Szabályzatok konfigurálása végponti jogosultságkezeléshez

Megjegyzés:

Ez a képesség Intune bővítményként érhető el. További információ: A Intune Suite bővítmény képességeinek használata.

A Microsoft Intune Endpoint Privilege Management (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatnak, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.

Az Endpoint Privilege Management azzal támogatja a megbízhatóság nélküli folyamatot, hogy segít a szervezetnek elérni a minimális jogosultságokkal futó széles körű felhasználói bázist, miközben lehetővé teszi a felhasználók számára, hogy továbbra is a szervezet által engedélyezett feladatokat futtassanak, hogy produktívak maradjanak.

A cikkben található információk segítségével konfigurálhatja a következő házirendeket és újrafelhasználható beállításokat az EPM-hez:

• A Windows jogosultságszint-emelési beállításainak házirendje.
• Windows jogosultságszint-emelési szabályok szabályzata.
• Újrafelhasználható beállításcsoportok, amelyek nem kötelező konfigurációk a jogosultságszint-emelési szabályokhoz.

Érintett szolgáltatás:

• Windows 10 rendszer esetén
• Windows 11

Az EPM-szabályzatok használatának első lépései

A Végponti jogosultságkezelés két házirendtípust használ, amelyek konfigurálásával kezelheti a fájlszint-emelési kérések kezelését. A szabályzatok együttesen konfigurálják a fájlszint-emelések viselkedését, amikor a standard felhasználók rendszergazdai jogosultságokkal való futtatás kérését kérik.

A végponti jogosultságkezelési szabályzatok létrehozása előtt Intune bővítményként kell licencelnie az EPM-et a bérlőben. A licencelési információkért lásd: Intune Suite bővítményfunkciók használata.

Tudnivalók a Windows jogosultságszint-emelési beállítási szabályzatáról

A Windows jogosultságszint-emelési beállításainak házirendje a következő esetekben használható:

• Engedélyezze a végponti jogosultságkezelést az eszközökön. Alapértelmezés szerint ez a szabályzat engedélyezi az EPM-et. Amikor először engedélyezve van az EPM, az eszköz kiépíti azokat az összetevőket, amelyek használati adatokat gyűjtenek a jogosultságszint-emelési kérelmekről, és amelyek jogosultságszint-emelési szabályokat kényszerítenek ki.

  Ha egy eszközön le van tiltva az EPM, az ügyfélösszetevők azonnal le lesznek tiltva. Az EPM-összetevő teljes eltávolítása hét nap késéssel történik. A késés segít csökkenteni az EPM visszaállításához szükséges időt, ha egy eszköznél véletlenül le van tiltva az EPM, vagy a jogosultságszint-emelési beállításokra vonatkozó szabályzat nincs hozzárendelve.

• Alapértelmezett jogosultságszint-emelési válasz – Beállíthat egy alapértelmezett választ egy olyan fájl jogosultságszint-emelési kéréséhez , amelyet nem a Windows jogosultságszint-emelési szabályszabály-szabályzata kezel. Ahhoz, hogy ez a beállítás hatással legyen, nem létezhet szabály az alkalmazáshoz, és a végfelhasználónak explicit módon emelt szintű jogosultságszint-emelést kell kérnie a Futtatás emelt szintű hozzáféréssel jobb gombbal menüben. Alapértelmezés szerint ez a beállítás nincs konfigurálva. Ha nincs megadva beállítás, az EPM-összetevők visszaállnak a beépített alapértelmezett értékre, vagyis az összes kérés elutasítására.

  A lehetőségek a következők:

  • Minden kérés elutasítása – Ez a beállítás letiltja a jogosultságszint-emelési műveletet olyan fájlok esetében, amelyek nincsenek meghatározva a Windows jogosultságszint-emelési szabályainak szabályzatában.
  • Felhasználó megerősítésének megkövetelése – Ha a felhasználó megerősítésére van szükség, a Windows jogosultságszint-emelési szabályokra vonatkozó szabályzatban található érvényesítési lehetőségek közül választhat.
  • Támogatás jóváhagyásának megkövetelése – Ha támogatási jóváhagyásra van szükség, a rendszergazdának a jogosultságszint-emelési kérelmeket a jogosultságszint-emelés megkövetelése előtt egyező szabály nélkül kell jóváhagynia.

  Megjegyzés:

  Az alapértelmezett válaszok csak a Futtatás emelt szintű hozzáféréssel jobb gombbal menüben érkező kérések esetén lesznek feldolgozva.

• Érvényesítési beállítások – Megadhatja az érvényesítési beállításokat, ha az alapértelmezett jogosultságszint-emelési válasz a Felhasználó megerősítésének megkövetelése.

  A lehetőségek a következők:

  • Üzleti indoklás – Ez a beállítás megköveteli a végfelhasználótól, hogy az alapértelmezett jogosultságszint-emelési válasz által megkönnyített jogosultságszint-emelési válasz végrehajtása előtt adjon meg egy indoklást.
  • Windows-hitelesítés – Ehhez a beállításhoz a végfelhasználónak hitelesítenie kell magát, mielőtt elvégez egy olyan jogosultságszint-emelést, amelyet az alapértelmezett jogosultságszint-emelési válasz tesz lehetővé.

  Megjegyzés:

  A szervezet igényeinek kielégítésére több ellenőrzési lehetőség is választható. Ha nincsenek megadva beállítások, akkor a felhasználónak csak a Folytatás gombra kell kattintania a jogosultságszint-emelés befejezéséhez.

• Jogosultságszint-emelési adatok küldése jelentéskészítéshez – Ez a beállítás szabályozza, hogy az eszköz megosztja-e a diagnosztikai és használati adatokat a Microsofttal. Ha engedélyezve van az adatok megosztása, az adattípust a Jelentési hatókör beállítás konfigurálja.

  A Microsoft diagnosztikai adatokat használ az EPM-ügyfélösszetevők állapotának mérésére. A használati adatok a bérlőn belüli jogosultságszint-emelések megjelenítésére szolgálnak. Az adattípusokkal és azok tárolási módjával kapcsolatos további információkért lásd: Az Endpoint Privilege Management adatgyűjtése és adatvédelme.

  A lehetőségek a következők:

  • Igen – Ez a beállítás a Jelentési hatókör beállítás alapján küld adatokat a Microsoftnak.
  • Nem – Ez a beállítás nem küld adatokat a Microsoftnak.

• Jelentéskészítési hatókör – Ez a beállítás azt szabályozza, hogy a Rendszer mennyi adatot küldjön a Microsoftnak, ha a jogosultságszint-emelési adatok küldése jelentéskészítéshezigen értékre van állítva. Alapértelmezés szerint a Diagnosztikai adatok és az összes végpontszint-emelés lehetőség van kiválasztva.

  A lehetőségek a következők:

  • Csak diagnosztikai adatok és felügyelt jogosultságszint-emelések – Ez a beállítás diagnosztikai adatokat küld a Microsoftnak az ügyfélösszetevők állapotáról , valamint az Endpoint Privilege Management által megkönnyített jogosultságszint-emelési adatokról.
  • Diagnosztikai adatok és végpontszint-emelések – Ez a beállítás diagnosztikai adatokat küld a Microsoftnak az ügyfélösszetevők állapotáról ÉS a végponton történt összes jogosultságszint-emelési adatról.
  • Csak diagnosztikai adatok – Ez a beállítás csak a diagnosztikai adatokat küldi el a Microsoftnak az ügyfélösszetevők állapotáról.

Tudnivalók a Windows jogosultságszint-emelési szabályairól

A Windows jogosultságszint-emelési szabályokra vonatkozó szabályzatának profiljaival kezelheti az egyes fájlok azonosítását, valamint a fájlok jogosultságszint-emelési kéréseinek kezelését. Minden Windows jogosultságszint-emelési szabály egy vagy több jogosultságszint-emelési szabályt tartalmaz. A jogosultságszint-emelési szabályokkal konfigurálhatja a felügyelt fájl részleteit, és emelt szintűre vonatkozó követelményeket.

Minden jogosultságszint-emelési szabály az EPM-et az alábbiakra utasítja:

• Azonosítsa a fájlt a következővel:

  • Fájlnév (a kiterjesztést is beleértve). A szabály olyan opcionális feltételeket is támogat, mint a build minimális verziója, a terméknév vagy a belső név. A nem kötelező feltételek a fájl további ellenőrzésére szolgálnak a jogosultságszint-emelés megkísérlésekor.
  • Tanúsítvány. A tanúsítványok közvetlenül egy szabályhoz vagy egy újrafelhasználható beállításcsoport használatával adhatók hozzá. Ha egy szabályban tanúsítványt használ, annak is érvényesnek kell lennie. Javasoljuk az újrafelhasználható beállításcsoportok használatát, mivel ezek hatékonyabbak lehetnek, és egyszerűbbé tehetik a tanúsítvány jövőbeli módosítását. További információt a következő, Újrafelhasználható beállításcsoportok című szakaszban talál.

• Ellenőrizze a fájlt:

  • Fájlkivonat. Az automatikus szabályokhoz fájlkivonatra van szükség. A felhasználó által megerősített szabályok esetén választhat, hogy tanúsítványt vagy fájlkivonatot használ, amely esetben a fájlkivonat nem kötelező.
  • Tanúsítvány. Ha a tanúsítvány meg van adva, a Rendszer a Windows API-kkal ellenőrzi a tanúsítvány és a visszavonás állapotát.
  • További tulajdonságok. A szabályokban megadott további tulajdonságoknak egyeznie kell.

• Konfigurálja a fájlok jogosultságszint-emelési típusát. A jogosultságszint-emelési típus azonosítja, hogy mi történik, ha jogosultságszint-emelési kérést intéznek a fájlhoz. Alapértelmezés szerint ez a beállítás a Felhasználó megerősítve értékre van állítva, amely a jogosultságszint-emeléshez ajánlott.

  • Felhasználó megerősítve (ajánlott): A felhasználó által megerősített jogosultságszint-emelés mindig megköveteli a felhasználótól, hogy a fájl futtatásához kattintson egy megerősítési kérésre. További felhasználói megerősítéseket is hozzáadhat. Ehhez a felhasználóknak hitelesíteniük kell magukat a szervezeti hitelesítő adataikkal. Egy másik lehetőséghez a felhasználónak üzleti indoklást kell megadnia. Bár az indoklásként megadott szöveg a felhasználón múlik, az EPM akkor gyűjtheti és jelentheti, ha az eszköz úgy van konfigurálva, hogy a Windows jogosultságszint-emelési beállítási szabályzatának részeként jelentse a jogosultságszint-emelési adatokat.
  • Automatikus: Az automatikus jogosultságszint-emelés láthatatlanul történik a felhasználó számára. Nincs rákérdezés, és nincs jele annak, hogy a fájl emelt szintű környezetben fut.
  • Támogatás jóváhagyva: A rendszergazdának jóvá kell hagynia minden olyan, a támogatáshoz szükséges jogosultságszint-emelési kérelmet , amely nem rendelkezik egyező szabmánnyal ahhoz, hogy az alkalmazás emelt szintű jogosultságokkal fusson.

• A gyermekfolyamatok viselkedésének kezelése. Beállíthatja az emelt szintű folyamat által létrehozott gyermekfolyamatokra vonatkozó jogosultságszint-emelési viselkedést.

  • Szabályszint emelésének megkövetelése – Konfigurálja a gyermekfolyamatokat úgy, hogy saját szabályt követeljenek meg ahhoz, hogy a gyermekfolyamat emelt szintű környezetben fusson.
  • Az összes megtagadása – Minden gyermekfolyamat emelt szintű környezet nélkül indul el.
  • Gyermekfolyamatok futtatásának engedélyezése emelt szintűre – Gyermekfolyamat konfigurálása mindig emelt szintű futtatásra.

Megjegyzés:

Az erős szabályok létrehozásával kapcsolatos további információkért tekintse meg a jogosultságszint-emelési szabályok Endpoint Privilege Managementtel való létrehozásával kapcsolatos útmutatónkat.

Az EpmTools PowerShell-modul PowerShell-parancsmagja is használhatóGet-FileAttributes. Ez a parancsmag lekérheti egy .exe fájl fájlattribútumait, és kinyerheti a közzétevői és ca-tanúsítványait egy megadott helyre, amellyel feltöltheti a jogosultságszint-emelési szabály tulajdonságait egy adott alkalmazáshoz.

Figyelem!

Javasoljuk, hogy az automatikus jogosultságszint-emelést csak takarékosan használja, és csak az üzleti szempontból kritikus fontosságú megbízható fájlokhoz. A végfelhasználók automatikusan emelik ezeket az alkalmazásokat az alkalmazás minden indításakor.

Újrafelhasználható beállítások csoportja

A Végponti jogosultságkezelés támogatja az újrafelhasználható beállításcsoportok használatát a tanúsítványok kezeléséhez a tanúsítvány közvetlen hozzáadása helyett egy jogosultságszint-emelési szabályhoz. A Intune összes újrahasználható beállításcsoporthoz hasonlóan a rendszer automatikusan átadja az újrahasználható beállítások csoportjának a konfigurációkat és a módosításokat a csoportra hivatkozó szabályzatoknak. Javasoljuk, hogy használjon újrafelhasználható beállításcsoportot, ha ugyanazt a tanúsítványt szeretné használni a fájlok több jogosultságszint-emelési szabályban való érvényesítéséhez. Az újrafelhasználható beállításcsoportok használata hatékonyabb, ha ugyanazt a tanúsítványt több jogosultságszint-emelési szabályban használja:

• Közvetlenül a jogosultságszint-emelési szabályhoz hozzáadott tanúsítványok: A szabályhoz közvetlenül hozzáadott tanúsítványokat a rendszer Intune tölti fel egyedi példányként, majd a rendszer társítja a tanúsítványpéldányt a szabályhoz. Ha ugyanazt a tanúsítványt közvetlenül két külön szabályhoz adja hozzá, az kétszeri feltöltést eredményez. Később, ha módosítania kell a tanúsítványt, minden egyes szabályt szerkesztenie kell, amely azt tartalmazza. Minden szabálymódosítás esetén Intune minden szabályhoz egyszer feltölti a frissített tanúsítványt.
• Újrafelhasználható beállításcsoporton keresztül kezelt tanúsítványok: Minden alkalommal, amikor tanúsítványt adnak hozzá egy újrafelhasználható beállításcsoporthoz, Intune feltölti a tanúsítványt egyetlen alkalommal, függetlenül attól, hogy hány jogosultságszint-emelési szabály tartalmazza ezt a csoportot. A tanúsítvány ezen példánya ezután az adott csoportot használó összes szabály fájljával van társítva. Később az újrahasználható beállítások csoportban egyetlen alkalommal módosíthatja a tanúsítványt. Ez a módosítás azt eredményezi, Intune a frissített fájlt egyetlen alkalommal tölti fel, majd alkalmazza a módosítást a csoportra hivatkozó összes jogosultságszint-emelési szabályra.

Windows jogosultságszint-emelési beállítások szabályzata

Az alábbi beállítások eszközökre való konfigurálásához telepítse a Windows jogosultságszint-emelési beállításokra vonatkozó szabályzatát a felhasználókra vagy eszközökre:

• Végponti jogosultságkezelés engedélyezése egy eszközön.
• Állítson be alapértelmezett szabályokat a jogosultságszint-emelési kérelmekhez minden olyan fájlhoz, amelyet nem az adott eszközön található Endpoint Privilege Management jogosultságszint-emelési szabály kezel.
• Konfigurálja, hogy az EPM milyen információkat jelent vissza Intune.

Az eszköznek olyan jogosultságszint-emelési beállítási szabályzattal kell rendelkeznie, amely lehetővé teszi az EPM támogatását, mielőtt az eszköz feldolgozhat egy jogosultságszint-emelési szabályházirendet, vagy kezelheti a jogosultságszint-emelési kérelmeket. Ha a támogatás engedélyezve van, a rendszer hozzáadja a C:\Program Files\Microsoft EPM Agent mappát az eszközhöz az EPM Microsoft Agenttel együtt, amely az EPM-szabályzatok feldolgozásáért felelős.

Windows jogosultságszint-emelési beállítások házirendjének Létrehozás

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság>Végponti jogosultságkezelés> elemre, válassza a Szabályzatok lapot>, majd válassza a szabályzat Létrehozás lehetőséget. Állítsa a Platform beállítást Windows 10 és újabb verziókra, a Profilwindowsos jogosultságszint-emelési beállításokra, majd válassza a Létrehozás lehetőséget.

2. Az Alapok területen adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
   • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

3. A Konfigurációs beállítások területen konfigurálja a következőket az eszköz jogosultságszint-emelési kéréseinek alapértelmezett viselkedésének meghatározásához:

   

   • Végponti jogosultságkezelés: Engedélyezve (alapértelmezett) értékre van állítva. Ha engedélyezve van, az eszköz végponti jogosultságkezelést használ. Ha Letiltva értékre van állítva, az eszköz nem használja a Végponti jogosultságkezelést, és azonnal letiltja az EPM-et, ha korábban engedélyezve volt. Hét nap elteltével az eszköz megszünteti az Endpoint Privilege Management összetevőit.

   • Alapértelmezett jogosultságszint-emelési válasz: Konfigurálja, hogy ez az eszköz hogyan kezelje a nem szabály által közvetlenül felügyelt fájlok jogosultságszint-emelési kéréseit:

     • Nincs konfigurálva: Ez a beállítás ugyanúgy működik, mint az Összes kérelem elutasítása.
     • Az összes kérés elutasítása: Az EPM nem segíti elő a fájlok kiterjesztését, és a felhasználó egy előugró ablakban jeleníti meg a megtagadással kapcsolatos információkat. Ez a konfiguráció nem akadályozza meg a rendszergazdai engedélyekkel rendelkező felhasználókat abban, hogy a Futtatás rendszergazdaként parancsot használják nem felügyelt fájlok futtatásához.
     • Támogatás jóváhagyásának megkövetelése: Ez a viselkedés arra utasítja az EPM-et, hogy kérje meg a felhasználót, hogy küldjön be egy támogatott kérést.
     • Felhasználó megerősítésének megkövetelése: A felhasználó egy egyszerű kérést kap a fájl futtatására vonatkozó szándék megerősítéséhez. Az Ellenőrzés legördülő menüből további kéréseket is kérhet:
       • Üzleti indoklás: A felhasználónak meg kell adnia a fájl futtatásának indoklását. Ehhez az indokláshoz nincs szükség formátumra. A rendszer menti a felhasználói bemenetet, és naplókon keresztül tekintheti át, ha a jelentéskészítési hatókör tartalmazza a végpontszint-emelések gyűjteményét.
       • Windows-hitelesítés: Ehhez a beállításhoz a felhasználónak a szervezeti hitelesítő adataival kell hitelesítenie magát.

   • Jogosultságszint-emelési adatok küldése jelentéskészítéshez: Ez a viselkedés alapértelmezés szerint Igen értékre van állítva. Ha igen értékre van állítva, konfigurálhat egy jelentéskészítési hatókört. Ha a Nem értékre van állítva, az eszköz nem jelenti a diagnosztikai adatokat vagy a fájlszint-emelésekkel kapcsolatos információkat Intune.

   • Jelentéskészítési hatókör: Válassza ki, hogy milyen típusú információkat Intune az eszköz:

     • Diagnosztikai adatok és végpontszint-emelések (alapértelmezett): Az eszköz az EPM által megkönnyített összes fájlemelés diagnosztikai adatait és részleteit jelenti.

       Ez az információszint segíthet azonosítani azokat a fájlokat, amelyeket még nem kezel egy emelt szintű szabály, amelyet a felhasználók emelt szintű környezetben szeretnének futtatni.

     • Csak diagnosztikai adatok és felügyelt jogosultságszint-emelések: Az eszköz csak a jogosultságszint-emelési szabályházirend által kezelt fájlokra vonatkozóan jelenti a diagnosztikai adatokat és a fájlszint-emelések részleteit. A nem felügyelt fájlokra vonatkozó fájlkérelmeket és a Futtatás rendszergazdaként windowsos alapértelmezett művelete által emelt szintű fájlokat a rendszer nem felügyelt jogosultságszint-emelésekként jelenti.

     • Csak diagnosztikai adatok: A rendszer csak a végponti jogosultságkezelés működésére vonatkozó diagnosztikai adatokat gyűjti. A fájlszint-emelésekkel kapcsolatos információkat a rendszer nem jelenti Intune.

   Ha készen áll, válassza a Tovább gombot a folytatáshoz.

4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

   Válassza a Tovább gombot.

6. A Felülvizsgálat + létrehozás beállításnál tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Windows jogosultságszint-emelési szabályok szabályzata

Windows jogosultságszint-emelési szabályokkal kapcsolatos szabályzatot telepíthet felhasználókra vagy eszközökre, hogy egy vagy több szabályt telepítsen az Endpoint Privilege Management által jogosultságszint-emelésre felügyelt fájlokra. A szabályzathoz hozzáadott összes szabály:

• Azonosítja azt a fájlt, amelynek jogosultságszint-emelési kéréseit kezelni szeretné.
• Tartalmazhat tanúsítványt a fájl integritásának ellenőrzéséhez a futtatás előtt. Hozzáadhat egy újrafelhasználható csoportot is, amely egy tanúsítványt tartalmaz, amelyet aztán egy vagy több szabvánnyal vagy szabályzattal használ.
• Meghatározza, hogy a fájl jogosultságszint-emelési típusa automatikus (csendes) vagy felhasználói megerősítést igényel-e. A felhasználó megerősítésével további felhasználói műveleteket adhat hozzá, amelyeket a fájl futtatása előtt végre kell hajtani. A házirend mellett az eszközökhöz olyan Windows jogosultságszint-emelési beállításokat is hozzá kell rendelni, amelyek lehetővé teszik a végponti jogosultságkezelést.

Windows jogosultságszint-emelési szabályokkal kapcsolatos szabályzat Létrehozás

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság>Végponti jogosultságkezelés> elemre, válassza a Szabályzatok lapot>, majd válassza a szabályzat Létrehozás lehetőséget. Állítsa a Platform beállítást Windows 10 és újabb, Profilwindowsos jogosultságszint-emelési szabályok szabályzatra, majd válassza a Létrehozás lehetőséget.

2. Az Alapok területen adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
   • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

3. A Konfigurációs beállítások lapon adjon hozzá egy szabályt minden fájlhoz, amelyet ez a szabályzat kezel. Amikor új szabályzatot hoz létre, a szabályzat elindul, és tartalmaz egy üres szabályt, amelynek jogosultságszint-emelési típusa Felhasználó megerősítve , és nincs szabálynév. Először konfigurálja ezt a szabályt, majd később a Hozzáadás lehetőséget választva további szabályokat adhat hozzá ehhez a szabályzathoz. Minden hozzáadott új szabály rendelkezik egy felhasználó által megerősített jogosultságszint-emelési típussal, amely a szabály konfigurálásakor módosítható.

   

   Szabály konfigurálásához válassza a Példány szerkesztése lehetőséget a Szabály tulajdonságai lap megnyitásához, majd konfigurálja a következőket:

   

   • Szabály neve: Adjon meg egy leíró nevet a szabálynak. Nevezze el a szabályokat, hogy később könnyen azonosíthassa őket.
   • Leírás (nem kötelező): Adja meg a profil leírását.

   A jogosultságszint-emelési feltételek olyan feltételek, amelyek meghatározzák a fájlok futtatásának módját, és a felhasználóérvényesítéseket, amelyeknek teljesülniük kell ahhoz, hogy a szabály hatálya alatt lévő fájl futtatható legyen.

   • Jogosultságszint-emelés típusa: Ez a beállítás alapértelmezés szerint a Felhasználó által megerősítve értékre van állítva, amely a legtöbb fájlhoz ajánlott jogosultságszint-emelési típus.

     • A felhasználó megerősítette: Ezt a beállítást a legtöbb szabályhoz javasoljuk. Egy fájl futtatásakor a felhasználó egy egyszerű üzenetben megerősíti a fájl futtatására vonatkozó szándékát. A szabály az Ellenőrzés legördülő listából elérhető egyéb kéréseket is tartalmazhat:

       • Üzleti indoklás: A felhasználónak meg kell adnia a fájl futtatásának indoklását. A bejegyzéshez nincs szükség formátumra. A rendszer menti a felhasználói bemenetet, és naplókon keresztül tekintheti át, ha a jelentéskészítési hatókör tartalmazza a végpontszint-emelések gyűjteményét.
       • Windows-hitelesítés: Ehhez a beállításhoz a felhasználónak a szervezeti hitelesítő adataival kell hitelesítenie magát.

     • Automatikus: Ez a jogosultságszint-emelési típus automatikusan emelt szintű engedélyekkel futtatja a kérdéses fájlt. Az automatikus jogosultságszint-emelés átlátható a felhasználó számára anélkül, hogy megerősítést vagy indoklást vagy hitelesítést kér a felhasználótól.

       Figyelem!

       Csak a megbízható fájlok automatikus jogosultságszint-emelése használható. Ezek a fájlok felhasználói beavatkozás nélkül automatikusan megemelkednek. A nem jól definiált szabályok lehetővé tehetik a nem jóváhagyott alkalmazások megemelkedhetnek. Az erős szabályok létrehozásával kapcsolatos további információkért tekintse meg a szabályok létrehozására vonatkozó útmutatót.

     • Támogatás jóváhagyva: Ez a jogosultságszint-emelési típus megköveteli, hogy a rendszergazda jóváhagyjon egy kérést, mielőtt a jogosultságszint-emelés befejeződik. További információ: A jóváhagyott jogosultságszint-emelési kérelmek támogatása.

       Fontos

       A fájlok támogatott jogosultságszint-emelésének használatához a további engedélyekkel rendelkező rendszergazdáknak felül kell vizsgálniuk és jóvá kell hagyniuk a fájlszint-emelési kéréseket, mielőtt a fájl rendszergazdai engedélyekkel rendelkezik az eszközön. További információ a támogatott jogosultságszint-emelési típus használatáról: A jóváhagyott fájlszint-emelések támogatása a Végponti jogosultságkezeléshez.

   • Gyermekfolyamat viselkedése: Alapértelmezés szerint ez a beállítás a Szabály megkövetelése a szint emeléséhez beállításra van állítva, amely megköveteli, hogy a gyermekfolyamat megegyezik az azt létrehozó folyamattal. További lehetőségek:

     • Az összes gyermekfolyamat emelt szintű futtatásának engedélyezése: Ezt a beállítást körültekintően kell használni, mivel lehetővé teszi, hogy az alkalmazások feltétel nélkül hozzanak létre gyermekfolyamatokat.
     • Az összes elutasítása: Ez a konfiguráció megakadályozza a gyermekfolyamatok létrehozását.

   A fájlinformációkban adhatja meg azokat a részleteket, amelyek azonosítják a szabály által érintett fájlokat.

   • Fájlnév: Adja meg a fájl nevét és kiterjesztését. Például: myapplication.exe

   • Fájl elérési útja (nem kötelező): Adja meg a fájl helyét. Ha a fájl bármely helyről futtatható, vagy ismeretlen, ezt üresen hagyhatja. Változót is használhat.

   • Aláírás forrása: Válasszon az alábbi lehetőségek közül:

     • Használjon tanúsítványfájlt az újrahasználható beállításokban (alapértelmezett): Ez a beállítás olyan tanúsítványfájlt használ, amely hozzá lett adva a Végponti jogosultságkezelés újrafelhasználható beállítások csoportjához. A beállítás használatához létre kell hoznia egy újrafelhasználható beállításcsoportot .

       A tanúsítvány azonosításához válassza a Tanúsítvány hozzáadása vagy eltávolítása lehetőséget, majd válassza ki a megfelelő tanúsítványt tartalmazó újrafelhasználható csoportot. Ezután adja meg a Közzétevő vagy a Hitelesítésszolgáltatótanúsítványtípusát.

     • Tanúsítványfájl feltöltése: Adjon hozzá egy tanúsítványfájlt közvetlenül a jogosultságszint-emelési szabályhoz. A Fájlfeltöltés beállításnál adjon meg egy .cer fájlt, amely képes ellenőrizni annak a fájlnak az integritását, amelyekre ez a szabály vonatkozik. Ezután adja meg a Közzétevő vagy a Hitelesítésszolgáltatótanúsítványtípusát.

     • Nincs konfigurálva: Akkor használja ezt a beállítást, ha nem szeretne tanúsítványt használni a fájl integritásának ellenőrzéséhez. Ha nem használ tanúsítványt, meg kell adnia egy fájlkivonatot.

   • Fájlkivonat: A fájlkivonatra akkor van szükség, ha az Aláírás forrása nincs konfigurálva értékre van állítva, és nem kötelező, ha tanúsítvány használatára van beállítva.

   • Minimális verzió: (Nem kötelező) Az x.x.x.x formátummal adja meg a szabály által támogatott minimális fájlverziót.

   • Fájl leírása: (Nem kötelező) Adja meg a fájl leírását.

   • Terméknév: (Nem kötelező) Adja meg annak a terméknek a nevét, amelyből a fájl származik.

   • Belső név: (Nem kötelező) Adja meg a fájl belső nevét.

   A szabálykonfiguráció mentéséhez válassza a Mentés lehetőséget. Ezután hozzáadhat további szabályokat. Miután hozzáadta a szabályzathoz szükséges összes szabályt, válassza a Tovább gombot a folytatáshoz.

4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése. Válassza a Tovább gombot.

6. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Újrafelhasználható beállításcsoportok

A Végponti jogosultságkezelés újrafelhasználható beállításcsoportokkal kezeli azokat a tanúsítványokat, amelyek az Endpoint Privilege Management jogosultságszint-emelési szabályaival ellenőrzik a kezelt fájlokat. A Intune összes újrahasználható beállításcsoporthoz hasonlóan az újrahasználható csoportok módosításai is automatikusan át lesznek adva a csoportra hivatkozó szabályzatoknak. Ha frissítenie kell a fájlérvényesítéshez használt tanúsítványt, csak egyszer kell frissítenie az újrafelhasználható beállítások csoportjában. Intune a frissített tanúsítványt alkalmazza az adott csoportot használó összes jogosultságszint-emelési szabályra.

Az Endpoint Privilege Management újrafelhasználható beállításcsoportjának létrehozása:

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, lépjen a Végpontbiztonság>Végponti jogosultságkezelés> területre, válassza az Újrahasználható beállítások (előzetes verzió) lapot>, majd válassza a Hozzáadás lehetőséget.

   

2. Az Alapok területen adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet az újrafelhasználható csoportnak. Nevezze el a csoportokat, hogy később könnyen azonosíthatók legyenek.
   • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

3. A Konfigurációs beállítások területen válassza a Tanúsítványfájl mappaikonját, és tallózással keresse meg a következőt: . CER-fájl , amely hozzáadja ehhez az újrafelhasználható csoporthoz. Az Alap 64 érték mező a kiválasztott tanúsítvány alapján töltődik ki.

   

4. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a rendszer menti a konfigurációt, és a csoport megjelenik az Endpoint Privilege Management újrafelhasználható beállítások csoportjának listájában.

Szabályzatütközések kezelése végponti jogosultságkezeléshez

A következő helyzet kivételével az EPM ütköző szabályzatai a többi szabályzatütközéshez hasonlóan kezelhetők.

Windows jogosultságszint-emelési beállítások szabályzata:

Ha egy eszköz két eltérő jogosultságszint-emelési beállítási szabályzatot kap ütköző értékekkel, az EPM-ügyfél az ütközés feloldásáig visszaáll az alapértelmezett ügyfélviselkedésre.

Megjegyzés:

Ha a Végponti jogosultságkezelés engedélyezése ütközik, az ügyfél alapértelmezett viselkedése az EPM engedélyezése . Ez azt jelenti, hogy az ügyfélösszetevők továbbra is működni fognak, amíg egy explicit érték nem kerül az eszközre.

Windows jogosultságszint-emelési szabályok szabályzata:

Ha egy eszköz két, ugyanazt az alkalmazást célzó szabályt kap, az eszközön mindkét szabályt felhasználja a rendszer. Amikor az EPM a jogosultságszint-emelési szabályok feloldására kerül sor, a következő logikát használja:

• A felhasználó számára üzembe helyezett szabályok elsőbbséget élveznek az eszközön telepített szabályokkal szemben.
• A kivonattal rendelkező szabályokat mindig a legspecifikusabb szabálynak tekintik.
• Ha egynél több szabály van érvényben (kivonat definiálása nélkül), a legelfoglaltabb attribútumokkal rendelkező szabály nyer (a legspecifikusabb).
• Ha a fenti logika alkalmazása több szabályt eredményez, a következő sorrend határozza meg a jogosultságszint-emelési viselkedést: Felhasználó megerősítve, Támogatás jóváhagyva, majd Automatikus.

Megjegyzés:

Ha nem létezik jogosultságszint-emelésre vonatkozó szabály, és a jogosultságszint-emelést a Futtatás emelt szintű hozzáféréssel helyi menüben kérték, akkor a rendszer az alapértelmezett jogosultságszint-emelési viselkedést fogja használni.

Következő lépések

• Útmutatás jogosultságszint-emelési szabályok létrehozásához
• Végponti jogosultságkezelésre vonatkozó jelentések
• Jogosultságszint-emelési kérelmek jóváhagyása
• Adatgyűjtés és adatvédelem a Végponti jogosultságkezeléshez
• Üzembehelyezési szempontok és gyakori kérdések