Sdílet prostřednictvím


Konfigurace zásad pro správu oprávnění koncového bodu

Poznámka

Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňku Intune Suite.

S Microsoft Intune Endpoint Privilege Management (EPM) můžou uživatelé vaší organizace spouštět jako standardní uživatel (bez oprávnění správce) a provádět úlohy, které vyžadují zvýšená oprávnění. Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Správa oprávnění koncového bodu podporuje vaši cestu nulové důvěryhodnosti tím, že pomáhá vaší organizaci dosáhnout široké uživatelské základny spuštěné s minimálními oprávněními a zároveň umožňuje uživatelům stále spouštět úlohy povolené vaší organizací, aby zůstali produktivní.

Informace v tomto článku vám můžou pomoct s konfigurací následujících zásad a opakovaně použitelných nastavení pro EPM:

  • Zásady nastavení zvýšení oprávnění windows
  • Zásady pravidel zvýšení oprávnění windows.
  • Opakovaně použitelné skupiny nastavení, což jsou volitelné konfigurace pro pravidla zvýšení oprávnění.

Platí pro:

  • Windows 10
  • Windows 11

Začínáme se zásadami EPM

Správa oprávnění koncového bodu používá dva typy zásad, které nakonfigurujete ke správě způsobu zpracování žádosti o zvýšení oprávnění souboru. Zásady společně konfigurují chování pro zvýšení oprávnění souborů, když standardní uživatelé požadují spuštění s oprávněními správce.

Než budete moct vytvořit zásady správy oprávnění koncového bodu, musíte ve svém tenantovi licencovat EPM jako doplněk Intune. Informace o licencování najdete v tématu Použití funkcí doplňku Intune Suite.

Informace o zásadách nastavení zvýšení oprávnění windows

Zásady nastavení zvýšení oprávnění windows použijte v těchto případech:

  • Povolte správu oprávnění koncového bodu na zařízeních. Ve výchozím nastavení tato zásada povoluje EPM. Při prvním povolení EPM zařízení zřídí komponenty, které shromažďují data o využití pro žádosti o zvýšení oprávnění a které vynucuje pravidla zvýšení oprávnění.

    Pokud je u zařízení vypnutý EPM, klientské komponenty je okamžitě zakažte. Úplné odebrání komponenty EPM může trvat sedm dní. Zpoždění pomáhá zkrátit dobu potřebnou k obnovení EPM v případě, že by zařízení omylem zakázalo EPM nebo pokud se zásady nastavení zvýšení oprávnění nepřiřadily.

  • Výchozí odpověď na zvýšení oprávnění – Nastavte výchozí odpověď pro žádost o zvýšení úrovně u libovolného souboru, který není spravovaný zásadami pravidla zvýšení oprávnění windows. Aby toto nastavení mělo účinek, nemůže pro aplikaci existovat žádné pravidlo a koncový uživatel musí explicitně požádat o zvýšení oprávnění prostřednictvím nabídky Spustit se zvýšeným přístupem po kliknutí pravým tlačítkem myši. Ve výchozím nastavení není tato možnost nakonfigurovaná. Pokud se žádné nastavení nedoručí, komponenty EPM se vrátí k integrovanému výchozímu nastavení, kterým je zamítnutí všech požadavků.

    Mezi možnosti patří:

    • Odepřít všechny požadavky – Tato možnost blokuje akci zvýšení úrovně požadavků u souborů, které nejsou definované v zásadách pravidel zvýšení oprávnění Windows.
    • Vyžadovat potvrzení uživatele – Pokud je vyžadováno potvrzení uživatelem, můžete si vybrat ze stejných možností ověřování, které najdete pro zásady pravidel zvýšení oprávnění windows.
    • Vyžadovat schválení podpory – Pokud se vyžaduje schválení podpory, musí správce schválit žádosti o zvýšení oprávnění bez odpovídajícího pravidla před tím, než se vyžaduje zvýšení oprávnění.

    Poznámka

    Výchozí odpovědi se zpracovávají jenom u požadavků přicházejících přes nabídku Spustit se zvýšeným přístupem po kliknutí pravým tlačítkem myši.

  • Možnosti ověření – Nastavte možnosti ověření, když je výchozí odpověď na zvýšení oprávnění definovaná jako Vyžadovat potvrzení uživatele.

    Mezi možnosti patří:

    • Obchodní odůvodnění – Tato možnost vyžaduje, aby koncový uživatel zadal odůvodnění před dokončením zvýšení oprávnění, které je usnadněno výchozí odpovědí na zvýšení oprávnění.
    • Ověřování systému Windows – Tato možnost vyžaduje, aby se koncový uživatel ověřil před dokončením zvýšení oprávnění, které je usnadněno výchozí odpovědí na zvýšení oprávnění.

    Poznámka

    Pro splnění potřeb organizace je možné vybrat více možností ověření. Pokud nejsou vybrány žádné možnosti, je nutné, aby uživatel kliknutím na Pokračovat dokončil zvýšení oprávnění.

  • Odesílání dat o zvýšení oprávnění pro účely generování sestav – Toto nastavení určuje, jestli vaše zařízení sdílí diagnostická data a data o využití s Microsoftem. Pokud je sdílení dat povolené, typ dat se konfiguruje nastavením oboru generování sestav .

    Microsoft používá diagnostická data k měření stavu komponent klienta EPM. Data o využití se používají k zobrazení zvýšení oprávnění, ke kterým dochází v rámci vašeho tenanta. Další informace o typech dat a způsobu jejich ukládání najdete v tématu Shromažďování dat a ochrana osobních údajů pro správu oprávnění koncového bodu.

    Mezi možnosti patří:

    • Ano – Tato možnost odesílá data do Microsoftu na základě nastavení Rozsah sestav .
    • Ne – Tato možnost neodesílá data do Microsoftu.
  • Obor generování sestav – Toto nastavení řídí množství dat odesílaných do Microsoftu, když je možnost Odeslat data o zvýšení oprávnění pro generování sestav nastavená na Ano. Ve výchozím nastavení je vybraná možnost Diagnostická data a všechna zvýšení oprávnění koncového bodu .

    Mezi možnosti patří:

    • Pouze diagnostická data a spravovaná zvýšení oprávnění – Tato možnost odesílá Do Microsoftu diagnostická data o stavu klientských komponent a data o zvýšeních oprávnění, která usnadňuje správa oprávnění koncového bodu.
    • Diagnostická data a všechna zvýšení oprávnění koncových bodů – Tato možnost odesílá Do Microsoftu diagnostická data o stavu klientských komponent A data o všech zvýšeních oprávněních na koncovém bodu.
    • Pouze diagnostická data – Tato možnost odesílá Do Microsoftu jenom diagnostická data o stavu klientských komponent.

Informace o zásadách pravidel zvýšení oprávnění windows

Profily pro zásady pravidel zvýšení oprávnění windows slouží ke správě identifikace konkrétních souborů a způsobu zpracování žádostí o zvýšení oprávnění pro tyto soubory. Každá zásada pravidla zvýšení oprávnění systému Windows obsahuje jedno nebo více pravidel zvýšení oprávnění. Pomocí pravidel zvýšení oprávnění konfigurujete podrobnosti o spravovaném souboru a požadavcích na zvýšení oprávnění.

Podporují se následující typy souborů:

  • Spustitelné soubory s příponou .exe nebo .msi
  • Skripty PowerShellu s rozšířením .ps1

Každé pravidlo zvýšení oprávnění instruuje EPM, jak:

  • Identifikujte soubor pomocí:

    • Název souboru (včetně přípony) Pravidlo také podporuje volitelné podmínky, jako je minimální verze buildu, název produktu nebo interní název. Volitelné podmínky slouží k dalšímu ověření souboru při pokusu o zvýšení oprávnění.
    • Certifikát. Certifikáty je možné přidat přímo do pravidla nebo pomocí opakovaně použitelné skupiny nastavení. Pokud se certifikát použije v pravidle, musí být také platný. Doporučujeme používat opakovaně použitelné skupiny nastavení, protože mohou být efektivnější a zjednodušit budoucí změnu certifikátu. Další informace najdete v další části Skupiny opakovaně použitelných nastavení.
  • Ověřte soubor:

    • Hodnota hash souboru. Pro automatická pravidla se vyžaduje hodnota hash souboru. U pravidel potvrzených uživatelem můžete použít buď certifikát, nebo hodnotu hash souboru. V tomto případě se hodnota hash souboru stane nepovinnou.
    • Certifikát. Pokud je k dispozici certifikát, použijí se k ověření stavu certifikátu a odvolání rozhraní API systému Windows.
    • Další vlastnosti. Všechny další vlastnosti zadané v pravidlech se musí shodovat.
  • Nakonfigurujte typ zvýšení oprávnění souborů. Typ zvýšení oprávnění určuje, co se stane, když se pro soubor vytvoří žádost o zvýšení oprávnění. Ve výchozím nastavení je tato možnost nastavená na Potvrzeno uživatelem, což je naše doporučení pro zvýšení oprávnění.

    • Uživatel potvrzen (doporučeno): Uživatel potvrdil zvýšení oprávnění vždy vyžaduje, aby uživatel při spuštění souboru klikl na výzvu k potvrzení. Můžete přidat další potvrzení uživatelů. Jeden vyžaduje, aby se uživatelé ověřili pomocí přihlašovacích údajů organizace. Další možnost vyžaduje, aby uživatel zadal obchodní odůvodnění. I když text zadaný pro odůvodnění je na uživateli, EPM ho může shromažďovat a hlásit, když je zařízení nakonfigurované tak, aby hlásilo údaje o zvýšení oprávnění v rámci zásad nastavení zvýšení oprávnění windows.
    • Automaticky: K automatickému zvýšení oprávnění uživatele dochází neviditelně. Nezobrazuje se žádná výzva ani indikuje, že soubor běží v kontextu se zvýšenými oprávněními.
    • Schválená podpora: Správce musí schválit všechny žádosti o zvýšení oprávnění vyžadované podporou , které nemají odpovídající pravidlo, a teprve potom může aplikace běžet se zvýšenými oprávněními.
  • Umožňuje spravovat chování podřízených procesů. Můžete nastavit chování zvýšení oprávnění, které se vztahuje na všechny podřízené procesy, které proces se zvýšenými oprávněními vytvoří.

    • Vyžadovat pravidlo pro zvýšení úrovně – Nakonfigurujte podřízené procesy tak, aby vyžadovaly vlastní pravidlo, než bude možné podřízený proces spustit v kontextu se zvýšenými oprávněními.
    • Odepřít vše – všechny podřízené procesy se spustí bez kontextu se zvýšenými oprávněními.
    • Povolit spouštění podřízených procesů se zvýšenými oprávněními – Nakonfigurujte podřízený proces tak, aby se vždy spouštěl se zvýšenými oprávněními.

Poznámka

Další informace o vytváření silných pravidel najdete v našich doprovodných materiálech k vytváření pravidel zvýšení oprávnění pomocí správy oprávnění koncového bodu.

Můžete také použít rutinu Get-FileAttributes PowerShellu z modulu PowerShellu EpmTools. Tato rutina může načíst atributy souboru pro soubor .exe a extrahovat jeho certifikáty vydavatele a certifikační autority do nastaveného umístění, které můžete použít k naplnění vlastností pravidla zvýšení oprávnění pro konkrétní aplikaci.

Upozornění

Automatické zvýšení oprávnění doporučujeme používat střídmě a jenom u důvěryhodných souborů, které jsou pro důležité obchodní informace. Koncoví uživatelé automaticky zvýší úroveň těchto aplikací při každém spuštění této aplikace.

Skupina opakovaně použitelných nastavení

Správa oprávnění koncového bodu podporuje použití opakovaně použitelných skupin nastavení ke správě certifikátů místo přidání certifikátu přímo do pravidla zvýšení oprávnění. Stejně jako všechny opakovaně použitelné skupiny nastavení pro Intune se konfigurace a změny provedené ve skupině opakovaně použitelných nastavení automaticky předávají zásadám, které na skupinu odkazují. Pokud plánujete použít stejný certifikát k ověření souborů ve více pravidlech zvýšení oprávnění, doporučujeme použít opakovaně použitelnou skupinu nastavení. Použití opakovaně použitelných skupin nastavení je efektivnější, když použijete stejný certifikát ve více pravidlech zvýšení oprávnění:

  • Certifikáty, které přidáte přímo do pravidla zvýšení oprávnění: Každý certifikát přidaný přímo do pravidla se nahraje jako jedinečná instance pomocí Intune a tato instance certifikátu je pak přidružena k ho pravidlu. Když přidáte stejný certifikát přímo do dvou samostatných pravidel, nahraje se dvakrát. Pokud později budete muset certifikát změnit, musíte upravit každé jednotlivá pravidla, která ho obsahují. Při každé změně pravidla Intune nahraje aktualizovaný certifikát pro každé pravidlo jednou.
  • Certifikáty, které spravujete prostřednictvím opakovaně použitelné skupiny nastavení: Pokaždé, když se certifikát přidá do opakovaně použitelné skupiny nastavení, Intune certifikát nahraje jednou bez ohledu na to, kolik pravidel zvýšení oprávnění tuto skupinu zahrnuje. Tato instance certifikátu se pak přidružuje k souboru z každého pravidla, které tuto skupinu používá. Později můžete libovolnou změnu certifikátu provést jednorázově ve skupině opakovaně použitelných nastavení. Výsledkem této změny je Intune nahrání aktualizovaného souboru jednou a následné použití této změny na každé pravidlo zvýšení oprávnění, které na skupinu odkazuje.

Zásady nastavení zvýšení oprávnění ve Windows

Pokud chcete na zařízeních nakonfigurovat následující možnosti, nasaďte zásady nastavení zvýšení oprávnění Windows pro uživatele nebo zařízení:

  • Povolení správy oprávnění koncového bodu na zařízení
  • Nastavte výchozí pravidla pro žádosti o zvýšení oprávnění pro libovolný soubor, který není spravovaný pravidlem zvýšení oprávnění Správy oprávnění koncového bodu na daném zařízení.
  • Nakonfigurujte, jaké informace EPM hlásí zpět do Intune.

Aby zařízení mohlo zpracovat zásady pravidel zvýšení oprávnění nebo spravovat žádosti o zvýšení oprávnění, musí mít zásadu nastavení zvýšení oprávnění, která umožňuje podporu EPM. Pokud je povolená podpora, C:\Program Files\Microsoft EPM Agent složka se přidá do zařízení spolu s agentem EPM Microsoft, který zodpovídá za zpracování zásad EPM.

Vytvoření zásady nastavení zvýšení oprávnění ve Windows

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte do částiSpráva> oprávnění koncového bodu zabezpečení> koncového bodu, vyberte kartu >Zásady a pak vyberte Vytvořit zásadu. Nastavte platformu na Windows, profil na zásadu nastavení zvýšení oprávnění Windows a pak vyberte Vytvořit.

  2. V části Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Profily názvů, abyste je později mohli snadno identifikovat.
    • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.
  3. V nastavení konfigurace nakonfigurujte následující nastavení tak, aby se definovalo výchozí chování pro žádosti o zvýšení oprávnění na zařízení:

    Obrázek stránky konfigurace nastavení vyhodnocení

    • Správa oprávnění koncového bodu: Nastavte na Povoleno (výchozí). Pokud je povoleno, zařízení používá správu oprávnění koncového bodu. Pokud je nastavená možnost Zakázáno, zařízení nepoužívá správu oprávnění koncového bodu a okamžitě zakáže EPM, pokud byla dříve povolená. Po sedmi dnech zařízení zruší zřízení komponent pro správu oprávnění koncového bodu.

    • Výchozí odpověď na zvýšení oprávnění: Nakonfigurujte, jak toto zařízení spravuje žádosti o zvýšení oprávnění pro soubory, které nejsou přímo spravovány pravidlem:

      • Nenakonfigurováno: Tato možnost funguje stejně jako Odepřít všechny požadavky.
      • Zamítnout všechny požadavky: EPM neusnadní zvýšení oprávnění souborů a uživateli se zobrazí automaticky otevírané okno s informacemi o odepření. Tato konfigurace nezabrání uživatelům s oprávněními správce používat ke spouštění nespravovaných souborů možnost Spustit jako správce .
      • Vyžadovat schválení podpory: Toto chování dává EPM pokyn, aby uživateli zobrazil výzvu k odeslání žádosti o schválení podpory.
      • Vyžadovat potvrzení uživatele: Uživateli se zobrazí jednoduchá výzva k potvrzení záměru soubor spustit. Můžete také vyžadovat další výzvy, které jsou k dispozici v rozevíracím seznamu Ověření :
        • Obchodní odůvodnění: Vyžaduje, aby uživatel zadal odůvodnění spuštění souboru. Pro toto odůvodnění neexistuje žádný požadovaný formát. Uživatelský vstup se uloží a je možné ho zkontrolovat prostřednictvím protokolů, pokud obor generování sestav zahrnuje shromažďování zvýšení oprávnění koncových bodů.
        • Ověřování systému Windows: Tato možnost vyžaduje, aby se uživatel ověřil pomocí přihlašovacích údajů organizace.
    • Odeslat data o zvýšení oprávnění pro generování sestav: Ve výchozím nastavení je toto chování nastavené na Ano. Pokud je nastavená hodnota ano, můžete pak nakonfigurovat obor generování sestav. Pokud je možnost Ne, zařízení nehlásí diagnostická data ani informace o zvýšení oprávnění souborů na Intune.

    • Obor generování sestav: Zvolte, jaký typ informací zařízení hlásí, aby Intune:

      • Diagnostická data a všechna zvýšení oprávnění koncového bodu (výchozí): Zařízení hlásí diagnostická data a podrobnosti o všech zvýšeních oprávněních souborů, které EPM usnadňuje.

        Tato úroveň informací vám může pomoct identifikovat další soubory, které ještě nejsou spravovány pravidlem zvýšení oprávnění, které uživatelé chtějí spustit v kontextu se zvýšenými oprávněními.

      • Pouze diagnostická data a spravovaná zvýšení oprávnění: Zařízení hlásí diagnostická data a podrobnosti o zvýšení oprávnění souborů jenom pro ty soubory, které jsou spravované zásadami pravidla zvýšení oprávnění. Žádosti o soubory pro nespravované soubory a soubory se zvýšenými oprávněními prostřednictvím výchozí akce Windows Spustit jako správce se nehlásí jako spravovaná zvýšení oprávnění.

      • Pouze diagnostická data: Shromažďují se pouze diagnostická data pro provoz správy oprávnění koncového bodu. Informace o zvýšení oprávnění souborů se nehlásí do Intune.

    Až budete připraveni, pokračujte výběrem možnosti Další .

  4. Na stránce Značky oboru vyberte požadované značky oboru, které chcete použít, a pak vyberte Další.

  5. V části Přiřazení vyberte skupiny, které zásadu obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

  6. V části Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásady se také zobrazují v seznamu zásad.

Zásady pravidel zvýšení oprávnění windows

Nasaďte zásady pravidel zvýšení oprávnění Systému Windows pro uživatele nebo zařízení a nasaďte jedno nebo více pravidel pro soubory, které jsou spravovány pro zvýšení úrovně pomocí Správy oprávnění koncového bodu. Každé pravidlo, které přidáte do této zásady:

  • Identifikuje soubor, pro který chcete spravovat žádosti o zvýšení oprávnění.
  • Může obsahovat certifikát, který vám pomůže ověřit integritu souboru před jeho spuštěním. Můžete také přidat opakovaně použitelnou skupinu obsahující certifikát, který pak použijete s jedním nebo více pravidly nebo zásadami.
  • Určuje, jestli typ zvýšení oprávnění souboru je automatický (bezobslužně) nebo vyžaduje potvrzení uživatele. S potvrzením uživatele můžete přidat další akce uživatele, které je potřeba před spuštěním souboru dokončit. Kromě této zásady musí být zařízení přiřazené také zásady nastavení zvýšení oprávnění systému Windows, které umožňují správu oprávnění koncového bodu.

Pomocí některé z následujících metod vytvořte nová pravidla zvýšení oprávnění, která se přidají do zásad pravidel zvýšení oprávnění:

  • Automatická konfigurace pravidel zvýšení oprávnění – Tato metoda slouží k úspoře času při vytváření pravidla zvýšení oprávnění automatickým vyplněním podrobností o detekci souborů, které už Intune shromáždili. Podrobnosti o souboru jsou identifikovány Intune ze sestavy zvýšení oprávnění nebo ze záznamu žádostí o zvýšení oprávnění schválených podporou.

    Pomocí této metody:

    • Vyberte soubor, pro který chcete vytvořit pravidlo zvýšení oprávnění, ze sestavy zvýšení oprávnění nebo ze schválené žádosti o zvýšení úrovně podpory.
    • Zvolte, jestli chcete přidat nové pravidlo zvýšení oprávnění do existujících zásad pravidel zvýšení oprávnění, nebo vytvořte novou zásadu pravidel zvýšení oprávnění, která nové pravidlo obsahuje.
      • Po přidání do existující zásady bude nové pravidlo okamžitě dostupné pro skupiny přiřazené zásadami.
      • Když se vytvoří nová zásada, musíte ji upravit a přiřadit skupiny, než budou k dispozici pro použití.
  • Ruční konfigurace pravidel zvýšení oprávnění – Tato metoda vyžaduje, abyste identifikovali podrobnosti o souborech, které chcete použít k detekci, a abyste je ručně zadali v rámci pracovního postupu vytváření pravidla. Informace o kritériích detekce najdete v tématu Definování pravidel pro použití se správou oprávnění koncového bodu.

    Pomocí této metody:

    • Ručně určete podrobnosti o souboru, které se mají použít, a pak je přidejte do pravidla zvýšení oprávnění pro identifikaci souboru.
    • Nakonfigurujte všechny aspekty zásad během vytváření zásad, včetně přiřazení zásad ke skupinám pro použití.

Automatická konfigurace pravidel zvýšení oprávnění pro zásady pravidel zvýšení oprávnění windows

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte do částiSpráva oprávnění koncového bodu zabezpečení >koncového bodu. Pokud chcete vybrat soubor, který se má použít pro pravidlo zvýšení oprávnění, zvolte jednu z následujících počátečních cest:

    Začít ze sestavy:

    1. Vyberte kartu Sestavy a pak dlaždici Sestava zvýšení oprávnění . Ve sloupci Soubor vyhledejte soubor, pro který chcete vytvořit pravidlo.
    2. Výběrem propojeného názvu souboru otevřete podokno podrobností o zvýšení oprávnění .

    Začněte od žádosti o zvýšení oprávnění schválené podpory:

    1. Vyberte kartu Žádost o zvýšení oprávnění .

    2. Ve sloupci Soubor vyberte soubor, který chcete použít pro pravidlo zvýšení oprávnění, čímž se otevře podokno podrobností o souborech zvýšení oprávnění .

      Na stavu žádosti o zvýšení oprávnění nezáleží. Můžete použít žádost čekající na vyřízení nebo žádost, která byla dříve schválena nebo zamítnuta.

  2. V podokně Podrobnosti o zvýšení oprávnění zkontrolujte podrobnosti souboru. Tyto informace používá pravidlo zvýšení oprávnění k identifikaci správného souboru. Až budete připravení, vyberte Vytvořit pravidlo s těmito podrobnostmi o souboru.

    Obrázek souboru vybraného ze sestavy Zvýšení oprávnění z uživatelského rozhraní Centra pro správu

  3. Vyberte možnost zásady pro nové pravidlo zvýšení oprávnění, které vytváříte:

    Vytvořte novou zásadu:
    Tato možnost vytvoří novou zásadu, která zahrnuje pravidlo zvýšení oprávnění pro vybraný soubor.

    1. Pro pravidlo nakonfigurujte typ apodřízené chování procesu a pak vyberte OK a vytvořte zásadu.
    2. Po zobrazení výzvy zadejte název zásady pro novou zásadu a potvrďte vytvoření nové a nepřiřazené zásady pravidel zvýšení oprávnění.
    3. Po vytvoření zásady můžete zásadu upravit a přiřadit ji a v případě potřeby přidat další konfigurace.

    Přidání do existující zásady:
    Pomocí této možnosti použijte rozevírací seznam a vyberte existující zásadu zvýšení oprávnění, do které se přidá nové pravidlo zvýšení oprávnění.

    1. Pro pravidlo nakonfigurujte typ zvýšení oprávnění a chování podřízeného procesu a pak vyberte OK. Zásady se aktualizují novým pravidlem.
    2. Po přidání pravidla do zásady můžete zásadu upravit, abyste k němu získali přístup, a v případě potřeby ji upravit tak, aby se nastavily další konfigurace.

    Vyžadovat stejnou cestu k souboru jako toto zvýšení oprávnění:
    Když zaškrtnete toto políčko, pole Cesta k souboru v pravidle se nastaví na cestu k souboru, jak je vidět v sestavě. Pokud políčko není zaškrtnuté, zůstane cesta prázdná.

    Obrázek z uživatelského rozhraní centra pro správu podokna Vytvořit pravidlo

Ruční konfigurace pravidel zvýšení oprávnění pro zásady pravidel zvýšení oprávnění windows

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte do částiSpráva> oprávnění koncového bodu zabezpečení> koncového bodu, vyberte kartu >Zásady a pak vyberte Vytvořit zásadu. Nastavte zásadu Platforma na Windows, Profil na Pravidla zvýšení oprávnění Windows a pak vyberte Vytvořit.

  2. V části Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Profily názvů, abyste je později mohli snadno identifikovat.
    • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.
  3. V části Nastavení konfigurace přidejte pravidlo pro každý soubor, který tato zásada spravuje. Když vytvoříte novou zásadu, zásada začne obsahovat prázdné pravidlo s typem zvýšení oprávnění Potvrzeno uživatelem a bez názvu pravidla. Začněte konfigurací tohoto pravidla a později můžete vybrat Přidat a přidat do této zásady další pravidla. Každé nové pravidlo, které přidáte, má typ zvýšení oprávnění Potvrzeno uživatelem, které se dá při konfiguraci pravidla změnit.

    Obrázek nové zásady pravidel zvýšení oprávnění z uživatelského rozhraní Centra pro správu

    Pokud chcete nakonfigurovat pravidlo, vyberte Upravit instanci , otevřete stránku vlastností pravidla a nakonfigurujte následující:

    Obrázek vlastností pravidel zvýšení oprávnění

    • Název pravidla: Zadejte popisný název pravidla. Pojmenujte pravidla, abyste je později mohli snadno identifikovat.
    • Popis (volitelné): Zadejte popis profilu.

    Podmínky zvýšení oprávnění jsou podmínky, které definují způsob spuštění souboru, a ověření uživatelů, která musí být splněna před spuštěním souboru, na který se toto pravidlo vztahuje.

    • Typ zvýšení oprávnění: Ve výchozím nastavení je tato možnost nastavená na Potvrzeno uživatelem, což je typ zvýšení oprávnění, který doporučujeme pro většinu souborů.

      • Uživatel potvrdil: Tuto možnost doporučujeme pro většinu pravidel. Při spuštění souboru se uživateli zobrazí jednoduchá výzva k potvrzení záměru soubor spustit. Pravidlo může obsahovat také další výzvy, které jsou k dispozici v rozevíracím seznamu Ověření :

        • Obchodní odůvodnění: Vyžaduje, aby uživatel zadal odůvodnění spuštění souboru. Pro záznam není žádný požadovaný formát. Uživatelský vstup se uloží a dá se zkontrolovat prostřednictvím protokolů, pokud obor generování sestav zahrnuje shromažďování zvýšení oprávnění koncových bodů.
        • Ověřování systému Windows: Tato možnost vyžaduje, aby se uživatel ověřil pomocí přihlašovacích údajů organizace.
      • Automaticky: Tento typ zvýšení oprávnění automaticky spustí příslušný soubor se zvýšenými oprávněními. Automatické zvýšení oprávnění je pro uživatele transparentní, bez výzvy k potvrzení nebo vyžadování odůvodnění nebo ověření uživatelem.

        Upozornění

        Automatické zvýšení oprávnění používejte jenom u souborů, kterým důvěřujete. Tyto soubory se automaticky zvýší bez zásahu uživatele. Pravidla, která nejsou dobře definovaná, by mohla umožnit zvýšení oprávnění neschválené aplikace. Další informace o vytváření silných pravidel najdete v doprovodných materiálech k vytváření pravidel.

      • Podpora schválena: Tento typ zvýšení oprávnění vyžaduje, aby správce před dokončením zvýšení oprávnění schválil žádost. Další informace najdete v tématu Podpora schválených žádostí o zvýšení oprávnění.

        Důležité

        Použití podpory schváleného zvýšení oprávnění pro soubory vyžaduje, aby správci s dalšími oprávněními zkontrolovali a schválili každou žádost o zvýšení oprávnění před tímto souborem na zařízení s oprávněními správce. Informace o použití typu schváleného zvýšení oprávnění podpory najdete v tématu Podpora schválených zvýšení oprávnění souborů pro správu oprávnění koncového bodu.

    • Chování podřízeného procesu: Ve výchozím nastavení je tato možnost nastavená na Vyžadovat zvýšení úrovně pravidla, což vyžaduje, aby podřízený proces odpovídal stejnému pravidlu jako proces, který ho vytvořil. Mezi další možnosti patří:

      • Povolit spouštění všech podřízených procesů se zvýšenými oprávněními: Tato možnost by se měla používat s opatrností, protože umožňuje aplikacím vytvářet podřízené procesy bezpodmínečně.
      • Odepřít vše: Tato konfigurace zabraňuje vytvoření jakéhokoli podřízeného procesu.

    Informace o souborech určují podrobnosti, které identifikují soubor, na který se toto pravidlo vztahuje.

    • Název souboru: Zadejte název souboru a jeho příponu. Například: myapplication.exe

    • Cesta k souboru (volitelné): Zadejte umístění souboru. Pokud je soubor možné spustit z libovolného umístění nebo je neznámý, můžete ho nechat prázdný. Můžete také použít proměnnou.

    • Zdroj podpisu: Zvolte jednu z následujících možností:

      • Použít soubor certifikátu v opakovaně použitelných nastaveních (výchozí): Tato možnost používá soubor certifikátu, který byl přidán do opakovaně použitelné skupiny nastavení pro správu oprávnění koncového bodu. Před použitím této možnosti musíte vytvořit opakovaně použitelnou skupinu nastavení .

        Pokud chcete certifikát identifikovat, vyberte Přidat nebo odebrat certifikát a pak vyberte opakovaně použitelnou skupinu, která obsahuje správný certifikát. Potom zadejte typ certifikátuvydavatele nebo certifikační autority.

      • Nahrání souboru certifikátu: Přidejte soubor certifikátu přímo do pravidla zvýšení oprávnění. V části Nahrání souboru zadejte .cer soubor, který může ověřit integritu souboru, na který se toto pravidlo vztahuje. Potom zadejte typ certifikátuvydavatele nebo certifikační autority.

      • Nenakonfigurováno: Tuto možnost použijte, pokud nechcete k ověření integrity souboru použít certifikát. Pokud se nepoužívá žádný certifikát, musíte zadat hodnotu hash souboru.

    • Hodnota hash souboru: Hodnota hash souboru je povinná, pokud je zdroj podpisu nastavený na Nenakonfigurováno, a volitelná, pokud je nastavená na použití certifikátu.

    • Minimální verze: (Volitelné) K určení minimální verze souboru podporovaného tímto pravidlem použijte formát x.x.x.x .

    • Popis souboru: (Volitelné) Zadejte popis souboru.

    • Název produktu: (Volitelné) Zadejte název produktu, ze kterého soubor pochází.

    • Interní název: (Volitelné) Zadejte interní název souboru.

    Vyberte Uložit a uložte konfiguraci pravidla. Potom můžete přidat další pravidla. Po přidání všech pravidel, která tato zásada vyžaduje, pokračujte výběrem možnosti Další .

  4. Na stránce Značky oboru vyberte požadované značky oboru, které chcete použít, a pak vyberte Další.

  5. V části Přiřazení vyberte skupiny, které zásadu obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

  6. V části Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásady se také zobrazují v seznamu zásad.

Opakovaně použitelné skupiny nastavení

Správa oprávnění koncového bodu používá opakovaně použitelné skupiny nastavení ke správě certifikátů, které ověřují soubory, které spravujete pomocí pravidel zvýšení oprávnění koncového bodu. Stejně jako všechny opakovaně použitelné skupiny nastavení pro Intune se změny opakovaně použitelné skupiny automaticky předávají zásadám, které na skupinu odkazují. Pokud musíte aktualizovat certifikát, který používáte k ověření souboru, stačí ho aktualizovat jenom ve skupině opakovaně použitelných nastavení. Intune použije aktualizovaný certifikát na všechna pravidla zvýšení oprávnění, která používají tuto skupinu.

Vytvoření opakovaně použitelné skupiny nastavení pro správu oprávnění koncového bodu:

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte do částiSpráva> oprávnění koncového bodu zabezpečení> koncového bodu, vyberte kartu >Opakovaně použitelné nastavení (Preview) a pak vyberte Přidat.

    Snímek obrazovky uživatelského rozhraní pro přidání opakovaně použitelné skupiny nastavení

  2. V části Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název opakovaně použitelné skupiny. Skupiny pojmenujte, abyste je později mohli snadno identifikovat.
    • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.
  3. V nastavení konfigurace vyberte ikonu složky Soubor certifikátu a přejděte na . CER soubor, který ho přidá do této opakovaně použitelné skupiny. Pole Základní hodnota 64 se vyplní na základě vybraného certifikátu.

    Snímek obrazovky uživatelského rozhraní pro přechod na certifikát

  4. V části Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Přidat. Když vyberete Přidat, konfigurace se uloží a skupina se pak zobrazí v seznamu opakovaně použitelných skupin nastavení pro Správu oprávnění koncového bodu.

Zpracování konfliktů zásad pro správu oprávnění koncového bodu

S výjimkou následující situace se konfliktní zásady pro EPM zpracovávají stejně jako jakýkoli jiný konflikt zásad.

Zásady nastavení zvýšení oprávnění windows:

Když zařízení obdrží dvě samostatné zásady nastavení zvýšení oprávnění s konfliktními hodnotami, klient EPM se vrátí k výchozímu chování klienta, dokud se konflikt nevyřeší.

Poznámka

Pokud je povolení správy oprávnění koncového bodu v konfliktu, výchozí chování klienta je Povolit EPM. To znamená, že klientské komponenty budou dál fungovat, dokud se do zařízení nedoručí explicitní hodnota.

Zásady pravidel zvýšení oprávnění windows:

Pokud zařízení obdrží dvě pravidla, která cílí na stejnou aplikaci, obě pravidla se na zařízení spotřebují. Když EPM přeloží pravidla, která se vztahují na zvýšení oprávnění, použije následující logiku:

  • Pravidla nasazená pro uživatele mají přednost před pravidly nasazenými na zařízení.
  • Pravidla s definovanou hodnotou hash se vždy považují za nejsměrnější pravidlo.
  • Pokud platí více než jedno pravidlo (bez definované hodnoty hash), vyhraje pravidlo s nejdefinovanějšími atributy ( nej specifičtější).
  • Pokud použití logiky pokračování vede k více než jednomu pravidlu, určuje chování zvýšení oprávnění následující pořadí: Potvrzeno uživatelem, Podpora schválena a pak automaticky.

Poznámka

Pokud pravidlo pro zvýšení oprávnění neexistuje a toto zvýšení oprávnění bylo požadováno prostřednictvím místní nabídky Spustit se zvýšeným přístupem po kliknutí pravým tlačítkem myši, použije se výchozí chování zvýšení oprávnění .

Další kroky