Uç Nokta Ayrıcalık Yönetimi ile yükseltme kuralları oluşturma

Not

Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Microsoft Intune Uç Nokta Ayrıcalık Yönetimi (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Daha fazla bilgi için bkz. EPM'ye Genel Bakış.

Şunlar için geçerlidir:

• Windows

Yükseltme kuralları ilkeleri, Uç Nokta Ayrıcalık Yönetimi (EPM) belirli dosyaları ve betikleri tanımlamasına ve ilişkili yükseltme eylemini gerçekleştirmesine olanak sağlar. Yükseltme kurallarının etkili olması için cihazların EPM'yi etkinleştiren bir yükseltme ayarları ilkesi hedeflenmelidir. Daha fazla bilgi için bkz. EPM yükseltme ayarları.

Not

Microsoft Intune yönetim merkezinden yükseltme kuralları ilkesi başına en fazla 100 yükseltme kuralı ekleyebilirsiniz.

Bu makaledeki bilgilere ek olarak, yükseltme kurallarını yönetirken önemli güvenlik önerilerinin farkında olmaya devam edin.

Yükseltme kuralları ilkesi hakkında

Belirli dosyaların tanımlanmasını ve bu dosyalar için yükseltme isteklerinin nasıl işlenme şeklini yönetmek için bir yükseltme kuralları ilkesi kullanılır. Her yükseltme kuralı ilkesi bir veya daha fazla yükseltme kuralı içerir. Yönetilmekte olan dosyayla ilgili ayrıntıları ve yükseltilmesine yönelik gereksinimleri yapılandırdığınız yükseltme kurallarıyla birlikte.

Aşağıdaki dosya türleri desteklenir:

• veya .msi uzantısına .exe sahip yürütülebilir dosyalar.
• Uzantılı PowerShell betikleri .ps1 .

Her yükseltme kuralı EPM'ye şu işlemlerin nasıl yapılacağını açıklar:

• Aşağıdakileri kullanarak dosyayı tanımlayın:

  • Dosya adı (uzantı dahil). Kural ayrıca en düşük derleme sürümü, ürün adı veya iç ad gibi isteğe bağlı koşulları da destekler. Yükseltme denendiğinde dosyayı daha fazla doğrulamak için isteğe bağlı koşullar kullanılır. Dosya adı (uzantılar hariç), bir soru işareti ? veya yıldız *işareti kullanarak dizeler aracılığıyla tek karakterler için değişkenlerin kullanımını içerebilir.
  • Sertifika. Sertifikalar doğrudan bir kurala veya yeniden kullanılabilir bir ayarlar grubu kullanılarak eklenebilir. Sertifikalar güvenilir ve geçerli olmalıdır. Daha verimli olabilecekleri ve sertifikada gelecekteki bir değişikliği basitleştirebilecekleri için yeniden kullanılabilir ayarlar gruplarının kullanılmasını öneririz. Daha fazla bilgi için bkz. Yeniden kullanılabilir ayarlar grupları.

• Dosyayı doğrulayın:

  • Dosya karması. Otomatik kurallar için dosya karması gereklidir. Kullanıcı tarafından onaylanan veya Geçerli kullanıcı olarak yükselt yükseltme türüne sahip kurallar için bir sertifika veya dosya karması kullanmayı seçebilirsiniz; bu durumda dosya karması isteğe bağlıdır.
  • Sertifika. Dosya özellikleri, dosyayı imzalamak için kullanılan yayımcı sertifikasıyla birlikte doğrulanabilir. Sertifikalar, güven, sertifika süre sonu ve iptal durumu gibi öznitelikleri denetleen Windows API'leri kullanılarak doğrulanır.
  • Dosya özellikleri. Kurallarda belirtilen diğer özellikler eşleşmelidir.

• Dosya yükseltme türünü yapılandırın. Yükseltme türü, dosya için bir yükseltme isteği yapıldığında ne olacağını tanımlar. Varsayılan olarak, bu seçenek Kullanıcı tarafından onaylandı olarak ayarlanır. Geçerli kullanıcı olarak Yükseltme dışında, EPM işlemleri yükseltmek için bir sanal hesap kullanır. Bu, yükseltilmiş eylemleri kullanıcının profilinden yalıtarak kullanıcıya özgü verilere maruz kalma riskini azaltır ve ayrıcalık yükseltme riskini azaltır.

  • Reddet: Reddetme kuralları, tanımlanan dosyanın yükseltilmiş bir bağlamda çalıştırılmasını engeller.

  • Destek onaylandı: Uygulamanın yükseltilmiş ayrıcalıklarla çalışmasına izin verilmeden önce yöneticinin destek için gerekli yükseltme isteğini onaylaması gerekir.

  • Kullanıcı onayladı: Yükseltmeyi onaylayan bir kullanıcı, her zaman kullanıcının dosyayı çalıştırmak için onay isteminde seçmesini gerektirir. Onay yalnızca kullanıcı kimlik doğrulaması, iş gerekçesi (raporlamada görünür) veya her ikisini gerektirecek şekilde yapılandırılabilir.

  • Geçerli kullanıcı olarak yükselt: Bu yükseltme türü, yükseltilmiş işlemi oturum açmış kullanıcının kendi hesabı altında çalıştırarak etkin kullanıcı profilini kullanan araçlar ve yükleyicilerle uyumluluğu korur. Bu, kullanıcının Windows Kimlik Doğrulaması için kimlik bilgilerini girmesini gerektirir. Bu, kullanıcının profil yollarını, ortam değişkenlerini ve kişiselleştirilmiş ayarları korur. Yükseltilmiş işlem, yükseltme öncesinde ve sonrasında aynı kullanıcı kimliğini koruduğundan, denetim izleri tutarlı ve doğru kalır.

    Ancak, yükseltilmiş işlem kullanıcının tam bağlamını devraldığından, bu mod daha geniş bir saldırı yüzeyi sağlar ve kullanıcı verilerinden yalıtımı azaltır.

    Önemli noktalar:

    • Uyumluluk gereksinimi: Bu modu yalnızca sanal hesap yükseltmesi uygulama hatalarına neden olduğunda kullanın.
    • Kapsam sıkı: Riski azaltmak için yükseltme kurallarını güvenilir ikili dosyalar ve yollar ile sınırlayın.
    • Güvenlik dezavantajı: Bu modun kullanıcıya özgü verilere maruz kalma oranını artırdığını anlayın.

    İpucu

    Uyumluluk sorun oluşturmadığında, daha güçlü güvenlik için sanal hesap yükseltmesini kullanan bir yöntemi tercih edin.

  • Otomatik: Otomatik yükseltme kullanıcıya görünmez bir şekilde gerçekleşir. İstem yoktur ve dosyanın yükseltilmiş bir bağlamda çalıştığına dair bir gösterge yoktur.

• Alt işlemlerin davranışını yönetin. Yükseltme kurallarının yükseltilmiş üst işlemin başlattığı alt işlemlere nasıl uygulanacağını denetleyebilirsiniz.

  • Kuralın yükseltebilmesini gerektir – Alt işlemlerin yükseltilmiş çalıştırılabilmesi için önce kendi kural gereksinimlerini karşılaması gerekir. Alt işlem, reddetme kuralları da dahil olmak üzere kural tanımına göre yükseltir.

  • Tümünü reddet – Tüm alt işlemler yükseltilmiş bağlam olmadan başlatılır.

  • Alt işlemlerin yükseltilmiş olarak çalışmasına izin ver : Yükseltilmiş üst öğe tarafından başlatılan tüm alt işlemler otomatik olarak yükseltilmiş olarak çalıştırılır. Bu seçenek belirlendiğinde, reddetme kuralları da dahil olmak üzere alt işlem için kural değerlendirmesi atlanır. Bu, bu işlem için açık bir reddetme kuralı mevcut olsa bile alt işlemin yükseltilmiş olarak çalışabileceği anlamına gelir.

  En iyi yöntem: İstenmeyen yükseltmeyi önlemek için diğer işlemleri başlatabilen uygulamalar (örneğin, komut kabukları veya betik altyapıları) için aşırı geniş yükseltme kuralları oluşturmaktan kaçının.

Not

Güçlü kurallar oluşturma hakkında daha fazla bilgi için bkz. Uç Nokta Ayrıcalık Yönetimi ile kullanılacak kuralları tanımlama.

EpmTools PowerShell modülünden PowerShell cmdlet'ini de kullanabilirsinizGet-FileAttributes. Bu cmdlet, bir .exe dosyasının dosya özniteliklerini alabilir ve publisher ve CA sertifikalarını belirli bir uygulamanın Yükseltme Kuralı Özelliklerini doldurmak için kullanabileceğiniz belirli bir konuma ayıklayabilir.

Dikkat

Otomatik yükseltmenin düzenli olarak ve yalnızca iş açısından kritik olan güvenilir dosyalar için kullanılmasını öneririz. Son kullanıcılar, söz konusu uygulamanın her başlatması sırasında bu uygulamaları otomatik olarak yükselter.

Uç Nokta Ayrıcalık Yönetimi ile kullanılacak kuralları tanımlama

Uç Nokta Ayrıcalık Yönetimi kuralları iki temel öğeden oluşur: algılama ve yükseltme eylemi.

Algılamalar , bir uygulamayı veya ikiliyi tanımlamak için kullanılan öznitelik kümesi olarak tanımlanır. Bu öznitelikler dosya adı, dosya sürümü ve imza özelliklerini içerir.

Yükseltme eylemleri , bir uygulama veya ikili algılandıktan sonra ortaya çıkan yükseltmedir.

Mümkün olduğunca açıklayıcı olacak şekilde tanımlanan algılamalar tanımlanırken önemlidir. Açıklayıcı olmak için algılamanın gücünü artırmak için güçlü öznitelikler veya birden çok öznitelik kullanın. Algılamaları tanımlarken amaç, amaç açıkça belirtilmediği sürece birden çok dosyanın aynı kurala girme becerisini ortadan kaldırmak olmalıdır.

Dosya karması kuralları

Dosya karması kuralları, Uç Nokta Ayrıcalık Yönetimi ile oluşturulabilecek en güçlü kurallardır. Yükseltmeyi planladığınız dosyanın yükseltilmiş dosya olduğundan emin olmak için bu kurallar kesinlikle önerilir .

Dosya karması, Get-Filehash PowerShell yöntemi kullanılarak doğrudan ikili dosyadan veya doğrudan Uç Nokta Ayrıcalık Yönetimi için raporlardan toplanabilir.

Sertifika kuralları

Sertifika kuralları güçlü bir öznitelik türüdür ve diğer özniteliklerle eşleştirilmelidir. Sertifikayı ürün adı, iç ad ve açıklama gibi özniteliklerle eşleştirmek, kuralın güvenliğini önemli ölçüde artırır. Bu öznitelikler bir dosya imzası tarafından korunur ve genellikle imzalı dosyayla ilgili ayrıntıları gösterir.

Dikkat

Dosyaları tanımlamak için yalnızca sertifika ve dosya adı kullanılması önerilmez. Dosyanın bulunduğu dizine erişimi olan tüm standart kullanıcılar dosya adını değiştirebilir. Bu sorun, yazma korumalı bir dizinde bulunan dosyalar için sorun oluşturmayabilir.

Dosya adını içeren kurallar

Dosya adı, yükseltilmesi gereken bir uygulamayı algılamak için kullanılabilecek bir özniteliktir. Ancak, dosya adları kolayca değiştirilir ve yayımcı sertifikası tarafından imzalanan karmanın veya özniteliklerin bir bölümünü oluşturmaz.

Bu, dosya adlarının değiştirilmesine son derece duyarlı olduğu anlamına gelir. Files, güvendiğiniz bir sertifika tarafından imzalanan bir sertifikanın algılanması veyükseltilmesi için yeniden adlandırılabilir.

Önemli

Her zaman dosya adı da dahil olmak üzere kuralların, dosyanın kimliğine güçlü bir onay sağlayan diğer öznitelikleri içerdiğinden emin olun. Dosya imzasında yer alan dosya karması veya özellikler (örneğin, ürün adı) gibi öznitelikler, hedeflediğiniz dosyanın yükseltilen dosya olduğuna ilişkin iyi göstergelerdir.

PowerShell tarafından toplanan öznitelikleri temel alan kurallar

Daha doğru dosya algılama kuralları oluşturmanıza yardımcı olmak için Get-FileAttributes PowerShell cmdlet'ini kullanabilirsiniz. EpmTools PowerShell modülünden edinilebilen Get-FileAttributes , bir dosyanın dosya özniteliklerini ve sertifika zinciri malzemesini alabilir ve çıkışı kullanarak belirli bir uygulamanın yükseltme kuralı özelliklerini doldurabilirsiniz.

Windows 11 sürüm 10.0.22621.2506'da msinfo32.exe karşı çalıştırılacak Get-FileAttributes modül içeri aktarma adımları ve çıkışı örnek:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Not

msinfo32.exe sertifika zinciri, komut örneğinde listelenen C:\CertsForMsInfo dizinine çıkıştır.

Daha fazla bilgi için bkz. EpmTools PowerShell modülü.

Alt işlem davranışını denetleme

Alt işlem davranışı, EPM ile yükseltilmiş bir işlem bir alt işlem oluşturduğunda bağlamı denetlemenize olanak tanır. Bu davranış, üst işleminin bağlamı için otomatik olarak temsilci seçilecek işlemleri denetlemenize olanak tanır.

Windows, bir ebeveynin bağlamını otomatik olarak bir alt öğeye devreder, bu nedenle izin verilen uygulamalarınız için davranışı denetlemeye özel dikkat edin. Yükseltme kuralları oluştururken gerekenleri değerlendirdiğinizden emin olun ve en az ayrıcalık ilkesini uygulayın.

Not

Alt işlem davranışının değiştirilmesi, varsayılan Windows davranışını bekleyen belirli uygulamalarla uyumluluk sorunlarına neden olabilir. Alt işlem davranışını işlerken uygulamaları kapsamlı bir şekilde test ettiğinizden emin olun.

Uç Nokta Ayrıcalık Yönetimi ile oluşturulan kuralları dağıtma

Uç Nokta Ayrıcalık Yönetimi kuralları, Microsoft Intune'daki diğer ilkeler gibi dağıtılır. Başka bir deyişle, kurallar kullanıcılara veya cihazlara dağıtılabilir ve kurallar istemci tarafında birleştirilir ve çalışma zamanında seçilir. Tüm çakışmalar , ilke çakışma davranışına göre çözülür.

Bir cihaza dağıtılan kurallar, bu cihazı kullanan her kullanıcıya uygulanır. Bir kullanıcıya dağıtılan kurallar yalnızca kullandığı her cihazda bu kullanıcıya uygulanır. Bir yükseltme eylemi gerçekleştiğinde, kullanıcıya dağıtılan kurallar bir cihaza dağıtılan kurallara öncelik verilir. Bu davranış, bir cihazın tüm kullanıcılarına bir kural kümesi ve belirli bir kullanıcıya (destek yöneticisi gibi) daha izin veren bir kural kümesi dağıtmanıza olanak tanır. Bu, destek yöneticisinin cihazda oturum açtıklarında daha geniş bir uygulama kümesini yükseltmesine olanak tanır.

Varsayılan Yükseltme davranışı yalnızca kural eşleşmesi bulunamadığında kullanılır. Varsayılan yükseltme davranışı yalnızca Yükseltilmiş erişimle çalıştır sağ tıklama menüsüyle bir yükseltme tetiklendiğinde geçerlidir.

Yükseltme kuralları ilkesi oluşturma

Kullanıcılara veya cihazlara yükseltme kuralları ilkesi dağıtarak Uç Nokta Ayrıcalık Yönetimi yükseltme için yönetilen dosyalar için bir veya daha fazla kural dağıtın. Bu ilkeye eklediğiniz her kural:

• Yükseltme isteklerini yönetmek istediğiniz dosyayı dosya adına ve dosya uzantısına göre tanımlar.
• Dosyanın bütünlüğünü doğrulamaya yardımcı olacak bir sertifika içerebilir. Daha sonra bir veya daha fazla kural veya ilkeyle kullandığınız bir sertifika içeren yeniden kullanılabilir bir grup da ekleyebilirsiniz.
• El ile eklenen bir veya daha fazla dosya bağımsız değişkeni veya komut satırı anahtarı içerebilir. Bir kurala dosya bağımsız değişkenleri eklendiğinde, EPM yalnızca tanımlı komut satırlarından birini içeren isteklerin dosya yükseltilmesine izin verir. Tanımlı komut satırı dosya yükseltme isteğinin bir parçası değilse, EPM bu isteği reddeder.
• Dosyanın yükseltme türünün otomatik (sessiz) olup olmadığını veya kullanıcı onayı gerektirip gerektirmediğini belirtir. Kullanıcı onayıyla, kimlik bilgisi istemi veya iş gerekçesi ya da her ikisiyle de doğrulama gerektirebilirsiniz.

Not

Bu ilkeye ek olarak, bir cihaza Uç Nokta Ayrıcalık Yönetimi etkinleştiren bir Windows yükseltme ayarları ilkesi de atanmalıdır.

Yükseltme kuralları ilkesine eklenen yeni yükseltme kuralları oluşturmak için aşağıdaki yöntemlerden birini kullanın:

• Yükseltme kurallarını otomatik olarak yapılandırma – Raporlamadan dosya ayrıntıları ekleyerek yükseltme kuralı oluştururken zaman kazanmak için bu yöntemi kullanın. Kurallar , Yükseltme raporu kullanılarak veya destek onaylı yükseltme istekleri kaydından oluşturulabilir.

  Bu yöntemle şunları kullanırsınız:

  • Yükseltme raporundan yükseltme kuralı oluşturmak istediğiniz dosyayı seçin veya onaylanan yükseltme isteğini destekleyin .
  • Yeni yükseltme kuralını mevcut bir yükseltme kuralları ilkesine eklemeyi veya yeni kuralı içeren yeni bir yükseltme kuralları ilkesi oluşturmayı seçin.
    • Mevcut bir ilkeye eklendiğinde, yeni kural atanan grupların ilkeler listesinde hemen kullanılabilir.
    • Yeni bir ilke oluşturulduğunda, kullanıma sunulmadan önce grupları atamak için bu ilkeyi düzenlemeniz gerekir.

• Yükseltme kurallarını el ile yapılandırma – Bu yöntem, algılama için kullanmak istediğiniz dosya ayrıntılarını tanımlamanızı ve bunları kural oluşturma iş akışının bir parçası olarak el ile girmenizi gerektirir. Algılama ölçütleri hakkında bilgi için bkz. Uç Nokta Ayrıcalık Yönetimi ile kullanılacak kuralları tanımlama.

  Bu yöntemle şunları kullanırsınız:

  • Kullanılacak dosya ayrıntılarını el ile belirleyin ve sonra bunları dosya tanımlaması için yükseltme kuralına ekleyin.
  • İlke oluşturma sırasında ilkeyi kullanmak üzere gruplara atamak da dahil olmak üzere ilkenin tüm yönlerini yapılandırın.
  • EPM dosya yükseltmesine izin almadan önce yükseltme isteğinin parçası olması gereken bir veya daha fazla dosya bağımsız değişkeni ekleyebilir.

İpucu

Hem otomatik olarak yapılandırılan hem de el ile yapılandırılan yükseltme kuralları için, standart kullanıcıların değiştiremeyen bir konuma işaret eden bir Dosya yolu kullanmanızı öneririz.

Windows yükseltme kuralları ilkesi için yükseltme kurallarını otomatik olarak yapılandırma

1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi gidin. Yükseltme kuralında kullanılacak dosyayı seçmek için aşağıdaki başlangıç yollarından birini seçin:

   Bir Rapordan başlayın:

   1. Raporlar sekmesini ve ardından Yükseltme raporu kutucuğunu seçin. Kural oluşturmak istediğiniz dosyayı Dosya sütununda bulun.
   2. Dosyanın bağlı adını seçerek dosyaların Yükseltme ayrıntısı bölmesini açın.

   Destek onaylı bir yükseltme isteğinden başlayın:

   1. Yükseltme isteği sekmesini seçin.

   2. Dosya sütunundan, yükseltme kuralı için kullanmak istediğiniz dosyayı seçin ve bu dosya Yükseltme ayrıntısı bölmesini açar.

      Yükseltme isteğinin durumu önemli değildir. Bekleyen bir istek veya daha önce onaylanmış veya reddedilmiş bir istek kullanabilirsiniz.

2. Yükseltme ayrıntıları bölmesinde dosya ayrıntılarını gözden geçirin. Bu bilgiler, yükseltme kuralı tarafından doğru dosyayı tanımlamak için kullanılır. Hazır olduğunuzda , Bu dosya ayrıntılarını içeren bir kural oluştur'u seçin.

   

3. Oluşturduğunuz yeni yükseltme kuralı için bir ilke seçeneği belirleyin:

   Yeni ilke oluşturma: Bu seçenek, seçtiğiniz dosya için bir yükseltme kuralı içeren yeni bir ilke oluşturur.

   1. Kural için Tür ve Alt işlem davranışını yapılandırın ve ardından tamam'ı seçerek ilkeyi oluşturun.
   2. İstendiğinde, yeni ilke için bir İlke adı sağlayın ve oluşturmayı onaylayın.
   3. İlke oluşturulduktan sonra ilkeyi düzenleyerek atayabilir ve başka değişiklikler yapabilirsiniz.

   Var olan bir ilkeye ekle: Bu seçenekle, açılan listeyi kullanın ve yeni yükseltme kuralının eklendiği mevcut bir yükseltme ilkesini seçin.

   1. Kural için, yükseltme Türü ve Alt işlem davranışını yapılandırın ve ardından Tamam'ı seçin. İlke yeni kuralla güncelleştirilir.
   2. Kural ilkeye eklendikten sonra, kurala erişim kazanmak için ilkeyi düzenleyebilir ve gerekirse ek yapılandırmalar yapmak için değiştirebilirsiniz.

   Bu yükseltmeyle aynı dosya yolunu iste: Bu onay kutusunu seçtiğinizde, kuraldaki Dosya Yolu alanı raporda görüldüğü gibi dosya yoluna ayarlanır. Onay kutusu seçili değilse, yol boş kalır.

   İpucu

   İsteğe bağlı olsa da, standart kullanıcıların değiştiremeyen bir konuma işaret eden bir Dosya yolu kullanmanızı öneririz.

   

Windows yükseltme kuralları ilkesi için yükseltme kurallarını el ile yapılandırma

1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenliği'ne> gidin Uç Nokta Ayrıcalık Yönetimi>İlkeler sekmesini > ve ardından İlke Oluştur'u seçin. Platform'u Windows olarak, ProfildenWindows'a yükseltme kuralları ilkesini ayarlayın ve oluştur'u seçin.

2. Temel Bilgiler'de aşağıdaki özellikleri girin:

   • Ad: İlke için açıklayıcı bir ad girin. Profilleri daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz.
   • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

3. Yapılandırma ayarları'nda, bu ilkenin yönettiği her dosya için bir kural ekleyin. Yeni bir ilke oluşturduğunuzda, ilke başlatılırken kullanıcı tarafından onaylanan ve kural adı olmayan bir yükseltme türüne sahip boş bir kural bulunur. Bu kuralı yapılandırarak başlayın ve daha sonra Ekle'yi seçerek bu ilkeye daha fazla kural ekleyebilirsiniz. Eklediğiniz her yeni kuralın kullanıcı tarafından onaylanan bir yükseltme türü vardır ve bu tür kural yapılandırıldığında değiştirilebilir.

   

   Kuralı yapılandırmak için Örneği düzenle'yi seçerek Kural özellikleri sayfasını açın ve aşağıdakileri yapılandırın:

   

   • Kural adı: Kural için açıklayıcı bir ad belirtin. Kurallarınızı daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz.
   • Açıklama (İsteğe bağlı): Profil için bir açıklama girin.

   Yükseltme koşulları , bir dosyanın nasıl çalıştığını tanımlayan koşullardır ve bu kuralın geçerli olduğu dosya çalıştırılmadan önce karşılanması gereken kullanıcı doğrulamaları çalıştırılabilir.

   • Yükseltme türü: Varsayılan olarak, bu seçenek, yükseltmeye izin verdiğinden en yaygın olarak kullanılan yükseltme türü olan ancak kullanıcı onayı gerektiren Kullanıcı tarafından onaylandı olarak ayarlanır.

     • Reddet: Reddetme kuralı, tanımlanan dosyanın yükseltilmiş bir bağlamda çalıştırılmasını engeller. Aşağıdaki davranışlar geçerlidir:

       • Reddetme kuralları, alt işlem seçenekleri dışında diğer yükseltme türleriyle aynı yapılandırma seçeneklerini destekler. Alt işlem seçenekleri yapılandırılmış olsa bile bu kuraldan kullanılmaz.
       • Kullanıcı reddetme kuralıyla eşleşen bir dosyayı yükseltmeye çalıştığında, yükseltme başarısız olur. EPM, uygulamanın yönetici olarak çalıştırılabildiğini belirten bir ileti görüntüler. Bu kullanıcıya aynı dosyanın yükseltilmesine izin veren bir kural atanması halinde reddetme kuralı önceliklidir.
       • Reddedilen yükseltmeler, reddedilen destek onaylı isteğe benzer şekilde, yükseltme raporunda reddedildi olarak görünür.
       • EPM şu anda değerlendirme raporundan bir reddetme kuralının otomatik yapılandırmasını desteklemez.

     • Destek onaylandı: Bu yükseltme türü, yöneticinin bir yükseltme isteğini onaylamasını gerektirir. Daha fazla bilgi için bkz . Destek onaylı yükseltme istekleri.

       Önemli

       Dosyalar için destek onaylı yükseltme kullanımı, ek izinlere sahip yöneticilerin cihazdaki yönetici izinlerine sahip dosyadan önce her bir dosya yükseltme isteğini gözden geçirmesini ve onaylamasını gerektirir. Destek onaylı yükseltme türünü kullanma hakkında bilgi için bkz. Uç Nokta Ayrıcalık Yönetimi için onaylı dosya yükseltmelerini destekleme.

     • Kullanıcı onaylandı: En yaygın olarak, yükseltmeye izin verdiğinden, ancak kullanıcı onayı gerektirdiği için yükseltme gerektiren kurallara sahip dosyalar için kullanılır. Bir dosya çalıştırıldığında, kullanıcı dosyayı çalıştırma amacını onaylamak için basit bir istem alır. Kural, Doğrulama açılan listesinde bulunan diğer istemleri de içerebilir:

       • İş gerekçesi: Kullanıcının dosyayı çalıştırmak için bir gerekçe girmesini zorunlu kılar. Giriş için gerekli biçim yok. Kullanıcı girişi kaydedilir ve Raporlama kapsamı uç nokta yükseltmeleri koleksiyonunu içeriyorsa günlükler aracılığıyla gözden geçirilebilir.
       • Windows kimlik doğrulaması: Bu seçenek, kullanıcının kuruluş kimlik bilgilerini kullanarak kimlik doğrulamasını gerektirir.

     • Otomatik: Bu yükseltme türü dosyayı otomatik olarak yükseltilmiş izinlerle çalıştırır. Otomatik yükseltme, onay istemeden veya kullanıcı tarafından gerekçe veya kimlik doğrulaması gerektirmeden kullanıcı için saydamdır.

       Dikkat

       Otomatik yükseltmeyi yalnızca özel duruma göre ve güvendiğiniz dosyalar için kullanın. Bu dosyalar kullanıcı etkileşimi olmadan otomatik olarak yükseltilecektir. İyi tanımlanmamış kurallar, onaylanmamış uygulamaların yükseltilmelerine izin verebilir. Güçlü kurallar oluşturma hakkında daha fazla bilgi için kural oluşturma yönergelerine bakın.

   • Alt işlem davranışı: Varsayılan olarak, bu seçenek Kuralın yükselt olmasını gerektir olarak ayarlanır ve bu da alt işlemin bunu oluşturan işlemle aynı kuralla eşleşmesini gerektirir. Diğer seçenekler şunlardır:

     • Tüm alt işlemlerin yükseltilmiş olarak çalışmasına izin ver: Uygulamaların koşulsuz olarak alt işlemler oluşturmasına izin verdiğinden bu seçenek dikkatli kullanılmalıdır.
     • Tümünü reddet: Bu yapılandırma tüm alt işlemlerin oluşturulmasını engeller.

   Dosya bilgileri , bu kuralın geçerli olduğu bir dosyayı tanımlayan ayrıntıları belirttiğiniz yerdir.

   • Dosya adı: Dosya adını ve uzantısını belirtin. Örneğin: myapplication.exe. Dosya adında bir değişken de kullanabilirsiniz.

   • Dosya yolu (İsteğe bağlı): Dosyanın konumunu belirtin. Dosya herhangi bir konumdan çalıştırılabilirse veya bilinmiyorsa, bunu boş bırakabilirsiniz. Değişken de kullanabilirsiniz.

     İpucu

     İsteğe bağlı olsa da, standart kullanıcıların değiştiremeyen bir konuma işaret eden bir Dosya yolu kullanmanızı öneririz.

   • İmza kaynağı: Aşağıdaki seçeneklerden birini belirleyin:

     • Yeniden kullanılabilir ayarlarda bir sertifika dosyası kullanın (Varsayılan): Bu seçenek, daha önce Uç Nokta Ayrıcalık Yönetimi için yeniden kullanılabilir ayarlar grubuna eklenmiş bir sertifika dosyası kullanır. Bu seçeneği kullanabilmeniz için önce yeniden kullanılabilir bir ayarlar grubu oluşturmanız gerekir.

       Sertifikayı tanımlamak için Sertifika ekle veya kaldır'ı seçin ve ardından doğru sertifikayı içeren yeniden kullanılabilir grubu seçin. Ardından, Yayımcı veya Sertifika yetkilisinin Sertifikatürünü belirtin.

     • Sertifika dosyasını karşıya yükleme: Doğrudan yükseltme kuralına bir sertifika dosyası ekleyin. Dosya yükleme için, bu kuralın geçerli olduğu dosyanın bütünlüğünü doğrulayan bir .cer dosyası belirtin. Ardından, Yayımcı veya Sertifika yetkilisinin Sertifikatürünü belirtin.

     • Yapılandırılmadı: Dosyanın bütünlüğünü doğrulamak için sertifika kullanmak istemiyorsanız bu seçeneği kullanın. Sertifika kullanılmadığında bir dosya karması sağlamanız gerekir.

   • Dosya karması: İmza kaynağı Yapılandırılmadı olarak ayarlandığında dosya karması gereklidir ve sertifika kullanmak üzere ayarlandığında isteğe bağlıdır.

   • En düşük sürüm: (İsteğe bağlı) Bu kural tarafından desteklenen dosyanın en düşük sürümünü belirtmek için x.x.x.x biçimini kullanın.

   • Dosya açıklaması: (İsteğe bağlı) Dosyanın açıklamasını sağlayın.

   • Ürün adı: (İsteğe bağlı) Dosyanın ait olduğu ürünün adını belirtin.

   • İç ad: (İsteğe bağlı) Dosyanın iç adını belirtin.

   Kural yapılandırmasını kaydetmek için Kaydet'i seçin. Daha sonra Daha fazla kural ekleyebilirsiniz . Bu ilkenin gerektirdiği tüm kuralları ekledikten sonra devam etmek için İleri'yi seçin.

4. Kapsam etiketleri sayfasında, uygulamak istediğiniz kapsam etiketlerini seçin ve ardından İleri'yi seçin.

5. Atamalar için ilkeyi alan grupları seçin. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama. İleri'yi seçin.

6. Gözden geçir + oluştur'da ayarlarınızı gözden geçirin ve oluştur'u seçin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, ilke listesinde de gösterilir.

Yükseltme kurallarında değişkenleri kullanma

Dosya yükseltme kurallarını el ile yapılandırdığınızda, bir yükseltme kuralı ilkesinin Kural özellikleri sayfasında bulunan aşağıdaki yapılandırmalar için joker karakterler kullanabilirsiniz:

• Dosya adı: Joker karakterler, Dosya adı alanı yapılandırılırken dosya adının bir parçası olarak desteklenir.
• Klasör yolu: Klasör yolu alanı yapılandırılırken klasör yolunun bir parçası olarak joker karakterler desteklenir.

Not

Otomatik yükseltme kurallarında joker karakterler desteklenmez.

Joker karakterlerin kullanılması, sonraki düzeltmelerle sık sık değişebilecek adları olan veya dosya yolunun da değişebileceği güvenilen dosyaları desteklemek için kurallarınızda esneklik sağlar.

Aşağıdaki joker karakterler desteklenir:

• Soru işareti ? - Soru işaretleri bir dosya adındaki karakterlerin yerini alır.
• Yıldız * - Yıldız işareti, dosya adındaki bir karakter dizesinin yerini alır.

Desteklenen joker karakter kullanımı örnekleri aşağıda verilmiştir:

• adlı VSCodeSetup-arm64-1.99.2.exebir Visual Studio kurulum dosyasının dosya adı:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Aynı dosyanın dosya yolu, genellikle içinde C:\Users\<username>\Downloads\bulunur:

  • C:\Users\*\Downloads\

İpucu

Bir dosya adında değişken kullanırken, çakışabilecek kural özelliklerinin kullanılmasından kaçının. Örneğin, Dosya karması yalnızca bir dosyayla eşleşeceğinden dosya adı joker karakteri yedekli olabilir.

Yükseltme kuralları için dosya bağımsız değişkenlerini kullanma

Dosya yükseltme kuralının değerleri belirli bağımsız değişkenlerle yükseltmeye izin verecek şekilde de sınırlandırılabilir.

Örneğin, dsregcmd Microsoft Entra ID bir cihazın durumunu araştırmak için yararlı olabilir, ancak yükseltme gerektirir. Bu dosyaların araştırma için kullanılmasını desteklemeye yardımcı olmak için, /status, /listaccounts ve daha fazlası için anahtarları içeren dsregcmd bağımsız değişkenleri listesiyle kuralı yapılandırabilirsiniz. Ancak, bir cihazın kaydını kaldırma gibi yıkıcı bir eylemi önlemek için /leave gibi bağımsız değişkenleri dışlarsınız. Bu yapılandırmayla, kural yalnızca bağımsız değişkenler /status veya /listaccounts kullanılıyorsa yükseltmeye izin verir. cihazı Microsoft Entra ID'dan kaldıran /leave anahtarına sahip dsregcmd reddedilir.

Bir yükseltme kuralına bir veya daha fazla bağımsız değişken eklemek için Bağımsız değişkenleri kısıtla'yıİzin Ver listesi olarak ayarlayın. Ekle'yi seçin ve izin verilen komut satırı seçeneklerini yapılandırın. Birden çok bağımsız değişken ekleyerek, yükseltme istekleri tarafından desteklenen birden çok komut satırı sağlarsınız.

Önemli

Dosya bağımsız değişkenleri için dikkat edilmesi gerekenler:

• EPM, dosya bağımsız değişken listelerini izin verilenler listesi olarak kullanır. Yapılandırıldığında, EPM hiçbir bağımsız değişken kullanılmadığında veya yalnızca belirtilen bağımsız değişkenler kullanıldığında yükseltmeye izin verir. Belirtilen bağımsız değişkenlerde bulunmayan bağımsız değişkenler kullanılırsa yükseltme engellenir.
• Dosya bağımsız değişkenleri büyük/küçük harfe duyarlıdır; kullanıcılar, kurallarda tanımlandığı şekilde büyük/küçük harfle tam olarak eşleşmelidir.
• Gizli dizileri dosya bağımsız değişkeni olarak tanımlama.

Yeniden kullanılabilir ayarlar grupları

Uç Nokta Ayrıcalık Yönetimi, yönettiğiniz dosyaları Uç Nokta Ayrıcalık Yönetimi yükseltme kurallarıyla doğrulayan sertifikaları yönetmek için yeniden kullanılabilir ayarlar gruplarını kullanır. Intune için tüm yeniden kullanılabilir ayarlar grupları gibi, yeniden kullanılabilir bir grupta yapılan değişiklikler de gruba başvuran ilkelere otomatik olarak geçirilir. Dosya doğrulaması için kullandığınız sertifikayı güncelleştirmeniz gerekiyorsa, bunu yalnızca yeniden kullanılabilir ayarlar grubunda tek bir kez güncelleştirmeniz gerekir. Intune, güncelleştirilmiş sertifikayı bu grubu kullanan tüm yükseltme kurallarınıza uygular.

Uç Nokta Ayrıcalık Yönetimi için yeniden kullanılabilir ayarlar grubunu oluşturmak için:

1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenliği'ne> gidin Uç Nokta Ayrıcalık Yönetimi>Yeniden kullanılabilir ayarlar (önizleme) sekmesini > ve ardından Ekle'yi seçin.

   

2. Temel Bilgiler'de aşağıdaki özellikleri girin:

   • Ad: Yeniden kullanılabilir grup için açıklayıcı bir ad girin. Grupları adlandırarak daha sonra kolayca tanımlayabilmenizi sağlayın.
   • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

3. Yapılandırma ayarları'ndaSertifika dosyası için klasör simgesini seçin ve öğesine gidin. BU yeniden kullanılabilir gruba eklemek için CER dosyası. Temel 64 değer alanı seçilen sertifikaya göre doldurulur.

   

4. Gözden geçir + oluştur'da ayarlarınızı gözden geçirin ve Ekle'yi seçin. Ekle'yi seçtiğinizde yapılandırmanız kaydedilir ve grup, Uç Nokta Ayrıcalık Yönetimi için yeniden kullanılabilir ayarlar grubu listesinde gösterilir.

---

Sonraki adımlar

Sonraki: Kullanıcıları yöneticiden standart kullanıcıya geçiş yapmak için Uç Nokta Ayrıcalık Yönetimi kullanın>