エンドポイント特権管理の承認済みファイル昇格をサポートする

  • [アーティクル]

注:

この機能は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Microsoft Intune エンドポイント特権管理 (EPM) を使用すると、organizationのユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 一般的に管理特権が必要なタスクは、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行です。

この記事では、Endpoint Privilege Management で サポートが承認された ワークフローを使用する方法について説明します。

承認された昇格をサポートすると、昇格が許可される前に承認を要求できます。 昇格ルールの一部として、または既定のクライアント動作として、サポートが承認された機能を使用できます。 送信された要求では、Intune管理者がケース バイ ケースで要求を承認する必要があります。

ユーザーが昇格されたコンテキストでファイルを実行しようとしたときに、そのファイルがサポート承認されたファイル昇格の種類によって管理されている場合、昇格要求を送信するように求めるプロンプトがユーザーに表示Intune。 昇格要求は、Intune管理者によって確認のためにIntuneに送信されます。管理者が昇格要求を承認すると、デバイス上のユーザーに通知が送信され、管理者特権のコンテキストでファイルを実行できます。 要求を承認するには、Intune管理者のアカウントに、レビューと承認タスクに固有の追加のアクセス許可が必要です。

適用対象:

  • Windows 10
  • Windows 11

サポートが承認された昇格について

管理者が高いアクセス権で実行する前に、管理者の承認が必要なファイルに対して、 サポートされている 昇格の種類で EPM ポリシーを使用します。 他の EPM 昇格規則と似ていますが、追加の計画が必要な違いがいくつかあります。

ヒント

3 つの昇格の種類とその他のポリシー オプションを確認するには、「 Windows 昇格ルール ポリシー」を参照してください。

次の件名は、サポートが承認された昇格の種類を使用する場合に計画し、予想される詳細です。

  • 昇格要求

    ユーザーが右クリック オプションの [管理者特権で実行] オプションを使用してファイルを実行し、そのファイルが、サポートされている昇格規則を使用してポリシーによって管理されている場合、Intuneは、昇格要求をIntune管理センターに送信するためのプロンプトをユーザーに表示します。

    • プロンプトにより、ユーザーは昇格のビジネス上の理由を入力できます。 この理由は昇格要求の一部になり、ユーザーの名前、デバイス、ファイル名も含まれます。

    • ユーザーが要求を送信すると、Intune管理センターに移動します。そこで、これらの要求を管理するためのアクセス許可を持つIntune管理者が承認または拒否することを決定します。

    次の図は、ユーザーが表示するファイル昇格プロンプトの例を示しています。

    ユーザー昇格要求プロンプトの例を表示するスクリーン キャプチャ。

  • 昇格要求のレビュー

    Intune管理者は、昇格要求を確認および承認する前に、エンドポイント特権管理昇格要求アクセス許可の表示および管理権限を持っている必要があります。

    これらの管理者は、要求を検索して応答するために、管理センターの [エンドポイント特権管理] ページの [昇格要求] タブを使用します。 Intuneには新しい昇格要求について管理者に通知する方法がないため、管理者は保留中の要求に対してタブを定期的にチェックすることを計画する必要があります。

    昇格の要求を管理できる管理者は、要求を受け入れるか拒否できます。 また、決定の理由を提供することもできます。 この理由は、要求の監査レコードの一部になります。

    • 承認: 管理者が昇格要求を承認すると、Intuneは、ユーザーが要求を送信したデバイスにポリシーを送信します。これにより、そのユーザーは次の 24 時間管理者特権でファイルを実行できます。 この期間は、管理者が要求を承認した時点から始まります。 24 時間の有効期限が切れる前に、カスタム期間の現在のサポートや承認された昇格の取り消しはありません。

      要求が承認されると、Intuneはデバイスに通知し、同期を開始します。これには時間がかかる場合があります。Intuneは、デバイス上の通知を使用して、[管理者特権で実行] 右クリック オプションを使用してファイルを正常に実行できることをユーザーに警告します。

    • 拒否の場合: Intuneはユーザーに通知しません。 管理者は、要求が拒否されたことをユーザーに手動で通知する必要があります。

  • 昇格要求の監査

    十分なアクセス許可を持つIntune管理者は、テナント管理>監査ログで使用できる、Intune監査ログの作成、編集、昇格要求の処理などの EPM ポリシーに関する情報を表示できます。

    次の画面キャプチャは、もともとテスト ポリシー - サポートが承認されたという名前の、サポートが承認された昇格ポリシーの重複に対する監査ログの例を示しています。

    サポートが承認された昇格ルール ポリシーの監査ログ エントリを表示する画像。

昇格要求に対する RBAC アクセス許可

昇格の承認を監視するには、Intuneで次のロールベースのアクセス制御 (RBAC) アクセス許可を持つIntune管理者のみが昇格要求を表示および管理できます。

  • Endpoint Privilege Management 昇格要求 - このアクセス許可は、承認のためにユーザーによって送信された昇格要求を処理するために必要であり、次の権限をサポートします。

    • 昇格要求を表示する
    • 昇格要求を変更する

EPM を管理するためのすべてのアクセス許可の詳細については、「 エンドポイント特権管理のロールベースのアクセス制御」を参照してください。

サポートされている承認済みファイル昇格のポリシーを作成する

サポートが承認された昇格ポリシーを作成するには、同じワークフローを使用して他の EPM 昇格ルール ポリシーを作成します。 「エンドポイント特権管理のポリシーを構成する」の「Windows 昇格ルール ポリシーを作成する」を参照してください。

保留中の昇格要求を管理する

昇格要求を確認および管理するためのガイダンスとして、次の手順を使用します。

  1. Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ>エンドポイント特権管理>の昇格要求] タブに移動します。

  2. [昇格要求] タブには過去 30 日間の保留中の要求と要求が表示されます。 行を選択すると、昇格要求プロパティがエントリされ、要求を詳細に確認できます。

  3. 昇格要求の詳細には、次の情報が含まれます。

    1. 一般的な詳細:

      1. ファイル - 昇格を要求されたファイルの名前。
      2. Publisher - 昇格を要求されたファイルに署名した発行元の名前。 発行元の名前は、ダウンロードするファイルの証明書チェーンを取得するリンクです。
      3. デバイス - 昇格が要求されたデバイス。 デバイス名は、管理センターでデバイス オブジェクトを開くリンクです。
      4. Intune準拠 - デバイスのIntuneコンプライアンス状態。

    2. 要求の詳細:

      1. 状態 - 要求の状態。 要求は 保留中 として開始され、管理者が 承認 または 拒否 できます。
      2. By - 要求を 承認 または 拒否した 管理者のアカウント。
      3. 最終更新日 - 要求エントリが最後に変更された時刻。
      4. ユーザーの正当な理由 - 昇格要求に対してユーザーによって提供される正当な理由。
      5. 承認の有効期限 - 承認の有効期限が切れる時刻。 この有効期限に達するまで、承認済みファイルの昇格が許可されます。
      6. 管理の理由 - 承認または拒否が完了したときに管理者によって提供される正当な理由。

    3. ファイル情報 - 承認を要求されたファイルのメタデータの詳細。

    昇格要求の詳細を表示する画像。

  4. 管理者は、要求を確認した後、[ 承認] または [ 拒否] を選択できます。 どちらの選択でも、 理由ダイアログが 表示され、決定に関する詳細が 理由 で提供されます。 理由の指定は省略可能です。 承認ダイアログが表示されます。

    • 承認の場合 - 管理者は正当な理由ダイアログを完了し、[ はい ] を選択して要求を承認します。 Intuneは承認をデバイスに送信し、エンド ユーザーはトースト通知を介してアプリケーションを昇格できることを通知します。

      エンド ユーザーは、ファイルの [ 昇格されたアクセス権を持つ実行 ] 右クリック メニューを使用して、昇格アクティビティを完了できるようになりました。

      理由として提供されるサンプル承認の理由を含む昇格の承認ダイアログを表示する画像

    • 拒否の場合 - 管理者は正当な理由ダイアログを完了し、[ はい ] を選択して要求を拒否します。

      管理者が承認要求を拒否すると、昇格要求は承認されません。 Intuneはデバイスに応答を送信せず、ユーザーには通知されません。

      承認の理由が指定されていない昇格拒否ダイアログを表示する画像

注:

昇格要求には、必要に応じて昇格規則を作成するために必要なすべての情報 ( 証明書チェーン全体 を含む) が含まれます。 サポートされている昇格は、他の昇格要求と同様に、昇格の使用状況データにも表示されます。

次の手順