Supporto delle elevazioni di file approvate per Endpoint Privilege Management

  • Articolo

Nota

Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

Con Gestione privilegi endpoint Microsoft Intune (EPM) gli utenti dell'organizzazione possono essere eseguiti come utente standard (senza diritti di amministratore) e completare attività che richiedono privilegi elevati. Le attività che in genere richiedono privilegi amministrativi sono le installazioni di applicazioni (ad esempio Applicazioni Di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica di Windows.

Questo articolo illustra come usare il flusso di lavoro approvato dal supporto con Endpoint Privilege Management.

Il supporto delle elevazioni approvate consente di richiedere l'approvazione prima che venga consentita un'elevazione. È possibile usare la funzionalità approvata dal supporto come parte di una regola di elevazione o come comportamento client predefinito. Le richieste inviate richiedono Intune amministratori di approvare la richiesta caso per caso.

Quando un utente tenta di eseguire un file in un contesto con privilegi elevati e tale file è gestito dal tipo di elevazione dei file approvato dal supporto, Intune visualizza una richiesta all'utente di inviare una richiesta di elevazione dei privilegi. La richiesta di elevazione viene quindi inviata a Intune per la revisione da parte di un amministratore Intune. Quando un amministratore approva la richiesta di elevazione dei privilegi, l'utente nel dispositivo riceve una notifica e il file può quindi essere eseguito nel contesto con privilegi elevati. Per approvare le richieste, l'account dell'amministratore Intune deve disporre di autorizzazioni aggiuntive specifiche per l'attività di revisione e approvazione.

Si applica a:

  • Windows 10
  • Windows 11

Informazioni sulle elevazioni approvate del supporto

Usare i criteri EPM con il tipo di elevazione approvato dal supporto per i file che richiedono l'approvazione di un amministratore prima che possano essere eseguiti con accesso più elevato. Sono simili ad altre regole di elevazione di EPM, ma presentano alcune differenze che richiedono una pianificazione aggiuntiva.

Consiglio

Per esaminare i tre tipi di elevazione dei privilegi e altre opzioni dei criteri, vedere Criteri delle regole di elevazione di Windows.

Gli argomenti seguenti sono i dettagli da pianificare e prevedere quando si usa il tipo di elevazione approvato dal supporto:

  • Richieste di elevazione

    Quando un utente esegue un file con l'opzione di clic con il pulsante destro del mouse Esegui con accesso con privilegi elevati e tale file è gestito da criteri con una regola di elevazione approvata dal supporto, Intune mostra all'utente una richiesta di invio di una richiesta di elevazione del livello di elevazione all'interfaccia di amministrazione Intune.

    • La richiesta consente all'utente di immettere un motivo aziendale per l'elevazione. Questo motivo diventa parte della richiesta di elevazione dei privilegi, che contiene anche il nome, il dispositivo e il nome file dell'utente.

    • Quando l'utente invia la richiesta, passa all'interfaccia di amministrazione Intune in cui un amministratore Intune con le autorizzazioni per gestire queste richieste decide di approvarla o negarla.

    L'immagine seguente mostra un esempio della richiesta di elevazione dei file che viene visualizzata dagli utenti:

    Acquisizione dello schermo che visualizza un esempio della richiesta di elevazione dei privilegi utente.

  • Revisione delle richieste di elevazione dei privilegi

    Un amministratore di Intune deve disporre dei diritti di visualizzazione e gestione per l'autorizzazione Richieste di elevazione dei privilegi degli endpoint prima di poter esaminare e approvare le richieste di elevazione dei privilegi.

    Per trovare e rispondere alle richieste, questi amministratori usano la scheda Richieste di elevazione dei privilegi della pagina Gestione privilegi endpoint nell'interfaccia di amministrazione. Poiché Intune non ha un modo per notificare agli amministratori le nuove richieste di elevazione dei privilegi, gli amministratori devono pianificare di controllare regolarmente la scheda per le richieste in sospeso.

    Gli amministratori che possono gestire le richieste di elevazione possono accettare o rifiutare una richiesta. Possono anche fornire un motivo per la loro decisione. Questo motivo diventa parte del record di controllo per la richiesta.

    • Per le approvazioni: quando un amministratore approva una richiesta di elevazione dei privilegi, Intune invia un criterio al dispositivo in cui l'utente ha inviato la richiesta, che consente all'utente di eseguire il file con privilegi elevati per le 24 ore successive. Questo periodo inizia nel momento in cui l'amministratore approva la richiesta. Non è disponibile alcun supporto corrente per un periodo di tempo personalizzato o l'annullamento dell'elevazione approvata prima della scadenza del periodo di 24 ore.

      Una volta approvata la richiesta, Intune notifica al dispositivo e avvia una sincronizzazione. Questa operazione può richiedere del tempo. Intune usa una notifica nel dispositivo per avvisare l'utente che ora è possibile eseguire correttamente il file con l'opzione Esegui con accesso con privilegi elevati.

    • Per le negazioni: Intune non invia una notifica all'utente. L'amministratore deve notificare manualmente all'utente che la richiesta è stata negata.

  • Controllo delle richieste di elevazione dei privilegi

    Un amministratore Intune con autorizzazioni sufficienti può visualizzare informazioni sui criteri EPM, ad esempio la creazione, la modifica e la gestione delle richieste di elevazione dei privilegi nei log di controllo Intune, disponibili in Logdi controllodell'amministrazione> tenant.

    L'acquisizione schermata seguente mostra un esempio del log di controllo per la duplicazione di un criterio di elevazione approvato dal supporto , originariamente denominato Criteri di test - supporto approvato:

    Immagine che visualizza una voce del log di controllo per un criterio di elevazione approvato dal supporto.

Autorizzazioni di controllo degli accessi in base al ruolo per le richieste di elevazione dei privilegi

Per garantire la supervisione per le approvazioni dell'elevazione dei privilegi, solo gli amministratori Intune che dispongono delle autorizzazioni di controllo degli accessi in base al ruolo seguenti in Intune possono visualizzare e gestire le richieste di elevazione dei privilegi:

  • Richieste di elevazione dei privilegi degli endpoint : questa autorizzazione è necessaria per funzionare con le richieste di elevazione dei privilegi inviate dagli utenti per l'approvazione e supporta i diritti seguenti:

    • Visualizzare le richieste di elevazione dei privilegi
    • Modificare le richieste di elevazione dei privilegi

Per altre informazioni su tutte le autorizzazioni per la gestione di EPM, vedere Controlli degli accessi in base al ruolo per Endpoint Privilege Management.

Creare criteri per il supporto delle elevazioni dei file approvate

Per creare criteri di elevazione approvati dal supporto, usare lo stesso flusso di lavoro per creare altri criteri delle regole di elevazione EPM. Vedere Creare criteri delle regole di elevazione di Windows in Configurare i criteri per Endpoint Privilege Management.

Gestire le richieste di elevazione in sospeso

Usare la procedura seguente come indicazioni per la revisione e la gestione delle richieste di elevazione dei privilegi.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune e passare alla scheda Richiestedi elevazione deiprivilegi> degli endpoint di sicurezza> degli endpoint.

  2. La scheda Richieste di elevazione dei privilegi mostra le richieste e le richieste in sospesodegli ultimi 30 giorni. La selezione di una riga apre le proprietà delle richieste di elevazione delle voci, in cui è possibile esaminare la richiesta in dettaglio.

  3. I dettagli della richiesta di elevazione includono le informazioni seguenti:

    1. Dettagli generali:

      1. File : nome del file richiesto per l'elevazione.
      2. Server di pubblicazione : nome del server di pubblicazione che ha firmato il file richiesto per l'elevazione dei privilegi. Il nome del server di pubblicazione è un collegamento che recupera la catena di certificati per il file da scaricare.
      3. Dispositivo : dispositivo da cui è stata richiesta l'elevazione. Il nome del dispositivo è un collegamento che apre l'oggetto dispositivo nell'interfaccia di amministrazione.
      4. Intune conforme: stato di conformità Intune del dispositivo.

    2. Dettagli della richiesta:

      1. Stato : stato della richiesta. Le richieste iniziano come In sospeso e possono essere approvate o negate da un amministratore.
      2. By : account dell'amministratore che ha approvato o negato la richiesta.
      3. Ultima modifica : l'ultima volta che è stata modificata la voce della richiesta.
      4. Giustificazione dell'utente : giustificazione fornita dall'utente per la richiesta di elevazione dei privilegi.
      5. Scadenza approvazione : ora di scadenza dell'approvazione. Fino a quando non viene raggiunta la scadenza, è consentita l'elevazione del file approvato.
      6. Amministrazione motivo: giustificazione fornita dall'amministratore quando viene completata un'approvazione o un rifiuto.

    3. Informazioni sui file : specifiche dei metadati per il file richiesto per l'approvazione.

    Immagine che visualizza i dettagli di una richiesta di elevazione.

  4. Dopo che un amministratore esamina una richiesta, può selezionare Approva o Nega. Con entrambe le selezioni, viene visualizzata la finestra di dialogo di giustificazione in cui è possibile fornire un motivo con dettagli sulla decisione. Specificare un motivo è facoltativo. Di seguito viene visualizzata la finestra di dialogo di approvazione:

    • Per le approvazioni : l'amministratore completa la finestra di dialogo di giustificazione e quindi seleziona per approvare la richiesta. Intune invia l'approvazione al dispositivo e l'utente finale riceve una notifica di tipo avviso popup che informa di essere in grado di elevare l'applicazione.

      L'utente finale può ora completare l'attività di elevazione usando il menu di scelta rapida Esegui con accesso con privilegi elevati del file.

      Immagine che visualizza la finestra di dialogo di approvazione dell'elevazione con la giustificazione dell'approvazione di esempio fornita come motivo

    • Per le negazioni : l'amministratore completa la finestra di dialogo di giustificazione e quindi seleziona per negare la richiesta.

      Quando un amministratore nega una richiesta di approvazione, la richiesta di elevazione dei privilegi non viene approvata. Intune non invia una risposta al dispositivo e l'utente non riceve una notifica.

      Immagine che visualizza la finestra di dialogo di negazione dell'elevazione dei privilegi senza alcuna giustificazione di approvazione di esempio fornita

Nota

Le richieste di elevazione dei privilegi contengono tutte le informazioni necessarie per creare una regola di elevazione, se necessario, inclusa la catena di certificati completa . Le elevazioni approvate del supporto vengono visualizzate anche nei dati sull'utilizzo delle elevazioni, come qualsiasi altra richiesta di elevazione.

Passaggi successivi