Stöd för godkända filökningar för Endpoint Privilege Management

Obs!

Den här funktionen är tillgänglig som ett Intune tillägg. Mer information finns i Använda Intune Suite-tilläggsfunktioner.

Med Microsoft Intune hantering av slutpunktsprivilegier (EPM) kan organisationens användare köras som en standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.

Den här artikeln beskriver hur du använder det godkända arbetsflödet för support med Endpoint Privilege Management.

Med stöd för godkända utökade privilegier kan du kräva godkännande innan en höjning tillåts. Du kan använda stödgodkända funktioner som en del av en höjningsregel eller som standardklientbeteende. Begäranden som skickas kräver att Intune administratörer godkänner begäran från fall till fall.

När en användare försöker köra en fil i en upphöjd kontext och filen hanteras av den stödgodkända filhöjningstypen, visar Intune en uppmaning till användaren att skicka en begäran om utökade privilegier. Begäran om utökade privilegier skickas sedan till Intune för granskning av en Intune administratör. När en administratör godkänner begäran om utökade privilegier meddelas användaren på enheten och filen kan sedan köras i den upphöjda kontexten. För att godkänna begäranden måste Intune administratörens konto ha extra behörigheter som är specifika för gransknings- och godkännandeuppgiften.

Gäller för:

• Windows 10
• Windows 11

Om stöd för godkända utökade privilegier

Använd EPM-principer med stöd för godkänd höjningstyp för filer som behöver en administratörs godkännande innan de kan köras med högre åtkomst. De liknar andra regler för EPM-höjning, men de har vissa skillnader som behöver extra planering.

Tips

Om du vill granska de tre utökade behörighetstyperna och andra principalternativ kan du läsa mer i Princip för Utökade windows-regler.

Följande ämnen är information som du kan planera för och förvänta dig när du använder den stödgodkända höjdtypen:

• Begäranden om utökade privilegier

  När en användare kör en fil med högerklicksalternativet Kör med förhöjd åtkomst och filen hanteras av en princip med en regel för godkända utökade privilegier, visar Intune användaren en uppmaning om att skicka en begäran om utökade privilegier till Intune administrationscenter.

  • Med uppmaningen kan användaren ange en affärsorsak till höjningen. Den här orsaken blir en del av begäran om utökade privilegier, som även innehåller användarens namn, enhet och filnamn.

  • När användaren skickar begäran går den till Intune administrationscenter där en Intune administratör med behörighet att hantera dessa begäranden bestämmer sig för att godkänna eller neka den.

  Följande bild visar ett exempel på frågan om filhöjning som användarna upplever:

  

• Granskning av begäranden om utökade privilegier

  En Intune-administratör måste ha behörighet att visa och hantera behörigheter för behörigheten Behörighetshantering för slutpunktsprivilegier för utökade privilegier innan de kan granska och godkänna begäranden om utökade privilegier.

  För att hitta och svara på begäranden använder dessa administratörer fliken Utökade förfrågningar på sidan Hantering av slutpunktsprivilegier i administrationscentret. Eftersom Intune inte har något sätt att meddela administratörer om nya begäranden om utökade privilegier bör administratörerna planera att regelbundet kontrollera fliken för väntande begäranden.

  Administratörer som kan hantera begäranden om utökade privilegier kan acceptera eller avvisa en begäran. De kan också ange en anledning till sitt beslut. Den här orsaken blir en del av granskningsposten för begäran.

  • För godkännanden: När en administratör godkänner en begäran om utökade privilegier skickar Intune en princip till den enhet där användaren skickade begäran, vilket gör att användaren kan köra filen som upphöjd under de kommande 24 timmarna. Den här perioden börjar när administratören godkänner begäran. Det finns inget aktuellt stöd för en anpassad tidsperiod eller annullering av den godkända höjningen innan 24-timmarsperioden går ut.

    När begäran har godkänts meddelar Intune enheten och initierar en synkronisering. Det kan ta lite tid. Intune använder ett meddelande på enheten för att meddela användaren att de nu kan köra filen med högerklicksalternativet Kör med förhöjd åtkomst.

  • För nekanden: Intune meddelar inte användaren. Administratören bör manuellt meddela användaren att deras begäran nekades.

• Granskning av begäranden om utökade privilegier

  En Intune administratör som har tillräckligt med behörigheter kan visa information om EPM-principer, till exempel skapande, redigering och hantering av begäranden om utökade privilegier i Intune granskningsloggar, som är tillgängliga igranskningsloggar för klientadministration>.

  Följande skärmbild visar ett exempel på granskningsloggen för duplicering av en princip för godkända utökade privilegier för support, ursprungligen med namnet Testprincip – stöd godkänt:

  

RBAC-behörigheter för begäranden om utökade privilegier

För att ge tillsyn över utökade behörigheter kan endast Intune administratörer som har följande RBAC-behörigheter (rollbaserad åtkomstkontroll) i Intune visa och hantera begäranden om utökade privilegier:

• Begäranden om utökade privilegier för slutpunktsprivilegier – Den här behörigheten krävs för att arbeta med begäranden om utökade privilegier som skickas av användare för godkännande och stöder följande rättigheter:

  • Visa begäranden om utökade privilegier
  • Ändra begäranden om utökade privilegier

Mer information om alla behörigheter för att hantera EPM finns i Rollbaserade åtkomstkontroller för Endpoint Privilege Management.

Skapa princip för stöd för godkända filhöjningar

Om du vill skapa en princip för godkända utökade privilegier använder du samma arbetsflöde för att skapa andra principer för EPM-utökade privilegier. Se Skapa en princip för Utökade Windows-regler i Konfigurera principer för Hantering av slutpunktsprivilegier.

Hantera väntande begäranden om utökade privilegier

Använd följande procedur som vägledning för att granska och hantera begäranden om utökade privilegier.

1. Logga in på administrationscentret för Microsoft Intune och gå till flikenEndpoint Security Endpoint Privilege Management Elevation requests (Slutpunktssäkerhetsbegäranden>om utökade privilegier).>

2. Fliken begäranden om utökade privilegier visar väntande begäranden och begäranden från de senaste 30 dagarna. Om du väljer en rad öppnas egenskaperna för begäran om utökade privilegier, där du kan granska begäran i detalj.

3. Information om begäran om utökade privilegier innehåller följande information:

   1. Allmän information:

      1. Fil – namnet på den fil som begärdes för utökade privilegier.
      2. Publisher – namnet på utgivaren som signerade filen som begärdes för utökade privilegier. Utgivarens namn är en länk som hämtar certifikatkedjan för filen för nedladdning.
      3. Enhet – den enhet där höjningen begärdes från. Enhetsnamnet är en länk som öppnar enhetsobjektet i administrationscentret.
      4. Intune kompatibel – enhetens Intune efterlevnadsstatus.

   2. Information om begäran:

      1. Status – Status för begäran. Begäranden börjar som väntande och kan antingen godkännas eller nekas av en administratör.
      2. Av – kontot för administratören som godkände eller nekade begäran.
      3. Senast ändrad – senaste gången begärandeposten ändrades.
      4. Användarens motivering – den motivering som användaren har angett för begäran om utökade privilegier.
      5. Förfallodatum för godkännande – den tid då godkännandet upphör att gälla. Tills den här förfallotiden har nåtts tillåts utökade privilegier för den godkända filen.
      6. Admin orsak – Motivering som tillhandahålls av administratören när ett godkännande eller avslag har slutförts.

   3. Filinformation – Information om metadata för filen som begärdes för godkännande.

   

4. När en administratör har granskat en begäran kan de välja Godkänn eller Neka. Med båda alternativen visas dialogrutan för motivering där de kan ange en orsak med information om sitt beslut. Det är valfritt att ange en orsak. Följande visar dialogrutan för godkännande:

   • För godkännanden – administratören slutför justeringsdialogrutan och väljer sedan Ja för att godkänna begäran. Intune skickar godkännandet till enheten och slutanvändaren meddelas via ett popup-meddelande om att de kan höja programmet.

     Slutanvändaren kan nu slutföra aktiviteten för utökade privilegier med hjälp av högerklicksmenyn Kör med förhöjd åtkomst i filen.

     

   • För nekanden – administratören slutför justeringsdialogrutan och väljer sedan Ja för att neka begäran.

     När en administratör nekar en begäran om godkännande godkänns inte begäran om utökade privilegier. Intune skickar inget svar till enheten och användaren meddelas inte.

     

Obs!

Begäranden om utökade privilegier innehåller all information som behövs för att skapa en höjningsregel om det behövs, inklusive den fullständiga certifikatkedjan. Stöd för godkända utökade privilegier visas också i användningsdata för utökade privilegier som andra begäranden om utökade privilegier.

Nästa steg

• Vägledning för att skapa regler för utökade privilegier
• Konfigurera principer för Hantering av slutpunktsprivilegier
• Rapporter för Hantering av slutpunktsprivilegier
• Datainsamling och sekretess för Endpoint Privilege Management
• Distributionsöverväganden och vanliga frågor och svar