne hozzáadni egy jogosultságszint-emelési szabályhoz, állítsa az Argumentumok korlátozása beállítást Engedélyezési listára. Válassza a Hozzáadás lehetőséget, és konfigurálja az engedélyezett parancssori beállításokat. Több argumentum hozzáadásával több parancssort is megadhat, amelyeket a jogosultságszint-emelési kérések támogatnak.

Fontos

A fájlargumentumok szempontjai:

• Az EPM fájlargumentumlistákat használ engedélyezési listaként. Ha konfigurálva van, az EPM akkor engedélyezi a jogosultságszint-emelést, ha nem használ argumentumokat, vagy csak a megadott argumentumokat használja. A jogosultságszint-emelés le van tiltva, ha olyan argumentumokat használ, amelyek nem találhatók meg a megadott argumentumokban.
• A fájlargumentumok megkülönböztetik a kis- és nagybetűket; a felhasználóknak pontosan meg kell egyeznie az esetnek a szabályokban meghatározottak szerint.
• Ne definiáljon titkos kulcsokat fájlargumentumként.

Újrafelhasználható beállításcsoportok

Végponti jogosultságkezelés újrafelhasználható beállításcsoportokkal kezeli azokat a tanúsítványokat, amelyek Végponti jogosultságkezelés jogosultságszint-emelési szabályokkal ellenőrzik a kezelt fájlokat. A Intune összes újrahasználható beállításcsoporthoz hasonlóan az újrahasználható csoportok módosításai is automatikusan át lesznek adva a csoportra hivatkozó szabályzatoknak. Ha frissítenie kell a fájlérvényesítéshez használt tanúsítványt, csak egyszer kell frissítenie az újrafelhasználható beállítások csoportjában. Intune a frissített tanúsítványt alkalmazza az adott csoportot használó összes jogosultságszint-emelési szabályra.

A Végponti jogosultságkezelés újrafelhasználható beállításcsoportjának létrehozása:

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság> területre Végponti jogosultságkezelés> válassza az Újrahasználható beállítások (előzetes verzió) lapot>, majd válassza a Hozzáadás lehetőséget.

   

2. Az Alapok területen adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet az újrafelhasználható csoportnak. Nevezze el a csoportokat, hogy később könnyen azonosíthatók legyenek.
   • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

3. A Konfigurációs beállítások területen válassza a Tanúsítványfájl mappaikonját, és tallózással keresse meg a következőt: . CER-fájl , amely hozzáadja ehhez az újrafelhasználható csoporthoz. Az Alap 64 érték mező a kiválasztott tanúsítvány alapján töltődik ki.

   

4. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a rendszer menti a konfigurációt, és a csoport megjelenik a Végponti jogosultságkezelés újrafelhasználható beállítások csoportjának listájában.

---

Következő lépések

Következő: A Végponti jogosultságkezelés használatával válthat a felhasználókról a rendszergazdai jogosultságú felhasználókra>