支援端點許可權管理的已核准檔案提升

注意事項

這項功能可作為 Intune 附加元件使用。 如需詳細資訊，請 參閱使用 Intune Suite 附加元件功能。

使用 Microsoft Intune 端點許可權管理 (EPM) 貴組織的使用者可以執行為標準使用者 (，而不需要系統管理員許可權) 並完成需要提高許可權的工作。 通常需要系統管理許可權的工作是應用程式安裝 (，例如Microsoft 365 應用程式) 、更新設備驅動器，以及執行特定 Windows 診斷。

本文說明如何搭配使用 支援核准 的工作流程與端點許可權管理。

支援核准的提高許可權可讓您在允許提高許可權之前先要求核准。 您可以使用支援核准的功能作為提高許可權規則的一部分，或作為預設客戶端行為。 提交的要求需要 Intune 系統管理員依案例核准要求。

當用戶嘗試在提升許可權的內容中執行檔案，且該檔案是由 支援核准 的檔案提升類型所管理時，Intune 會向用戶顯示提示，要求提交提高許可權要求。 提高許可權要求接著會傳送至 Intune，以供 Intune 系統管理員檢閱。當系統管理員核准提高許可權要求時，會通知裝置上的使用者，然後在提升許可權的內容中執行檔案。 若要核准要求，Intune 系統管理員的帳戶必須具有檢閱和核准工作專屬的額外許可權。

適用於：

• Windows 10
• Windows 11

關於支援核准的提升

針對需要系統管理員核准才能以較高存取權執行的檔案，使用 EPM 原則搭配 支援的已核准 提高許可權類型。 它們類似於其他 EPM 提高許可權規則，但有一些需要額外規劃的差異。

提示

若要檢閱三種提高許可權類型和其他原則選項，請參閱 Windows 提高許可權規則原則。

下列主題是當您使用支援核准的提高許可權類型時，要規劃和預期的詳細資料：

• 提高權限要求

  當使用者以滑鼠右鍵按下選項 [以提升的存 取權執行] 來執行檔案，且該檔案是由 具有支援核准 提高許可權規則的原則所管理時，Intune 會向用戶顯示將提高許可權要求傳送至 Intune 系統管理中心的提示。

  • 提示可讓使用者輸入提高許可權的商業原因。 這個原因會成為提高許可權要求的一部分，其中也包含使用者的名稱、裝置和檔名。

  • 當使用者傳送要求時，它會移至 Intune 系統管理中心，其中具有管理這些要求許可權的 Intune 系統管理員決定核准或拒絕該要求。

  下圖顯示使用者體驗的檔案提高許可權提示範例：

  

• 檢閱提高許可權要求

  Intune 系統管理員必須擁有端點許可權管理提高許可權要求許可權的檢視和管理許可權，才能檢閱和核准提高許可權要求。

  若要尋找並回應要求，這些系統管理員會使用系統管理中心中 [端點許可權管理] 頁面的 [提高許可權要求] 索引標籤。 因為 Intune 沒有方法可以通知系統管理員新的提高許可權要求，所以系統管理員應該計劃定期檢查索引標籤是否有擱置的要求。

  可以管理提高許可權要求的系統管理員可以接受或拒絕要求。 他們也可以提供決定的原因。 這個原因會成為要求稽核記錄的一部分。

  • 核准：當系統管理員核准提高許可權要求時，Intune 會將原則傳送至使用者提交要求的裝置，讓該使用者在接下來的 24 小時內以提升許可權的方式執行檔案。 這段期間會在系統管理員核准要求時開始。 在24小時期間到期之前，目前不支援自定義期間或取消核准的提升。

    一旦核准要求，Intune就會通知裝置並起始同步處理。 這可能需要一些時間。 Intune 會使用裝置上的通知來警示使用者，他們現在可以使用 [以 提高 許可權的存取權執行] 按兩下滑鼠右鍵選項成功執行檔案。

  • 針對拒絕：Intune 不會通知使用者。 系統管理員應該手動通知使用者其要求遭到拒絕。

• 提高許可權要求的稽核

  具有足夠許可權的 Intune 系統管理員可以檢視 EPM 原則的相關信息，例如 在 Intune 稽核記錄中建立、編輯和處理提高許可權要求，可在 租使用者管理>稽核記錄中取得。

  下列螢幕快照顯示支援 核准 提高許可權原則重複的稽核記錄範例，原先命名為 測試原則 - 支援已核准：

  

提高許可權要求的 RBAC 許可權

若要對提高許可權核准提供監督，只有具有下列角色型訪問控制 (RBAC) Intune 許可權的 Intune 系統管理員，才能檢視和管理提高許可權要求：

• 端點許可權管理提高許可權要求 - 需要此許可權才能處理使用者提交以供核准的提升許可權要求，並支援下列許可權：

  • 檢視提高許可權要求
  • 修改提高許可權要求

如需管理 EPM 之所有許可權的詳細資訊，請參閱 端點許可權管理的角色型訪問控制。

建立支援已核准檔案提升的原則

若要建立支援核准的提升原則，請使用相同的工作流程來建立其他 EPM 提高許可權規則原則。 請參閱設定端點許可權管理的原則中的建立 Windows 提高許可權規則原則。

管理擱置的提高許可權要求

使用下列程式作為檢閱和管理提高許可權要求的指引。

1. 登入 Microsoft Intune 系統管理中心 ，然後移至 [端點安全>性端點許可權管理>提高許可權要求 ] 索引標籤。

2. [提高許可權要求] 索引標籤會顯示過去 30 天的暫止要求和要求。 選取資料列會開啟專案提高許可權要求屬性，您可以在其中詳細檢閱要求。

3. 提高權限要求詳細資料包含下列資訊：

   1. 一般詳細數據：

      1. 檔案 - 要求提高許可權的檔名。
      2. Publisher - 簽署要求提高許可權之檔案的發行者名稱。 發行者的名稱是一個連結，可擷取要下載之檔案的憑證鏈結。
      3. 裝置 - 要求提高許可權的來源裝置。 裝置名稱是在系統管理中心開啟裝置對象的連結。
      4. 符合 Intune 規範 - 裝置的 Intune 合規性狀態。

   2. 要求詳細資料：

      1. 狀態 - 要求的狀態。 要求會啟動為 [擱置 ]，而且可以由系統管理員核 准 或 拒絕 。
      2. 依據 - 核 准 或 拒絕 要求之系統管理員的帳戶。
      3. 上次修改 - 上次修改要求項目的時間。
      4. 使用者的理由 - 使用者針對提高許可權要求所提供的理由。
      5. 核准到期 - 核准到期的時間。 在達到此到期時間之前，允許提高已核准檔案的許可權。
      6. 系統管理員的原因 - 系統管理員在核 准 或 拒絕 完成時所提供的理由。

   3. 檔案資訊 - 要求核准之檔案的元數據規格。

   

4. 在系統管理員檢閱要求之後，他們可以選取 [ 核准 ] 或 [ 拒絕]。 在任一選取中，都會顯示 理由對話框 ，讓他們可以提供 原因 及其決策的詳細數據。 提供原因是選擇性的。 下列會顯示核准對話框：

   • 核准 - 系統管理員完成理由對話框，然後選取 [ 是 ] 以核准要求。 Intune 會將核准傳送至裝置，而終端使用者會透過快顯通知收到通知，告知他們能夠提高應用程式。

     用戶現在可以使用檔案的 [以提高許可權的 存取權 執行] 按兩下滑鼠右鍵功能表，來完成提高許可權的活動。

     

   • 針對拒絕 - 系統管理員會完成 [理由] 對話框，然後選取 [ 是 ] 以拒絕要求。

     當系統管理員拒絕核准要求時，提高許可權要求不會獲得核准。 Intune 不會傳送回復給裝置，也不會通知使用者。

     

注意事項

提高許可權要求包含必要時建立提高許可權規則所需的所有資訊，包括 完整的 憑證鏈結。 支援已核准的提高許可權也會顯示在提高許可權使用量數據中，就像任何其他提高許可權要求一樣。

後續步驟

• 建立提高許可權規則的指引
• 設定端點許可權管理的原則
• 端點許可權管理的報告
• 端點許可權管理的數據收集和隱私權
• 部署考慮和常見問題