Suporte a elevações de arquivo aprovadas para o Gerenciamento de Privilégios do Ponto de Extremidade

  • Artigo

Observação

Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.

Com Gerenciamento de privilégios de ponto de extremidade do Microsoft Intune (EPM) os usuários da sua organização podem ser executados como um usuário padrão (sem direitos de administrador) e concluir tarefas que exigem privilégios elevados. As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como Aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinadas diagnóstico do Windows.

Este artigo explica como usar o fluxo de trabalho aprovado pelo suporte com o Endpoint Privilege Management.

As elevações aprovadas de suporte permitem que você exija aprovação antes que uma elevação seja permitida. Você pode usar a funcionalidade aprovada pelo suporte como parte de uma regra de elevação ou como comportamento padrão do cliente. As solicitações enviadas exigem Intune administradores aprovem a solicitação caso a caso.

Quando um usuário tenta executar um arquivo em um contexto elevado e esse arquivo é gerenciado pelo tipo de elevação de arquivo aprovado pelo suporte, Intune mostra um prompt para o usuário enviar uma solicitação de elevação. Em seguida, a solicitação de elevação é enviada para Intune para revisão por um administrador Intune. Quando um administrador aprova a solicitação de elevação, o usuário no dispositivo é notificado e o arquivo pode ser executado no contexto elevado. Para aprovar solicitações, a conta do administrador Intune deve ter permissões extras específicas para a tarefa de revisão e aprovação.

Aplicável a:

  • Windows 10
  • Windows 11

Sobre as elevações aprovadas por suporte

Use políticas de EPM com o tipo de elevação aprovado por suporte para arquivos que precisam da aprovação de um administrador antes que eles possam ser executados com acesso mais alto. Eles são semelhantes a outras regras de elevação do EPM, mas têm algumas diferenças que precisam de planejamento extra.

Dica

Para examinar os três tipos de elevação e outras opções de política, consulte Política de regras de elevação do Windows.

Os seguintes assuntos são detalhes a serem planejados e esperados quando você usa o tipo de elevação aprovado pelo suporte:

  • Solicitações de elevação

    Quando um usuário executa um arquivo com a opção de clique com o botão direito do mouse Executar com acesso elevado e esse arquivo é gerenciado por política com uma regra de elevação aprovada pelo suporte, Intune mostra ao usuário um prompt para enviar uma solicitação de elevação para o centro de administração Intune.

    • O prompt permite que o usuário insira um motivo comercial para a elevação. Esse motivo torna-se parte da solicitação de elevação, que também contém o nome do usuário, o dispositivo e o nome do arquivo.

    • Quando o usuário envia a solicitação, ela vai para o centro de administração Intune em que um administrador Intune com permissões para gerenciar essas solicitações decide aprová-la ou negá-la.

    A imagem a seguir mostra um exemplo do prompt de elevação de arquivo que os usuários experimentam:

    Captura de tela que exibe um exemplo do prompt de solicitação de elevação do usuário.

  • Revisão de solicitações de elevação

    Um administrador Intune deve ter direitos de exibição e gerenciamento para a permissão de Solicitações de Elevação de Gerenciamento de Privilégios do Ponto de Extremidade antes de poder examinar e aprovar solicitações de elevação.

    Para localizar e responder às solicitações, esses administradores usam a guia Solicitações de Elevação da página Gerenciamento de Privilégios do Ponto de Extremidade no centro de administração. Como Intune não tem como notificar os administradores sobre novas solicitações de elevação, os administradores devem planejar marcar a guia regularmente para solicitações pendentes.

    Os administradores que podem gerenciar solicitações de elevação podem aceitar ou rejeitar uma solicitação. Eles também podem fornecer uma razão para sua decisão. Esse motivo torna-se parte do registro de auditoria da solicitação.

    • Para aprovações: quando um administrador aprova uma solicitação de elevação, Intune envia uma política para o dispositivo em que o usuário enviou a solicitação, o que permite que esse usuário execute o arquivo como elevado pelas próximas 24 horas. Esse período começa no momento em que o administrador aprova a solicitação. Não há suporte atual para um período de tempo personalizado ou cancelamento da elevação aprovada antes do período de 24 horas expirar.

      Depois que a solicitação é aprovada, Intune notifica o dispositivo e inicia uma sincronização. Isso pode levar algum tempo. Intune usa uma notificação no dispositivo para alertar o usuário de que agora ele pode executar o arquivo com êxito com a opção Executar com acesso elevado com o botão direito do mouse.

    • Para negações: Intune não notifica o usuário. O administrador deve notificar manualmente o usuário de que sua solicitação foi negada.

  • Auditoria para solicitações de elevação

    Um administrador Intune que tem permissões suficientes pode exibir informações sobre a política do EPM, como criação, edição e o tratamento de solicitações de elevação nos logs de auditoria Intune, disponíveis noslogs de auditoria de administração> do locatário.

    A captura de tela a seguir mostra um exemplo do log de auditoria para a duplicação de uma política de elevação aprovada pelo suporte , originalmente chamada de política de teste – suporte aprovado:

    Imagem que exibe uma entrada de log de auditoria para uma política de regras de elevação aprovadas por suporte.

Permissões RBAC para solicitações de elevação

Para fornecer supervisão para aprovações de elevação, apenas Intune administradores que têm as seguintes permissões de RBAC (controle de acesso baseado em função) em Intune podem exibir e gerenciar solicitações de elevação:

  • Solicitações de Elevação de Gerenciamento de Privilégios de Ponto de Extremidade – essa permissão é necessária para trabalhar com solicitações de elevação enviadas pelos usuários para aprovação e dá suporte aos seguintes direitos:

    • Exibir solicitações de elevação
    • Modificar solicitações de elevação

Para obter mais informações sobre todas as permissões para gerenciar o EPM, consulte Controles de acesso baseados em função para o Endpoint Privilege Management.

Criar política para elevações de arquivo aprovadas por suporte

Para criar uma política de elevação aprovada pelo suporte, use o mesmo fluxo de trabalho para criar outras políticas de regra de elevação do EPM. Consulte Criar uma política de regras de elevação do Windows em Configurar políticas para Gerenciamento de Privilégios do Ponto de Extremidade.

Gerenciar solicitações de elevação pendentes

Use o procedimento a seguir como diretrizes para revisar e gerenciar solicitações de elevação.

  1. Entre no centro de administração Microsoft Intune e acesse a guiaSolicitações de Elevação deGerenciamento> de Privilégios do Ponto de Extremidade de Segurança> do Ponto de Extremidade.

  2. A guia solicitações de elevação mostra solicitações e solicitações pendentes dos últimos 30 dias. A seleção de uma linha abre as propriedades da solicitação de elevação de entradas, em que você pode examinar a solicitação em detalhes.

  3. Os detalhes da solicitação de elevação incluem as seguintes informações:

    1. Detalhes gerais:

      1. Arquivo – O nome do arquivo que foi solicitado para elevação.
      2. Publisher – o nome do editor que assinou o arquivo que foi solicitado para elevação. O nome do editor é um link que recupera a cadeia de certificados do arquivo para download.
      3. Dispositivo – O dispositivo de onde a elevação foi solicitada. O nome do dispositivo é um link que abre o objeto do dispositivo no centro de administração.
      4. Intune compatível - O estado de conformidade Intune do dispositivo.

    2. Detalhes da solicitação:

      1. Status – Status da solicitação. As solicitações começam como Pendentes e podem ser aprovadas ou negadas por um administrador.
      2. Por – A conta do administrador que aprovou ou negou a solicitação.
      3. Última modificação – a última vez que a entrada da solicitação foi modificada.
      4. Justificativa do usuário – A justificativa fornecida pelo usuário para a solicitação de elevação.
      5. Expiração de aprovação – a hora em que a aprovação expira. Até que esse tempo de expiração seja atingido, a elevação do arquivo aprovado é permitida.
      6. O motivo de Administração – Justificativa fornecida pelo administrador quando uma aprovação ou negação é concluída.

    3. Informações do arquivo – detalhes dos metadados do arquivo que foi solicitado para aprovação.

    Imagem que exibe os detalhes de uma solicitação de elevação.

  4. Depois que um administrador revisar uma solicitação, ele poderá selecionar Aprovar ou Negar. Com qualquer seleção, eles são apresentados com a caixa de diálogo de justificativa em que podem fornecer uma Razão com detalhes sobre sua decisão. Fornecer um motivo é opcional. O seguinte exibe a caixa de diálogo de aprovação:

    • Para aprovações – o administrador conclui a caixa de diálogo de justificativa e, em seguida, seleciona Sim para aprovar a solicitação. Intune envia a aprovação para o dispositivo e o usuário final é notificado por meio de uma notificação de que ele é capaz de elevar o aplicativo.

      O usuário final agora pode concluir a atividade de elevação usando o menu Executar com acesso elevado com o botão direito do mouse do arquivo.

      Imagem que exibe a caixa de diálogo de aprovação de elevação com a justificativa de aprovação de exemplo fornecida como o motivo

    • Para negações - o administrador conclui a caixa de diálogo de justificativa e, em seguida, seleciona Sim para negar a solicitação.

      Quando um administrador nega um pedido de aprovação, a solicitação de elevação não é aprovada. Intune não envia uma resposta ao dispositivo e o usuário não é notificado.

      Imagem que exibe a caixa de diálogo negação de elevação sem nenhuma justificativa de aprovação de exemplo fornecida

Observação

As solicitações de elevação contêm todas as informações necessárias para criar uma regra de elevação, se necessário, incluindo a cadeia de certificados completa . As elevações aprovadas de suporte também são mostradas nos dados de uso de elevação, como qualquer outra solicitação de elevação.

Próximas etapas