Podpora schválených zvýšení oprávnění souborů pro správu oprávnění koncového bodu

Poznámka

Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňku Intune Suite.

S Správa oprávnění Microsoft Intune Endpoint (EPM) můžou uživatelé vaší organizace spouštět jako standardní uživatel (bez oprávnění správce) a provádět úlohy, které vyžadují zvýšená oprávnění. Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Tento článek vysvětluje, jak používat pracovní postup schválený pro podporu se správou oprávnění koncového bodu.

Podpora schválená zvýšení oprávnění umožňuje vyžadovat schválení před povolením zvýšení oprávnění. Funkci schválenou podporou můžete použít jako součást pravidla zvýšení oprávnění nebo jako výchozí chování klienta. Odesílané žádosti vyžadují, aby správci Intune žádost schválili případ od případu.

Když se uživatel pokusí spustit soubor v kontextu se zvýšenými oprávněními a tento soubor je spravován typem zvýšení oprávnění schváleného pro podporu, Intune uživateli zobrazí výzvu k odeslání žádosti o zvýšení oprávnění. Žádost o zvýšení oprávnění se pak odešle Intune ke kontrole správcem Intune. Když správce žádost o zvýšení oprávnění schválí, uživatel zařízení dostane oznámení a soubor se pak dá spustit v kontextu se zvýšenými oprávněními. Pokud chcete schvalovat žádosti, účet správce Intune musí mít další oprávnění, která jsou specifická pro úlohu kontroly a schválení.

Platí pro:

• Windows 10
• Windows 11

Informace o zvýšení úrovně schválené podporou

Použijte zásady EPM s typem schváleného zvýšení oprávnění podpory pro soubory, které potřebují souhlas správce, než je možné spustit s vyšším přístupem. Jsou podobné jiným pravidlům zvýšení úrovně EPM, ale mají určité rozdíly, které vyžadují další plánování.

Tip

Informace o třech typech zvýšení oprávnění a dalších možnostech zásad najdete v tématu Zásady pravidel zvýšení oprávnění windows.

Následující témata jsou podrobnosti, které je potřeba naplánovat a očekávat, když použijete typ zvýšení úrovně schválené podpory:

• Žádosti o zvýšení oprávnění

  Když uživatel spustí soubor s možností Spustit se zvýšenými oprávněními po kliknutí pravým tlačítkem myši a tento soubor spravuje zásady s pravidlem podpory schváleného zvýšení oprávnění, Intune uživateli zobrazí výzvu k odeslání žádosti o zvýšení oprávnění do centra pro správu Intune.

  • Výzva uživateli umožňuje zadat obchodní důvod zvýšení oprávnění. Tento důvod se stane součástí žádosti o zvýšení oprávnění, která obsahuje také uživatelské jméno, zařízení a název souboru.

  • Když uživatel odešle žádost, přejde do centra pro správu Intune, kde se správce Intune s oprávněními ke správě těchto žádostí rozhodne ji schválit nebo zamítnout.

  Následující obrázek ukazuje příklad výzvy ke zvýšení oprávnění souboru, která se uživatelům zobrazí:

  

• Kontrola žádostí o zvýšení oprávnění

  Správce Intune musí mít oprávnění k zobrazení a správě oprávnění ke správě žádostí o zvýšení oprávnění správy oprávnění koncového bodu, aby mohl žádosti o zvýšení oprávnění kontrolovat a schvalovat.

  K vyhledání žádostí a odpovědí na ně tito správci používají kartu Žádosti o zvýšení oprávnění na stránce Správa oprávnění koncového bodu v Centru pro správu. Vzhledem k tomu, že Intune nemá způsob, jak informovat správce o nových žádostech o zvýšení oprávnění, měli by správci naplánovat pravidelné kontroly nevyřízených žádostí na kartě.

  Správci, kteří můžou spravovat žádosti o zvýšení oprávnění, můžou žádost přijmout nebo odmítnout. Mohou také uvést důvod svého rozhodnutí. Tento důvod se stane součástí záznamu auditu pro žádost.

  • Schválení: Když správce schválí žádost o zvýšení oprávnění, odešle Intune do zařízení, na které uživatel žádost odeslal, zásadu, která uživateli umožní spustit soubor se zvýšenými oprávněními po dobu dalších 24 hodin. Toto období začíná v okamžiku, kdy správce žádost schválí. Před vypršením 24hodinového období se aktuálně nepodporuje vlastní časové období ani zrušení schváleného zvýšení oprávnění.

    Po schválení žádosti Intune zařízení upozorní a zahájí synchronizaci. To může nějakou dobu trvat. Intune pomocí oznámení na zařízení upozorní uživatele, že teď může soubor úspěšně spustit pomocí možnosti Spustit s přístupem se zvýšenými oprávněními.

  • Pro odepření: Intune uživatele neoznámí. Správce by měl ručně upozornit uživatele, že jeho žádost byla zamítnuta.

• Auditování žádostí o zvýšení oprávnění

  Správce Intune, který má dostatečná oprávnění, může zobrazit informace o zásadách EPM, jako je vytváření, úpravy a zpracování žádostí o zvýšení oprávnění, v protokolech auditu Intune, které jsou k dispozici vprotokolech auditu správy >tenanta.

  Následující snímek obrazovky ukazuje příklad protokolu auditu pro duplikaci zásad zvýšení oprávnění schválených podporou , původně s názvem Testovat zásadu – schválenou podporu:

  

Oprávnění RBAC pro žádosti o zvýšení oprávnění

Kvůli zajištění dohledu nad schvalováním zvýšení oprávnění můžou žádosti o zvýšení oprávnění zobrazovat a spravovat jenom správci Intune, kteří mají v Intune následující oprávnění řízení přístupu na základě role (RBAC):

• Žádosti o zvýšení oprávnění správy koncových bodů – Toto oprávnění se vyžaduje pro práci s žádostmi o zvýšení oprávnění odesílanými uživateli ke schválení a podporuje následující práva:

  • Zobrazení žádostí o zvýšení oprávnění
  • Úprava žádostí o zvýšení oprávnění

Další informace o všech oprávněních pro správu EPM najdete v tématu Řízení přístupu na základě role pro správu oprávnění koncového bodu.

Vytvoření zásad pro podporu schválených zvýšení oprávnění souborů

Pokud chcete vytvořit zásady zvýšení oprávnění schválené podporou, použijte stejný pracovní postup pro vytváření dalších zásad pravidel zvýšení oprávnění EPM. Viz Zásady pravidel zvýšení oprávnění Windows v tématu Konfigurace zásad pro správu oprávnění koncového bodu.

Správa čekajících žádostí o zvýšení oprávnění

Následující postup použijte jako doprovodné materiály ke kontrole a správě žádostí o zvýšení oprávnění.

1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte na kartuŽádosti o zvýšení oprávnění>koncového bodu zabezpečení>koncového bodu.

2. Na kartě Žádosti o zvýšení oprávnění se zobrazují žádosti čekající na vyřízení a žádosti za posledních 30 dnů. Když vyberete řádek, otevře se položka s vlastnostmi žádosti o zvýšení oprávnění, kde můžete požadavek podrobně zkontrolovat.

3. Podrobnosti o žádosti o zvýšení oprávnění zahrnují následující informace:

   1. Obecné podrobnosti:

      • Soubor – název souboru, který byl požádán o zvýšení oprávnění.
      • Publisher – název vydavatele, který podepsal soubor, který byl požádán o zvýšení oprávnění. Název vydavatele je odkaz, který načte řetěz certifikátů pro soubor ke stažení.
      • Zařízení – zařízení, ze kterého bylo požadováno zvýšení oprávnění. Název zařízení je odkaz, který otevře objekt zařízení v Centru pro správu.
      • Intune kompatibilní – stav Intune dodržování předpisů zařízení.

   2. Podrobnosti žádosti:

      • Stav – stav žádosti. Žádosti začínají jako čekající a správce je může buď schválit , nebo zamítnout .
      • Podle – Účet správce, který žádost schválil nebo zamítl .
      • Naposledy změněno – čas poslední změny položky požadavku.
      • Odůvodnění uživatele – odůvodnění, které uživatel poskytl pro žádost o zvýšení oprávnění.
      • Vypršení platnosti schválení – čas vypršení platnosti schválení. Až do dosažení této doby vypršení platnosti je povoleno zvýšení oprávnění schváleného souboru.
      • důvod Správa – odůvodnění poskytnuté správcem po dokončení schválení nebo zamítnutí.

   3. Informace o souborech – specifika metadat pro soubor, který byl požádán o schválení.

   

4. Když je váš tenant licencovaný na Microsoft Security Copilot, máte přístup k použití možnosti Analyzovat pomocí Copilotu, která je v pravém horním rohu podokna vlastností žádosti o zvýšení oprávnění. Tuto možnost můžete použít, pokud Security Copilot pracovat s Microsoft Defender for Endpoint vyhodnotit soubor v žádosti o zvýšení oprávnění, než ho schválíte nebo zamítnete.

5. Jakmile správce žádost zkontroluje, může vybrat Schválit nebo Zamítnout. Při každém výběru se jim zobrazí dialogové okno odůvodnění , ve kterém můžou uvést důvod s podrobnostmi o svém rozhodnutí. Poskytnutí důvodu je volitelné. Zobrazí se následující dialogové okno schválení:

   • Pro schválení – správce dokončí dialogové okno odůvodnění a pak výběrem možnosti Ano žádost schválí. Intune odešle schválení do zařízení a koncový uživatel obdrží oznámení prostřednictvím informační zprávy, že může zvýšit úroveň aplikace.

     Koncový uživatel teď může dokončit aktivitu zvýšení oprávnění pomocí nabídky Spustit s přístupem se zvýšenými oprávněními v souboru po kliknutí pravým tlačítkem myši.

     

   • Pro odepření – Správce dokončí dialogové okno odůvodnění a výběrem možnosti Ano žádost zamítá.

     Když správce žádost o schválení odmítne, žádost o zvýšení oprávnění se neschválila. Intune neodesílá do zařízení odpověď a uživatel nedostane oznámení.

     

Poznámka

Žádost o zvýšení oprávnění obsahuje všechny informace potřebné k vytvoření pravidla zvýšení oprávnění, včetně kompletního řetězu certifikátů. Schválené zvýšení oprávnění podpory se také zobrazují v datech o využití zvýšení oprávnění stejně jako jakékoli jiné žádosti o zvýšení oprávnění.

Použití Microsoft Security Copilot k analýze žádostí o zvýšení oprávnění souborů

Se správou oprávnění koncového bodu (EPM) a Microsoft Security Copilot můžete pomocí Security Copilot snížit množství práce potřebné k identifikaci a prozkoumání souborů v žádosti o zvýšení oprávnění před tím, než se rozhodnete žádost schválit nebo zamítnout. Informace, které Security Copilot používají k vyhodnocení souborů a navázání důvěryhodnosti, se shromažďují a vyhodnocují prostřednictvím Analýza hrozeb v programu Microsoft Defender (Defender TI).

Například při prohlížení vlastností souboru pro žádost o zvýšení oprávnění můžete vybrat možnost Analyzovat pomocí Copilotu, abyste měli Security Copilot poskytnout podrobnosti, které často nejsou zřejmé, mezi které patří:

• Reputace aplikací
• Informace o důvěryhodnosti vydavatele
• Rizikové skóre pro uživatele, který žádá o zvýšení oprávnění
• Skóre rizika zařízení, ze kterého bylo zvýšení oprávnění odesláno.

Předpoklady pro používání Security Copilot s EPM

Pokud chcete používat Microsoft Security Copilot se správou oprávnění koncového bodu, musí mít váš tenant licenci na používání Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements). Tento požadavek doplňuje požadavky na používání správy oprávnění koncového bodu.

Pokud je váš tenant už licencovaný pro EPM a pro Security Copilot, nevyžaduje se žádná další licence ani konfigurace.

Pracovní postup pro analýzu požadavků na soubory

Při kontrole žádosti o zvýšení oprávnění můžete mít Microsoft Security Copilot analyzovat vlastnosti souboru:

1. V Centru pro správu Microsoft Intune přejděte na Správa oprávnění koncového bodu zabezpečení>koncového bodu a vyberte kartu Žádosti o zvýšení oprávnění*.

2. V části Žádosti o zvýšení oprávnění vyberte název žádosti o zvýšení oprávnění a otevřete podokno Vlastností žádosti o zvýšení oprávnění , kde pak můžete zkontrolovat podrobnosti o souborech.

3. Pokud chcete nasměrovat Security Copilot se na soubor podívat podrobněji, vyberte v podokně Vlastnosti žádosti o zvýšení oprávněnímožnost Analyzovat pomocí Copilotu. Pokud je tato možnost vybraná, Intune vytvoří na základě hodnoty hash souborů zavřený příkaz Copilot. Tato výzva používá k prozkoumání souboru Microsoft Defender for Endpoint. Vlastní nebo otevřené výzvy k analýze souborů se nepodporují.

4. Po analýze souboru se výsledky vrátí do centra pro správu, kde můžete zkontrolovat podrobnosti o souborech. Tyto podrobné informace můžete využít k informovanějšímu rozhodnutí o schválení nebo zamítnutí žádosti o zvýšení oprávnění.

Příklad: Následující obrázky zobrazují cestu a výsledky správce pomocí Intune cestě Centra pro správu k vyhledání a výběru žádosti o zvýšení oprávnění souboru odeslaného uživatelem. Požadavek je soubor s názvemInstallPrinter.msi. Po výběru souboru se otevřou jeho vlastnosti žádosti o zvýšení oprávnění :

Když správce soubor zkontroluje, všimněte si, že soubor má neznámého vydavatele. Aby ověřili, že je tento soubor legitimní, používají možnost Analyzovat pomocí Copilotu z vlastností Žádosti o zvýšení oprávnění, aby se copilot podíval podrobněji.

Copilot zkontroluje soubor a nahlásí následující podrobnosti:

Předchozí obrázek ukazuje snímek obrazovky sestavy Copilotu s reputací tohotoInstallPrinter.msi souboru. V tomto příkladu je soubor označený jako škodlivý a neměl by být schválen ke spuštění v kontextu se zvýšenými oprávněními. Výsledky také obsahují další informace a odkazy na odkazy na identifikovaný škodlivý soubor.

Další kroky

• Pokyny k vytváření pravidel zvýšení oprávnění
• Konfigurace zásad pro správu oprávnění koncového bodu
• Sestavy pro správu oprávnění koncového bodu
• Shromažďování dat a ochrana osobních údajů pro správu oprávnění koncového bodu
• Důležité informace o nasazení a nejčastější dotazy