通过

支持终结点特权管理批准的文件提升

  • 项目

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (,例如 Microsoft 365 应用程序) 、更新设备驱动程序以及运行某些 Windows 诊断。

本文介绍如何将 支持批准的 工作流与 Endpoint Privilege Management 配合使用。

支持已批准的提升允许在允许提升之前需要批准。 可以将支持批准的功能用作提升规则的一部分,或用作默认客户端行为。 提交的请求需要Intune管理员逐个批准请求。

当用户尝试在提升的上下文中运行文件,并且该文件由支持批准的文件提升类型管理时,Intune向用户显示提交提升请求的提示。 然后,提升请求将发送到Intune,供Intune管理员审阅。当管理员批准提升请求时,系统会通知设备上的用户,然后可以在提升的上下文中运行该文件。 若要批准请求,Intune管理员的帐户必须具有特定于评审和审批任务的额外权限。

应用于:

  • Windows 10
  • Windows 11

关于支持批准的提升

将 EPM 策略与 支持批准的 提升类型一起使用,用于需要管理员批准才能运行更高访问权限的文件。 它们与其他 EPM 提升规则类似,但它们存在一些需要额外规划的差异。

提示

若要查看三种提升类型和其他策略选项,请参阅 Windows 提升规则策略

以下主题是使用支持批准的提升类型时要规划和预期的详细信息:

  • 提升请求

    如果用户使用右键单击选项“使用提升的访问权限运行”运行文件,并且该文件由策略管理,且该策略具有支持批准的提升规则,Intune向用户显示向Intune管理中心发送提升请求的提示。

    • 提示允许用户输入提升的业务原因。 此原因将成为提升请求的一部分,该请求还包含用户的名称、设备和文件名。

    • 当用户发送请求时,该请求会转到Intune管理中心,其中有权管理这些请求的Intune管理员决定批准或拒绝请求。

    下图显示了用户体验到的文件提升提示示例:

    显示用户提升请求提示示例的屏幕截图。

  • 提升请求的评审

    Intune管理员必须具有终结点特权管理提升请求权限的查看和管理权限,然后才能查看和批准提升请求。

    为了查找和响应请求,这些管理员使用管理中心“终结点特权管理”页的“提升请求”选项卡。 由于Intune无法通知管理员新的提升请求,因此管理员应计划定期检查选项卡,以处理挂起的请求。

    可以管理提升请求的管理员可以接受或拒绝请求。 他们还可以提供其决定的理由。 此原因将成为请求的审核记录的一部分。

    • 审批:当管理员批准提升请求时,Intune将策略发送到用户提交请求的设备,使该用户能够在接下来的 24 小时内以提升身份运行文件。 此时间段从管理员批准请求时开始。 在 24 小时期限到期之前,当前不支持自定义时间段或取消已批准的提升。

      请求获得批准后,Intune通知设备并启动同步。这可能需要一些时间。Intune在设备上使用通知来提醒用户,他们现在可以使用提升的访问权限右键单击选项运行成功运行文件。

    • 对于拒绝:Intune不通知用户。 管理员应手动通知用户其请求被拒绝。

  • 提升请求的审核

    具有足够权限的Intune管理员可以在租户管理>审核日志中查看有关 EPM 策略的信息,例如创建、编辑和处理Intune审核日志中的提升请求。

    以下屏幕截图显示了 支持批准的 提升策略(最初名为 “测试策略 - 支持已批准”)重复的审核日志示例:

    显示支持批准的提升规则策略的审核日志条目的图像。

提升请求的 RBAC 权限

为了监督提升审批,只有Intune中具有以下基于角色的访问控制 (RBAC) 权限Intune管理员可以查看和管理提升请求:

  • 终结点特权管理提升请求 - 需要此权限才能处理用户提交以供审批的提升请求,并支持以下权限:

    • 查看提升请求
    • 修改提升请求

有关管理 EPM 的所有权限的详细信息,请参阅 Endpoint Privilege Management 的基于角色的访问控制

为支持批准的文件提升创建策略

若要创建支持批准的提升策略,请使用同一工作流来创建其他 EPM 提升规则策略。 请参阅为 Endpoint Privilege Management 配置策略中的创建 Windows 提升规则策略。

管理挂起的提升请求

使用以下过程作为查看和管理提升请求的指南。

  1. 登录到Microsoft Intune管理中心,然后转到“终结点安全>终结点特权管理>提升请求”选项卡。

  2. 提升请求选项卡显示 挂起的请求过去 30 天的请求。 选择一行将打开,该行将输入提升请求属性,你可以在其中详细查看请求。

  3. 提升请求详细信息包括以下信息:

    1. 常规详细信息

      1. File - 请求提升的文件的名称。
      2. Publisher - 对请求提升的文件进行签名的发布者的名称。 发布者的名称是检索要下载的文件的证书链的链接。
      3. 设备 - 请求提升的设备。 设备名称是在管理中心打开设备对象的链接。
      4. 符合Intune - 设备的Intune符合性状态。

    2. 请求详细信息

      1. 状态 - 请求的状态。 请求开始为 “挂起” ,管理员可 批准拒绝 请求。
      2. By - 批准拒绝 请求的管理员的帐户。
      3. 上次修改 时间 - 上次修改请求条目的时间。
      4. 用户的理由 - 用户为提升请求提供的理由。
      5. 审批过期 - 审批过期的时间。 在达到此到期时间之前,允许提升已批准的文件。
      6. 管理员的原因 - 完成审批拒绝时管理员提供的理由。

    3. 文件信息 - 请求审批的文件的元数据的详细信息。

    显示提升请求详细信息的图像。

  4. 管理员审阅请求后,可以选择“ 批准” 或“ 拒绝”。 对于任一选择,他们都会出现 理由 对话框,可在其中提供 “原因” 以及有关其决策的详细信息。 提供原因是可选的。 下面显示了审批对话框:

    • 对于审批 - 管理员完成理由对话框,然后选择“ ”以批准请求。 Intune将审批发送到设备,并且最终用户会收到一个 Toast 通知,告知他们能够提升应用程序。

      最终用户现在可以使用文件的“ 具有提升访问权限的运行 ”右键单击菜单来完成提升活动。

      显示提升审批对话框的图像,其中提供了示例审批理由作为原因

    • 对于拒绝 - 管理员完成理由对话框,然后选择“ ”以拒绝请求。

      当管理员拒绝审批请求时,不会批准提升请求。 Intune不会向设备发送答复,并且不会通知用户。

      显示未提供示例审批理由的提升拒绝对话框的图像

注意

提升请求包含创建提升规则(如果需要)所需的所有信息,包括 完整的 证书链。 支持批准的提升也显示在提升使用情况数据中,就像任何其他提升请求一样。

后续步骤