Share via


Ondersteuning voor goedgekeurde uitbreidingen van bestanden voor Endpoint Privilege Management

Opmerking

Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.

In dit artikel wordt uitgelegd hoe u de door ondersteuning goedgekeurde werkstroom gebruikt met Endpoint Privilege Management.

Met ondersteuning voor goedgekeurde verhogingen kunt u goedkeuring vereisen voordat een verhoging wordt toegestaan. U kunt de goedgekeurde ondersteuningsfunctionaliteit gebruiken als onderdeel van een uitbreidingsregel of als standaardclientgedrag. Aanvragen die worden ingediend, moeten Intune-beheerders de aanvraag per geval goedkeuren.

Wanneer een gebruiker probeert een bestand uit te voeren in een verhoogde context en dat bestand wordt beheerd door het goedgekeurde type uitbreiding van bestanden, wordt in Intune een prompt weergegeven aan de gebruiker om een aanvraag voor verhoging van bevoegdheden in te dienen. De aanvraag voor verhoging van bevoegdheden wordt vervolgens naar Intune verzonden voor beoordeling door een Intune-beheerder. Wanneer een beheerder de aanvraag voor verhoging van bevoegdheden goedkeurt, wordt de gebruiker op het apparaat op de hoogte gesteld en kan het bestand vervolgens worden uitgevoerd in de context met verhoogde bevoegdheden. Als u aanvragen wilt goedkeuren, moet het account van de Intune-beheerder extra machtigingen hebben die specifiek zijn voor de controle- en goedkeuringstaak.

Van toepassing op:

  • Windows 10
  • Windows 11

Over goedgekeurde verhogingen voor ondersteuning

Gebruik EPM-beleid met het ondersteuningstype goedgekeurde uitbreiding voor bestanden die goedkeuring van een beheerder nodig hebben voordat ze met een hogere toegang kunnen worden uitgevoerd. Ze zijn vergelijkbaar met andere EPM-uitbreidingsregels, maar ze hebben enkele verschillen die extra planning vereisen.

Tip

Zie Beleid voor windows-uitbreidingsregels om de drie typen uitbreidingsverhoging en andere beleidsopties te bekijken.

De volgende onderwerpen zijn details die u kunt plannen en verwachten wanneer u het goedgekeurde uitbreidingstype voor ondersteuning gebruikt:

  • Aanvragen voor uitbreiding van bevoegdheden

    Wanneer een gebruiker een bestand uitvoert met de rechtsklikoptie Uitvoeren met verhoogde toegang en dat bestand wordt beheerd door beleid met een goedgekeurde regel voor uitbreiding van bevoegdheden, wordt de gebruiker in Intune een prompt weergegeven voor het verzenden van een aanvraag voor verhoging van bevoegdheden naar het Intune-beheercentrum.

    • Met de prompt kan de gebruiker een zakelijke reden voor de uitbreiding invoeren. Deze reden maakt deel uit van de uitbreidingsaanvraag, die ook de naam, het apparaat en de bestandsnaam van de gebruiker bevat.

    • Wanneer de gebruiker de aanvraag verzendt, gaat deze naar het Intune-beheercentrum, waar een Intune-beheerder met machtigingen voor het beheren van deze aanvragen besluit deze goed te keuren of te weigeren.

    In de volgende afbeelding ziet u een voorbeeld van de prompt voor bestandsverhoging die gebruikers ervaren:

    Schermopname met een voorbeeld van de aanvraagprompt voor uitbreiding van gebruikers.

  • Aanvragen voor verhoging van bevoegdheden controleren

    Een Intune-beheerder moet beschikken over weergave- en beheerrechten voor de machtiging Uitbreidingsaanvragen voor endpoint privilege management voordat deze aanvragen voor uitbreidingsrechten kan controleren en goedkeuren.

    Om aanvragen te zoeken en erop te reageren, gebruiken deze beheerders het tabblad Uitbreidingsaanvragen van de pagina Endpoint Privilege Management in het beheercentrum. Omdat Intune geen manier heeft om beheerders op de hoogte te stellen van nieuwe uitbreidingsaanvragen, moeten beheerders het tabblad regelmatig controleren op aanvragen die in behandeling zijn.

    Beheerders die aanvragen voor uitbreiding kunnen beheren, kunnen een aanvraag accepteren of weigeren. Ze kunnen ook een reden voor hun beslissing opgeven. Deze reden maakt deel uit van de auditrecord voor de aanvraag.

    • Voor goedkeuringen: wanneer een beheerder een aanvraag voor uitbreidingstoestemming goedkeurt, verzendt Intune een beleid naar het apparaat waarop de gebruiker de aanvraag heeft ingediend, waardoor die gebruiker het bestand de komende 24 uur als verhoogde bevoegdheid kan uitvoeren. Deze periode begint op het moment dat de beheerder de aanvraag goedkeurt. Er is momenteel geen ondersteuning voor een aangepaste periode of annulering van de goedgekeurde verhoging voordat de periode van 24 uur is verstreken.

      Zodra de aanvraag is goedgekeurd, meldt Intune het apparaat en initieert een synchronisatie. Dit kan enige tijd duren. Intune gebruikt een melding op het apparaat om de gebruiker te waarschuwen dat het bestand nu kan worden uitgevoerd met de optie Uitvoeren met verhoogde toegang met de rechtermuisknop.

    • Voor weigeringen: Intune stelt de gebruiker niet op de hoogte. De beheerder moet de gebruiker handmatig laten weten dat de aanvraag is geweigerd.

  • Controle op aanvragen voor verhoging van bevoegdheden

    Een Intune-beheerder die over voldoende machtigingen beschikt, kan informatie bekijken over EPM-beleid, zoals het maken, bewerken en verwerken van aanvragen voor verhoging van bevoegdheden in de Intune-auditlogboeken, die beschikbaar zijn inAuditlogboeken voor tenantbeheer>.

    In de volgende schermopname ziet u een voorbeeld van het auditlogboek voor de duplicatie van een beleid voor door ondersteuning goedgekeurde uitbreiding, oorspronkelijk Testbeleid - ondersteuning goedgekeurd:

    Afbeelding met een vermelding in het auditlogboek voor een beleid voor goedgekeurde uitbreidingsregels.

RBAC-machtigingen voor uitbreidingsaanvragen

Alleen Intune-beheerders die beschikken over de volgende RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) in Intune kunnen aanvragen voor uitbreidingstoestemmingen bekijken en beheren om toezicht te houden op uitbreidingstoestemmingen:

  • Aanvragen voor verhoging van bevoegdheden voor eindpuntrechten : deze machtiging is vereist om te werken met aanvragen voor uitbreidingsrechten die door gebruikers ter goedkeuring worden ingediend en ondersteunt de volgende rechten:

    • Aanvragen voor verhoging van bevoegdheden weergeven
    • Uitbreidingsaanvragen wijzigen

Zie Op rollen gebaseerd toegangsbeheer voor Endpoint Privilege Management voor meer informatie over alle machtigingen voor het beheren van EPM.

Beleid maken voor ondersteuning van goedgekeurde bestandsverhogingen

Als u ondersteuningstoestemmingsbeleid wilt maken, gebruikt u dezelfde werkstroom voor het maken van andere beleidsregels voor EPM-uitbreidingsregel. Zie Beleid voor Windows-uitbreidingsregels in Beleidsregels configureren voor Endpoint Privilege Management.

Openstaande uitbreidingsaanvragen beheren

Gebruik de volgende procedure als richtlijn voor het beoordelen en beheren van uitbreidingsaanvragen.

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar het tabblad Aanvragen vooruitbreiding van eindpuntbeveiliging>Endpoint Privilege Management>.

  2. Op het tabblad Uitbreidingsaanvragen ziet u aanvragen in behandeling en aanvragen van de afgelopen 30 dagen. Als u een rij selecteert, opent u de eigenschappen van de uitbreidingsaanvraag, waar u de aanvraag in detail kunt bekijken.

  3. De details van de aanvraag voor verhoging van bevoegdheden bevatten de volgende informatie:

    1. Algemene details:

      • Bestand : de naam van het bestand dat is aangevraagd voor uitbreiding.
      • Publisher : de naam van de uitgever die het bestand heeft ondertekend dat is aangevraagd voor uitbreiding. De naam van de uitgever is een koppeling die de certificaatketen voor het bestand voor downloaden ophaalt.
      • Apparaat : het apparaat waar de uitbreiding is aangevraagd. De apparaatnaam is een koppeling waarmee het apparaatobject in het beheercentrum wordt geopend.
      • Intune-compatibel : de Intune-nalevingsstatus van het apparaat.
    2. Aanvraagdetails:

      • Status : status van de aanvraag. Aanvragen beginnen als In behandeling en kunnen worden goedgekeurd of geweigerd door een beheerder.
      • By : het account van de beheerder die de aanvraag heeft goedgekeurd of geweigerd .
      • Laatst gewijzigd : de laatste keer dat de aanvraagvermelding is gewijzigd.
      • Reden van gebruiker : de reden die door de gebruiker is opgegeven voor de uitbreidingsaanvraag.
      • Vervaldatum van goedkeuring : de tijd waarop de goedkeuring verloopt. Totdat deze vervaldatum is bereikt, is uitbreiding van het goedgekeurde bestand toegestaan.
      • Reden van beheerder : reden die door de beheerder is opgegeven wanneer een goedkeuring of weigering is voltooid.
    3. Bestandsinformatie : details van de metagegevens voor het bestand dat is aangevraagd voor goedkeuring.

    Afbeelding met de details van een verhogingsaanvraag.

  4. Nadat een beheerder een aanvraag heeft bekeken, kan deze Goedkeuren of Weigeren selecteren. Bij een van beide selecties wordt het dialoogvenster Reden weergegeven, waarin ze een reden kunnen opgeven met details over hun beslissing. Het opgeven van een reden is optioneel. Hieronder wordt het goedkeuringsdialoogvenster weergegeven:

    • Voor goedkeuringen : de beheerder voltooit het dialoogvenster Reden en selecteert vervolgens Ja om de aanvraag goed te keuren. Intune verzendt de goedkeuring naar het apparaat en de eindgebruiker krijgt een melding via een pop-upmelding dat ze de toepassing kunnen verhogen.

      De eindgebruiker kan nu de uitbreidingsactiviteit voltooien met behulp van het snelmenu Uitvoeren met verhoogde toegang van het bestand.

      Afbeelding met het dialoogvenster Goedkeuring van uitbreiding met voorbeeld van goedkeuring als reden opgegeven

    • Voor weigeringen : de beheerder voltooit het dialoogvenster Reden en selecteert vervolgens Ja om de aanvraag te weigeren.

      Wanneer een beheerder een aanvraag voor goedkeuring weigert, wordt de uitbreidingsaanvraag niet goedgekeurd. Intune verzendt geen antwoord naar het apparaat en de gebruiker krijgt geen melding.

      Afbeelding met het dialoogvenster Voor het weigeren van bevoegdheden zonder reden voor voorbeeldgoedkeuring

Opmerking

Uitbreidingsaanvragen bevatten alle informatie die nodig is om een regel voor uitbreiding te maken, inclusief de volledige certificaatketen. Ondersteuning goedgekeurde verhogingen worden ook weergegeven in de gegevens over het gebruik van bevoegdheden, net als andere aanvragen voor uitbreiding.

Volgende stappen