Поделиться через


Поддержка утвержденного повышения прав файлов для управления привилегиями конечных точек

Примечание.

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и выполнение определенных средств диагностики Windows.

В этой статье объясняется, как использовать утвержденный рабочий процесс поддержки с endpoint Privilege Management.

Поддержка утвержденных повышений прав позволяет требовать утверждения перед разрешением повышения прав. Утвержденные функции поддержки можно использовать как часть правила повышения прав или как поведение клиента по умолчанию. Отправленные запросы требуют, чтобы администраторы Intune утверждали запрос в индивидуальном порядке.

Когда пользователь пытается запустить файл в контексте с повышенными привилегиями, и этот файл управляется утвержденным типом повышения прав файлов поддержки, Intune показывает пользователю запрос на отправку запроса на повышение прав. Затем запрос на повышение прав отправляется в Intune для проверки администратором Intune. Когда администратор утверждает запрос на повышение прав, пользователь на устройстве получает уведомление, а затем файл можно запустить в контексте с повышенными привилегиями. Для утверждения запросов учетная запись администратора Intune должна иметь дополнительные разрешения, относящиеся к задаче проверки и утверждения.

Применимо к:

  • Windows 10
  • Windows 11

Сведения о поддержке утвержденных повышений прав

Используйте политики EPM с поддержкой утвержденного типа повышения прав для файлов, которым требуется утверждение администратора, прежде чем они смогут запуститься с более высоким доступом. Они похожи на другие правила повышения прав EPM, но у них есть некоторые различия, требующие дополнительного планирования.

Совет

Сведения о трех типах прав и других параметрах политики см. в статье Политика правил повышения прав Windows.

Ниже приведены сведения, которые следует планировать и ожидать при использовании утвержденного типа повышения уровня поддержки:

  • Запросы на повышение прав

    Когда пользователь запускает файл с параметром "Запустить с повышенным доступом" и управляется политикой с утвержденным правилом повышения прав, Intune отображает пользователю запрос на отправку запроса на повышение прав в Центр администрирования Intune.

    • Запрос позволяет пользователю ввести бизнес-причину повышения прав. Эта причина становится частью запроса на повышение прав, который также содержит имя пользователя, устройство и имя файла.

    • Когда пользователь отправляет запрос, он отправляется в Центр администрирования Intune, где администратор Intune с разрешениями на управление этими запросами решает утвердить или отклонить его.

    На следующем рисунке показан пример запроса на повышение прав файлов, с которыми сталкиваются пользователи:

    Снимок экрана с примером запроса на повышение прав пользователя.

  • Проверка запросов на повышение прав

    Прежде чем администратор Intune сможет просматривать и утверждать запросы на повышение прав, администратор Intune должен иметь права на просмотр и управление ими для разрешения на запросы на повышение привилегий конечной точки.

    Чтобы найти запросы и ответить на них, эти администраторы используют вкладку Запросы на повышение прав на странице Endpoint Privilege Management в Центре администрирования. Так как Intune не позволяет уведомлять администраторов о новых запросах на повышение прав, администраторы должны запланировать регулярно проверять вкладку для ожидающих запросов.

    Администраторы, которые могут управлять запросами на повышение прав, могут принимать или отклонять запросы. Они также могут указать причину для своего решения. Эта причина становится частью записи аудита для запроса.

    • Для утверждений. Когда администратор утверждает запрос на повышение прав, Intune отправляет политику на устройство, на которое пользователь отправил запрос, что позволяет пользователю запускать файл с повышенными привилегиями в течение следующих 24 часов. Этот период начинается с момента утверждения администратором запроса. В настоящее время не поддерживается настраиваемый период времени или отмена утвержденного повышения до истечения 24-часового периода.

      После утверждения запроса Intune уведомляет устройство и инициирует синхронизацию. Это может занять некоторое время. Intune использует уведомление на устройстве, чтобы предупредить пользователя о том, что теперь он может успешно запустить файл с помощью параметра Запустить с повышенными правами доступа.

    • Для отказов: Intune не уведомляет пользователя. Администратор должен вручную уведомить пользователя о том, что его запрос был отклонен.

  • Аудит запросов на повышение прав

    Администратор Intune, имеющий достаточно разрешений, может просматривать сведения о политике EPM, такие как создание, редактирование и обработка запросов на повышение прав, в журналах аудита Intune, доступных вразделе Журналы аудитаадминистрирования> клиента.

    На следующем снимке экрана показан пример журнала аудита для дублирования утвержденной политики повышения прав поддержки , первоначально называемой Тестовая политика — поддержка утверждена:

    Изображение, отображающее запись журнала аудита для политики утвержденных правил повышения прав.

Разрешения RBAC для запросов на повышение прав

Чтобы обеспечить контроль за утверждениями повышения прав, только администраторы Intune, имеющие следующие разрешения на управление доступом на основе ролей (RBAC) в Intune, могут просматривать запросы на повышение прав и управлять ими:

  • Запросы на повышение прав конечных точек. Это разрешение требуется для работы с запросами на повышение прав, которые отправляются пользователями на утверждение, и поддерживает следующие права:

    • Просмотр запросов на повышение прав
    • Изменение запросов на повышение прав

Дополнительные сведения обо всех разрешениях для управления EPM см. в разделе Управление доступом на основе ролей для Управления привилегиями конечных точек.

Создание политики для поддержки утвержденного повышения прав файлов

Чтобы создать утвержденную поддержку политики повышения прав, используйте тот же рабочий процесс для создания других политик правил повышения прав EPM. См . статью Политика правил повышения прав Windows в разделе Настройка политик для управления привилегиями конечных точек.

Управление ожидающих запросов на повышение прав

Используйте следующую процедуру в качестве руководства по проверке запросов на повышение прав и управлению ими.

  1. Войдите в Центр администрирования Microsoft Intune и перейдитена вкладкуЗапросы на повышение прав доступа к конечной > точке безопасности >конечной точки.

  2. На вкладке запросы на повышение прав отображаются ожидающие запросы и запросы за последние 30 дней. При выборе строки отображаются свойства запроса на повышение прав, где можно подробно просмотреть запрос.

  3. Сведения о запросе на повышение прав включают следующие сведения:

    1. Общие сведения:

      • File — имя файла, который был запрошен для повышения прав.
      • Publisher — имя издателя, подписавшего файл, который был запрошен для повышения прав. Имя издателя — это ссылка, которая извлекает цепочку сертификатов для файла для скачивания.
      • Устройство — устройство, с которого было запрошено повышение прав. Имя устройства — это ссылка, которая открывает объект устройства в Центре администрирования.
      • Соответствие Intune — состояние соответствия Intune устройства.
    2. Сведения о запросе:

      • Состояние — состояние запроса. Запросы начинаются как ожидающие и могут быть утверждены или отклонены администратором.
      • By — учетная запись администратора, который одобрил или отклонил запрос.
      • Последнее изменение — время последнего изменения записи запроса.
      • Обоснование пользователя — обоснование, предоставленное пользователем для запроса на повышение прав.
      • Срок действия утверждения — время истечения срока действия утверждения. До достижения этого срока действия разрешено повышение прав утвержденного файла.
      • Причина администратора — обоснование, предоставляемое администратором при завершении утверждения или отклонения .
    3. Сведения о файле — особенности метаданных для файла, запрошенного для утверждения.

    Изображение, отображающее подробные сведения о запросе на повышение прав.

  4. После того как администратор проверит запрос, он может выбрать Утвердить или Отклонить. При любом выборе они получают диалоговое окно обоснования , в котором они могут предоставить причину с подробными сведениями о своем решении. Указание причины является необязательным. Ниже показано диалоговое окно утверждения:

    • Для утверждений — администратор завершает диалоговое окно обоснования, а затем выбирает Да , чтобы утвердить запрос. Intune отправляет утверждение устройству, и конечный пользователь получает уведомление с помощью всплывающего уведомления о том, что он может повысить уровень приложения.

      Теперь пользователь может завершить действие повышения прав с помощью меню Выполнить с повышенными правами доступа в файле.

      Изображение, отображающее диалоговое окно утверждения повышения прав с примером обоснования утверждения в качестве причины

    • Для отказов — администратор завершает диалоговое окно обоснования, а затем выбирает Да , чтобы отклонить запрос.

      Если администратор отклоняет запрос на утверждение, запрос на повышение прав не утверждается. Intune не отправляет ответ на устройство, и пользователь не получает уведомления.

      Изображение, отображающее диалоговое окно

Примечание.

Запросы на повышение прав содержат все сведения, необходимые для создания правила повышения прав, если это необходимо, включая всю цепочку сертификатов. Поддержка утвержденных повышений прав также отображается в данных об использовании повышения прав, как и в любых других запросах на повышение прав.

Дальнейшие действия