Share via

A jóváhagyott fájlszint-emelések támogatása a Végponti jogosultságkezeléshez

  • Cikk

Megjegyzés:

Ez a képesség Intune bővítményként érhető el. További információ: A Intune Suite bővítmény képességeinek használata.

A Microsoft Intune Végponti jogosultságkezelés (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatók, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.

Ez a cikk azt ismerteti, hogyan használhatja a támogatott munkafolyamatot az Endpoint Privilege Managementtel.

A támogatott jogosultságszint-emelések lehetővé teszik, hogy jóváhagyást igényeljen a jogosultságszint-emelés engedélyezése előtt. A támogatott funkciókat a jogosultságszint-emelési szabály részeként vagy alapértelmezett ügyfélviselkedésként használhatja. Az elküldött kérelmek megkövetelik, hogy Intune rendszergazdák eseti alapon hagyják jóvá a kérelmet.

Amikor egy felhasználó emelt szintű környezetben próbál futtatni egy fájlt, és a fájlt a támogatott fájlszint-emelési típus kezeli, Intune egy jogosultságszint-emelési kérés elküldésére kéri a felhasználót. A jogosultságszint-emelési kérelmet ezután egy Intune rendszergazda továbbítja Intune felülvizsgálatra. Amikor egy rendszergazda jóváhagyja a jogosultságszint-emelési kérést, a rendszer értesíti az eszközön lévő felhasználót, és a fájl ezután emelt szintű környezetben futtatható. A kérelmek jóváhagyásához a Intune rendszergazda fiókjának további engedélyekkel kell rendelkeznie, amelyek a felülvizsgálati és jóváhagyási feladatra vonatkoznak.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

A támogatott jogosultságszint-emelések ismertetése

Használjon olyan EPM-szabályzatokat a támogatott jogosultságszint-emelési típussal, amelyekhez rendszergazdai jóváhagyásra van szükség ahhoz, hogy nagyobb hozzáféréssel fussanak. Hasonlóak a többi epm-jogosultságszint-emelési szabályhoz, de vannak olyan különbségek, amelyek további tervezést igényelnek.

Tipp

A három jogosultságszint-emelési típus és egyéb szabályzatbeállítások áttekintéséhez lásd: Windows jogosultságszint-emelési szabályok szabályzata.

A következő témák a támogatott jogosultságszint-emelési típus használatakor tervezendők és várhatók:

  • Jogosultságszint-emelési kérések

    Ha egy felhasználó a jobb gombbal a Futtatás emelt szintű hozzáféréssel beállítással futtat egy fájlt, és a fájlt a szabályzat egy támogatott jogosultságszint-emelési szabmánnyal kezeli, Intune megjeleníti a felhasználónak a jogosultságszint-emelési kérés Intune Felügyeleti központba való küldésére vonatkozó kérést.

    • A kérés lehetővé teszi, hogy a felhasználó megadja a jogosultságszint-emelés üzleti okát. Ez az ok a jogosultságszint-emelési kérelem részévé válik, amely a felhasználó nevét, eszközét és fájlnevét is tartalmazza.

    • Amikor a felhasználó elküldi a kérést, az a Intune felügyeleti központba kerül, ahol a kérések kezeléséhez engedéllyel rendelkező Intune rendszergazda úgy dönt, hogy jóváhagyja vagy elutasítja azt.

    Az alábbi képen egy példa látható arra a fájlszint-emelési kérésre, amelyet a felhasználók tapasztalnak:

    Képernyőfelvétel, amely egy példát jelenít meg a felhasználói jogosultságszint-emelési kérés kérésére.

  • Jogosultságszint-emelési kérelmek áttekintése

    A Intune rendszergazdának megtekintési és kezelési jogosultságokkal kell rendelkeznie a végponti jogosultságkezelés jogosultságszint-emelési kérelmeihez, mielőtt áttekinthetik és jóváhagyhatják a jogosultságszint-emelési kérelmeket.

    A kérések megkereséséhez és megválaszolásához ezek a rendszergazdák a Felügyeleti központ Végponti jogosultságkezelés lapjának Jogosultságszint-emelési kérelmek lapját használják. Mivel Intune nem tudja értesíteni a rendszergazdákat az új jogosultságszint-emelési kérelmekről, a rendszergazdáknak érdemes rendszeresen ellenőrizniük a függőben lévő kérelmeket.

    Azok a rendszergazdák, akik kezelhetik a jogosultságszint-emelési kérelmeket, elfogadhatnak vagy elutasíthatnak egy kérést. A döntésük okát is meg tudják adni. Ez az ok a kérelem naplózási rekordjának részévé válik.

    • Jóváhagyások esetén: Amikor egy rendszergazda jóváhagy egy jogosultságszint-emelési kérést, Intune egy szabályzatot küld arra az eszközre, amelyre a felhasználó elküldte a kérelmet, így a felhasználó a következő 24 órában emelt szintűként futtathatja a fájlt. Ez az időszak akkor kezdődik, amikor a rendszergazda jóváhagyja a kérelmet. A 24 órás időszak lejárta előtt nem támogatott az egyéni időszak vagy a jóváhagyott jogosultságszint-emelés visszavonása.

      A kérelem jóváhagyása után Intune értesíti az eszközt, és szinkronizálást kezdeményez. Ez eltarthat egy ideig. Intune az eszközön egy értesítéssel értesíti a felhasználót arról, hogy most már sikeresen futtathatja a fájlt a Futtatás emelt szintű hozzáféréssel jobb gombbal lehetőséggel.

    • Megtagadások esetén: Intune nem értesíti a felhasználót. A rendszergazdának manuálisan kell értesítenie a felhasználót a kérés elutasításáról.

  • Jogosultságszint-emelési kérések naplózása

    A megfelelő engedélyekkel rendelkező Intune rendszergazdák megtekinthetik az EPM-házirendekkel kapcsolatos információkat, például a létrehozást, a szerkesztést és a jogosultságszint-emelési kérelmek kezelését a Intune auditnaplókban, amely a bérlői felügyeleti>auditnaplókban érhető el.

    Az alábbi képernyőfelvételen egy példa látható a támogatási jóváhagyott jogosultságszint-emelési szabályzat duplikálására szolgáló auditnaplóra, eredetileg Tesztházirend – támogatás jóváhagyva néven:

    A támogatott jogosultságszint-emelési szabályok szabályzatának auditnapló-bejegyzését megjelenítő kép.

Jogosultságszint-emelési kérelmek RBAC-engedélyei

A jogosultságszint-emelési jóváhagyások felügyeletének biztosítása érdekében csak Intune olyan rendszergazdák tekinthetik meg és kezelhetik a jogosultságszint-emelési kérelmeket, akik a következő szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyekkel rendelkeznek a Intune:

  • Végponti jogosultságkezelés jogosultságszint-emelési kérelmei – Ez az engedély szükséges a felhasználók által jóváhagyásra küldött jogosultságszint-emelési kérelmek kezeléséhez, és a következő jogosultságokat támogatja:

    • Jogosultságszint-emelési kérelmek megtekintése
    • Jogosultságszint-emelési kérelmek módosítása

Az EPM kezelésének összes engedélyével kapcsolatos további információkért lásd: Szerepköralapú hozzáférés-vezérlés a végponti jogosultságkezeléshez.

Szabályzat létrehozása a jóváhagyott fájlszint-emelések támogatásához

Támogatás által jóváhagyott jogosultságszint-emelési szabályzat létrehozásához használja ugyanazt a munkafolyamatot az EPM egyéb jogosultságszint-emelési szabályházirendjeinek létrehozásához. Lásd: Windows jogosultságszint-emelési szabályok házirendjének létrehozása a Szabályzatok konfigurálása a végponti jogosultságkezeléshez című témakörben.

Függőben lévő jogosultságszint-emelési kérelmek kezelése

A jogosultságszint-emelési kérelmek áttekintéséhez és kezeléséhez kövesse az alábbi eljárást.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonsági>végpont jogosultságkezelési>jogosultságszint-emelési kérések lapjára.

  2. A jogosultságszint-emelési kérelmek lap az elmúlt 30 napfüggőben lévő kéréseit és kéréseit jeleníti meg. Ha kijelöl egy sort, megnyílik a jogosultságszint-emelési kérelem tulajdonságainak bejegyzése, ahol részletesen áttekintheti a kérést.

  3. A jogosultságszint-emelési kérelem részletei a következő információkat tartalmazzák:

    1. Általános részletek:

      1. File – A jogosultságszint-emeléshez kért fájl neve.
      2. Publisher – Annak a közzétevőnek a neve, amely aláírta a jogosultságszint-emelésre kért fájlt. A közzétevő neve egy hivatkozás, amely lekéri a fájl tanúsítványláncát letöltésre.
      3. Eszköz – Az az eszköz, amelyről a jogosultságszint-emelést kérték. Az eszköz neve egy hivatkozás, amely megnyitja az eszközobjektumot a Felügyeleti központban.
      4. Intune megfelelő – Az eszköz Intune megfelelőségi állapota.

    2. Kérelem részletei:

      1. Állapot – A kérés állapota. A kérések Függőben állapotban kezdődnek, és a rendszergazda jóváhagyhatja vagy elutasíthatja .
      2. By – Annak a rendszergazdának a fiókja, aki jóváhagyta vagy elutasította a kérelmet.
      3. Utolsó módosítás – A kérelembejegyzés legutóbbi módosításának időpontja.
      4. Felhasználó indoklása – A felhasználó által a jogosultságszint-emelési kérelemhez megadott indoklás.
      5. Jóváhagyás lejárata – A jóváhagyás lejáratának időpontja. A lejárati idő eléréséig a jóváhagyott fájl jogosultságszint-emelése engedélyezett.
      6. Rendszergazda oka – A rendszergazda által a jóváhagyás vagy megtagadás befejezésekor megadott indoklás.

    3. Fájlinformációk – A jóváhagyásra kért fájl metaadatainak jellemzői.

    A jogosultságszint-emelési kérelem részleteit megjelenítő kép.

  4. Miután egy rendszergazda áttekint egy kérelmet, kiválaszthatja a Jóváhagyás vagy a Megtagadás lehetőséget. Mindkét kijelölésnél megjelenik az indoklási párbeszédpanel, ahol részletes információkat adhatnak meg az okokkal kapcsolatban a döntésükről. Az ok megadása nem kötelező. Az alábbiakban a jóváhagyási párbeszédpanel jelenik meg:

    • Jóváhagyások esetén – A rendszergazda befejezi az indoklási párbeszédpanelt, majd az Igen lehetőséget választja a kérelem jóváhagyásához. Intune elküldi a jóváhagyást az eszköznek, és a végfelhasználó bejelentési értesítésen keresztül értesítést kap arról, hogy képes megemelni az alkalmazást.

      A végfelhasználó most már elvégezheti a jogosultságszint-emelt szintű tevékenységet a fájl Futtatás emelt szintű hozzáféréssel parancsának jobb gombbal kattintva elérhető menüjével.

      A jogosultságszint-emelési jóváhagyási párbeszédpanelt megjelenítő kép, amelynek oka a jóváhagyási minta indoklása

    • Elutasítás esetén – A rendszergazda befejezi az indoklási párbeszédpanelt, majd az Igen lehetőséget választva elutasítja a kérést.

      Ha egy rendszergazda tagadja meg a jóváhagyási kérelmet, a jogosultságszint-emelési kérelem nem lesz jóváhagyva. Intune nem küld választ az eszközre, és a felhasználó nem kap értesítést.

      A jogosultságszint-emelési megtagadás párbeszédpanelt megjelenítő kép, amelyen nincs megadva jóváhagyási igazolás

Megjegyzés:

A jogosultságszint-emelési kérések tartalmazzák a jogosultságszint-emelési szabály létrehozásához szükséges összes információt, beleértve a teljes tanúsítványláncot is. A támogatott jogosultságszint-emelések a jogosultságszint-emelési kérelmekhez hasonlóan a jogosultságszint-emelési adatokban is megjelennek.

Következő lépések