Obsługa zatwierdzonych podniesienia uprawnień plików dla usługi Endpoint Privilege Management

  • Artykuł

Uwaga

Ta funkcja jest dostępna jako dodatek Intune. Aby uzyskać więcej informacji, zobacz Korzystanie z funkcji dodatku Intune Suite.

Dzięki Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune (EPM) użytkownicy organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

W tym artykule wyjaśniono, jak używać zatwierdzonego przepływu pracy pomocy technicznej z usługą Endpoint Privilege Management.

Obsługa zatwierdzonych podniesienia uprawnień umożliwia wymaganie zatwierdzenia przed zezwoleniem na podniesienie uprawnień. Możesz użyć funkcji zatwierdzonej przez obsługę w ramach reguły podniesienia uprawnień lub jako domyślnego zachowania klienta. Przesłane żądania wymagają, aby administratorzy Intune zatwierdzali żądanie w zależności od przypadku.

Gdy użytkownik próbuje uruchomić plik w kontekście z podwyższonym poziomem uprawnień, a ten plik jest zarządzany przez typ podniesienia uprawnień pliku zatwierdzonego przez obsługę, Intune wyświetla monit do użytkownika o przesłanie żądania podniesienia uprawnień. Żądanie podniesienia uprawnień jest następnie wysyłane do Intune do przeglądu przez administratora Intune. Gdy administrator zatwierdzi żądanie podniesienia uprawnień, użytkownik na urządzeniu zostanie powiadomiony, a następnie plik może zostać uruchomiony w kontekście z podwyższonym poziomem uprawnień. Aby zatwierdzić żądania, konto administratora Intune musi mieć dodatkowe uprawnienia specyficzne dla zadania przeglądu i zatwierdzania.

Dotyczy:

  • Windows 10
  • Windows 11

Informacje o obsługiwanych podniesieniach uprawnień

Użyj zasad EPM z obsługiwanym typem podniesienia uprawnień dla plików, które wymagają zatwierdzenia przez administratora, zanim będą mogły działać z wyższym dostępem. Są one podobne do innych reguł podniesienia uprawnień epm, ale mają pewne różnice, które wymagają dodatkowego planowania.

Porada

Aby przejrzeć trzy typy podniesienia uprawnień i inne opcje zasad, zobacz Zasady reguł podniesienia uprawnień systemu Windows.

Następujące tematy to szczegóły, które należy zaplanować i oczekiwać, gdy używasz zatwierdzonego typu podniesienia uprawnień pomocy technicznej:

  • Żądania podniesienia uprawnień

    Gdy użytkownik uruchamia plik z opcją kliknięcia prawym przyciskiem myszy Uruchom z podwyższonym poziomem uprawnień dostępu, a ten plik jest zarządzany przez zasady z zatwierdzoną regułą podniesienia uprawnień, Intune wyświetla użytkownikowi monit o wysłanie żądania podniesienia uprawnień do centrum administracyjnego Intune.

    • Monit umożliwia użytkownikowi wprowadzenie przyczyny biznesowej podniesienia uprawnień. Ten powód staje się częścią żądania podniesienia uprawnień, które zawiera również nazwę użytkownika, urządzenie i nazwę pliku.

    • Gdy użytkownik wyśle żądanie, przechodzi do centrum administracyjnego Intune, gdzie administrator Intune z uprawnieniami do zarządzania tymi żądaniami decyduje się je zatwierdzić lub odmówić.

    Na poniższej ilustracji przedstawiono przykład wiersza polecenia podniesienia uprawnień pliku, który jest wyświetlany dla użytkowników:

    Zrzut ekranu przedstawiający przykład monitu o podniesienie uprawnień użytkownika.

  • Przegląd żądań podniesienia uprawnień

    Administrator Intune musi mieć uprawnienia do wyświetlania i zarządzaniauprawnieniami żądania podniesienia uprawnień zarządzania uprawnieniami punktu końcowego, zanim będzie mógł przeglądać i zatwierdzać żądania podniesienia uprawnień.

    Aby znaleźć żądania i odpowiedzieć na nie, administratorzy używają karty Żądania podniesienia uprawnień na stronie Zarządzanie uprawnieniami punktu końcowego w centrum administracyjnym. Ponieważ Intune nie ma możliwości powiadamiania administratorów o nowych żądaniach podniesienia uprawnień, administratorzy powinni planować regularne sprawdzanie karty pod kątem oczekujących żądań.

    Administratorzy, którzy mogą zarządzać żądaniami podniesienia uprawnień, mogą akceptować lub odrzucać żądanie. Mogą również podać powód swojej decyzji. Ten powód staje się częścią rekordu inspekcji dla żądania.

    • W przypadku zatwierdzeń: gdy administrator zatwierdzi żądanie podniesienia uprawnień, Intune wysyła zasady do urządzenia, na którym użytkownik przesłał żądanie, co umożliwia temu użytkownikowi uruchomienie pliku z podwyższonym poziomem uprawnień przez następne 24 godziny. Ten okres rozpoczyna się od momentu zatwierdzenia żądania przez administratora. Nie ma bieżącej obsługi niestandardowego okresu lub anulowania zatwierdzonego podniesienia uprawnień przed upływem 24-godzinnego okresu.

      Po zatwierdzeniu żądania Intune powiadamia urządzenie i inicjuje synchronizację. Może to zająć trochę czasu. Intune używa powiadomienia na urządzeniu, aby powiadomić użytkownika, że może teraz pomyślnie uruchomić plik za pomocą opcji Uruchom z podwyższonym poziomem uprawnień dostępu kliknij prawym przyciskiem myszy.

    • W przypadku odmów: Intune nie powiadamia użytkownika. Administrator powinien ręcznie powiadomić użytkownika o odrzuceniu żądania.

  • Inspekcja żądań podniesienia uprawnień

    Administrator Intune, który ma wystarczające uprawnienia, może wyświetlać informacje o zasadach EPM, takie jak tworzenie, edytowanie i obsługa żądań podniesienia uprawnień w dziennikach inspekcji Intune, dostępne wdziennikach inspekcjiadministracji> dzierżawy.

    Poniższe przechwytywanie ekranu przedstawia przykład dziennika inspekcji duplikowania zasad podniesienia uprawnień zatwierdzonych przez pomoc techniczną , pierwotnie o nazwie Test policy — support approved:

    Obraz przedstawiający wpis dziennika inspekcji dla zasad reguł podniesienia uprawnień zatwierdzonych przez obsługę.

Uprawnienia RBAC dla żądań podniesienia uprawnień

Aby zapewnić nadzór nad zatwierdzeniami podniesienia uprawnień, tylko administratorzy Intune, którzy mają następujące uprawnienia kontroli dostępu na podstawie ról (RBAC) w Intune mogą wyświetlać żądania podniesienia uprawnień i zarządzać nimi:

  • Żądania podniesienia uprawnień usługi Endpoint Privilege Management — to uprawnienie jest wymagane do pracy z żądaniami podniesienia uprawnień przesłanymi przez użytkowników do zatwierdzenia i obsługuje następujące prawa:

    • Wyświetlanie żądań podniesienia uprawnień
    • Modyfikowanie żądań podniesienia uprawnień

Aby uzyskać więcej informacji na temat wszystkich uprawnień do zarządzania programem EPM, zobacz Kontrola dostępu oparta na rolach dla usługi Endpoint Privilege Management.

Tworzenie zasad dla obsługi zatwierdzonych podniesienia uprawnień plików

Aby utworzyć zasady podniesienia uprawnień zatwierdzone przez obsługę, użyj tego samego przepływu pracy do tworzenia innych zasad reguł podniesienia uprawnień EPM. Zobacz Create a Windows elevation rules policy in Configure policies for Endpoint Privilege Management (Tworzenie zasad podniesienia uprawnień systemu Windows) w temacie Configure policies for Endpoint Privilege Management (Konfigurowanie zasad dla usługi Endpoint Privilege Management).

Zarządzanie oczekującymi żądaniami podniesienia uprawnień

Skorzystaj z poniższej procedury jako wskazówek dotyczących przeglądania żądań podniesienia uprawnień i zarządzania nimi.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do kartyŻądania podniesienia uprawnień usługi Endpoint Security>Endpoint Privilege Management>.

  2. Karta Żądania podniesienia uprawnień pokazuje oczekujące żądania i żądania z ostatnich 30 dni. Wybranie wiersza powoduje otwarcie wpisów właściwości żądania podniesienia uprawnień, w którym można szczegółowo przejrzeć żądanie.

  3. Szczegóły żądania podniesienia uprawnień obejmują następujące informacje:

    1. Szczegóły ogólne:

      1. Plik — nazwa pliku, którego zażądano podniesienia uprawnień.
      2. Publisher — nazwa wydawcy, który podpisał plik, którego zażądano podniesienia uprawnień. Nazwa wydawcy to link, który pobiera łańcuch certyfikatów dla pliku do pobrania.
      3. Urządzenie — urządzenie, z którego zażądano podniesienia uprawnień. Nazwa urządzenia to link, który otwiera obiekt urządzenia w centrum administracyjnym.
      4. Intune zgodne — stan zgodności Intune urządzenia.

    2. Szczegóły żądania:

      1. Stan — stan żądania. Żądania są uruchamiane jako Oczekujące i mogą zostać zatwierdzone lub odrzucone przez administratora.
      2. Przez — konto administratora, który zatwierdził lub odrzucił żądanie.
      3. Ostatnia modyfikacja — czas ostatniej modyfikacji wpisu żądania.
      4. Uzasadnienie użytkownika — uzasadnienie podane przez użytkownika dla żądania podniesienia uprawnień.
      5. Wygaśnięcie zatwierdzenia — czas wygaśnięcia zatwierdzenia. Do czasu osiągnięcia tego czasu wygaśnięcia dozwolone jest podniesienie poziomu zatwierdzonego pliku.
      6. przyczyna Administracja — uzasadnienie podane przez administratora po zakończeniu zatwierdzania lub odmowy.

    3. Informacje o pliku — szczegóły metadanych dla pliku, który został zażądany do zatwierdzenia.

    Obraz przedstawiający szczegóły żądania podniesienia uprawnień.

  4. Gdy administrator przegląda żądanie, może wybrać pozycję Zatwierdź lub Odmów. W przypadku dowolnego wyboru są one wyświetlane w oknie dialogowym uzasadnień , w którym mogą podać przyczynę ze szczegółowym opisem swojej decyzji. Podanie przyczyny jest opcjonalne. Poniżej przedstawiono okno dialogowe zatwierdzania:

    • W przypadku zatwierdzeń — administrator kończy okno dialogowe uzasadnień, a następnie wybiera pozycję Tak , aby zatwierdzić żądanie. Intune wysyła zatwierdzenie do urządzenia, a użytkownik końcowy jest powiadamiany za pośrednictwem wyskakujących powiadomień, że może podnieść poziom aplikacji.

      Użytkownik końcowy może teraz ukończyć działanie podniesienia uprawnień przy użyciu menu Uruchom z podwyższonym poziomem uprawnień dostępu kliknij prawym przyciskiem myszy plik.

      Obraz przedstawiający okno dialogowe zatwierdzania podniesienia uprawnień z przykładowym uzasadnieniem zatwierdzenia podanym jako przyczyna

    • W przypadku odmów — administrator kończy okno dialogowe uzasadnień, a następnie wybiera pozycję Tak , aby odrzucić żądanie.

      Gdy administrator odmówi żądania zatwierdzenia, żądanie podniesienia uprawnień nie zostanie zatwierdzone. Intune nie wysyła odpowiedzi na urządzenie, a użytkownik nie jest powiadamiany.

      Obraz przedstawiający okno dialogowe odmowy podniesienia uprawnień bez przykładowego uzasadnienia zatwierdzenia

Uwaga

Żądania podniesienia uprawnień zawierają wszystkie informacje potrzebne do utworzenia reguły podniesienia uprawnień w razie potrzeby, w tym kompletny łańcuch certyfikatów. Obsługa zatwierdzonych podniesienia uprawnień jest również wyświetlana w danych użycia podniesienia uprawnień, podobnie jak w przypadku innych żądań podniesienia uprawnień.

Następne kroki