Partager via

Prise en charge des élévations de fichiers approuvées pour Endpoint Privilege Management

  • Article

Remarque

Cette fonctionnalité est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

Avec Gestion des privilèges de points de terminaison Microsoft Intune (EPM), les utilisateurs de votre organization peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches nécessitant des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

Cet article explique comment utiliser le flux de travail approuvé avec Endpoint Privilege Management.

La prise en charge des élévations approuvées vous permet d’exiger une approbation avant qu’une élévation ne soit autorisée. Vous pouvez utiliser la fonctionnalité approuvée par le support dans le cadre d’une règle d’élévation ou comme comportement client par défaut. Les demandes envoyées nécessitent Intune administrateurs d’approuver la demande au cas par cas.

Lorsqu’un utilisateur tente d’exécuter un fichier dans un contexte élevé et que ce fichier est géré par le type d’élévation de fichier approuvé par prise en charge, Intune affiche une invite à l’utilisateur pour envoyer une demande d’élévation. La demande d’élévation est ensuite envoyée à Intune pour révision par un administrateur Intune. Lorsqu’un administrateur approuve la demande d’élévation, l’utilisateur sur l’appareil est averti et le fichier peut ensuite être exécuté dans le contexte avec élévation de privilèges. Pour approuver les demandes, le compte de l’administrateur Intune doit disposer d’autorisations supplémentaires spécifiques à la tâche de révision et d’approbation.

S’applique à :

  • Windows 10
  • Windows 11

À propos de la prise en charge des élévations approuvées

Utilisez des stratégies EPM avec le type d’élévation approuvé pour les fichiers qui nécessitent l’approbation d’un administrateur avant de pouvoir s’exécuter avec un accès plus élevé. Elles sont similaires à d’autres règles d’élévation EPM, mais elles présentent certaines différences qui nécessitent une planification supplémentaire.

Conseil

Pour passer en revue les trois types d’élévation et les autres options de stratégie, consultez Stratégie des règles d’élévation Windows.

Les sujets suivants sont les détails à planifier et à attendre lorsque vous utilisez le type d’élévation approuvé par la prise en charge :

  • Requêtes d’élévation

    Lorsqu’un utilisateur exécute un fichier avec l’option de clic droit Exécuter avec un accès élevé et que ce fichier est géré par une stratégie avec une règle d’élévation approuvée par le support, Intune affiche à l’utilisateur une invite pour envoyer une demande d’élévation au centre d’administration Intune.

    • L’invite permet à l’utilisateur d’entrer une raison professionnelle pour l’élévation. Cette raison fait partie de la demande d’élévation, qui contient également le nom de l’utilisateur, l’appareil et le nom de fichier.

    • Lorsque l’utilisateur envoie la demande, il accède au centre d’administration Intune où un administrateur Intune disposant d’autorisations pour gérer ces demandes décide de l’approuver ou de la refuser.

    L’image suivante montre un exemple d’invite d’élévation de fichier que les utilisateurs rencontrent :

    Capture d’écran qui affiche un exemple de l’invite de demande d’élévation de l’utilisateur.

  • Examen des demandes d’élévation

    Un administrateur Intune doit disposer de droits d’affichage et de gestion pour l’autorisation Demandes d’élévation de gestion des privilèges de point de terminaison avant de pouvoir examiner et approuver les demandes d’élévation.

    Pour rechercher et répondre aux demandes, ces administrateurs utilisent l’onglet Demandes d’élévation de la page Gestion des privilèges de point de terminaison dans le centre d’administration. Étant donné que Intune n’a pas de moyen d’informer les administrateurs des nouvelles demandes d’élévation, les administrateurs doivent prévoir de case activée régulièrement l’onglet pour les demandes en attente.

    Les administrateurs qui peuvent gérer les demandes d’élévation peuvent accepter ou rejeter une demande. Ils peuvent également fournir une raison de leur décision. Cette raison fait partie de l’enregistrement d’audit de la demande.

    • Pour les approbations : lorsqu’un administrateur approuve une demande d’élévation, Intune envoie une stratégie à l’appareil où l’utilisateur a envoyé la demande, ce qui permet à cet utilisateur d’exécuter le fichier avec élévation de privilèges pour les 24 prochaines heures. Cette période commence au moment où l’administrateur approuve la demande. Il n’existe actuellement aucune prise en charge pour une période personnalisée ou l’annulation de l’élévation approuvée avant l’expiration de la période de 24 heures.

      Une fois la demande approuvée, Intune avertit l’appareil et lance une synchronisation. Cela peut prendre un certain temps. Intune utilise une notification sur l’appareil pour avertir l’utilisateur qu’il peut maintenant exécuter correctement le fichier avec l’option de clic droit Exécuter avec accès élevé.

    • Pour les dénis : Intune n’en informe pas l’utilisateur. L’administrateur doit informer manuellement l’utilisateur que sa demande a été refusée.

  • Audit des demandes d’élévation

    Un administrateur Intune disposant des autorisations suffisantes peut afficher des informations sur la stratégie EPM, telles que la création, la modification et la gestion des demandes d’élévation dans les journaux d’audit Intune, disponibles dans l’administration> du locataireJournaux d’audit.

    La capture d’écran suivante montre un exemple de journal d’audit pour la duplication d’une stratégie d’élévation approuvée par le support , initialement nommée Stratégie de test - support approuvé :

    Image qui affiche une entrée de journal d’audit pour une stratégie de règles d’élévation approuvées par le support.

Autorisations RBAC pour les demandes d’élévation

Pour superviser les approbations d’élévation, seuls les administrateurs Intune disposant des autorisations de contrôle d’accès en fonction du rôle (RBAC) suivantes dans Intune peuvent afficher et gérer les demandes d’élévation :

  • Demandes d’élévation de gestion des privilèges des points de terminaison : cette autorisation est requise pour travailler avec les demandes d’élévation soumises par les utilisateurs pour approbation et prend en charge les droits suivants :

    • Afficher les demandes d’élévation
    • Modifier les demandes d’élévation

Pour plus d’informations sur toutes les autorisations de gestion d’EPM, consultez Contrôles d’accès en fonction du rôle pour Endpoint Privilege Management.

Créer une stratégie pour la prise en charge des élévations de fichiers approuvées

Pour créer une stratégie d’élévation approuvée par la prise en charge, utilisez le même flux de travail pour créer d’autres stratégies de règle d’élévation EPM. Consultez Stratégie de règles d’élévation Windows dans Configurer des stratégies pour Endpoint Privilege Management.

Gérer les demandes d’élévation en attente

Utilisez la procédure suivante pour examiner et gérer les demandes d’élévation.

  1. Connectez-vous au centre d’administration Microsoft Intune et accédez à l’ongletDemandes d’élévation de la sécurité> des points determinaison Endpoint Privilege Management>.

  2. L’onglet Demandes d’élévation affiche les demandes en attente et les demandes des 30 derniers jours. La sélection d’une ligne ouvre les entrées des propriétés de demande d’élévation, où vous pouvez examiner la demande en détail.

  3. Les détails de la demande d’élévation incluent les informations suivantes :

    1. Détails généraux :

      • File : nom du fichier qui a été demandé pour l’élévation.
      • Publisher : nom de l’éditeur qui a signé le fichier demandé pour l’élévation. Le nom de l’éditeur est un lien qui récupère la chaîne de certificats pour le fichier à télécharger.
      • Appareil : appareil à partir duquel l’élévation a été demandée. Le nom de l’appareil est un lien qui ouvre l’objet appareil dans le centre d’administration.
      • Intune conforme : état de conformité Intune de l’appareil.

    2. Détails de la demande :

      • État : état de la demande. Les demandes commencent par En attente et peuvent être approuvées ou refusées par un administrateur.
      • Par : compte de l’administrateur qui a approuvé ou refusé la demande.
      • Dernière modification : heure de la dernière modification de l’entrée de la demande.
      • Justification de l’utilisateur : justification fournie par l’utilisateur pour la demande d’élévation.
      • Expiration de l’approbation : heure d’expiration de l’approbation. Tant que ce délai d’expiration n’est pas atteint, l’élévation du fichier approuvé est autorisée.
      • raison de Administration : justification fournie par l’administrateur lorsqu’une approbation ou un refus est effectué.

    3. Informations sur le fichier : spécificités des métadonnées du fichier qui a été demandé pour approbation.

    Image qui affiche les détails d’une demande d’élévation.

  4. Lorsque votre locataire dispose d’une licence pour Microsoft Security Copilot, vous avez accès à l’option Analyser avec Copilot, qui se trouve en haut à droite du volet des propriétés de la demande d’élévation. Vous pouvez utiliser cette option pour que Security Copilot travaillent avec Microsoft Defender pour point de terminaison afin d’évaluer le fichier dans la demande d’élévation avant de l’approuver ou de le refuser.

  5. Une fois qu’un administrateur a examiné une demande, il peut sélectionner Approuver ou Refuser. Avec l’une ou l’autre sélection, ils sont présentés avec la boîte de dialogue de justification où ils peuvent fournir une raison avec des détails sur leur décision. La fourniture d’une raison est facultative. La boîte de dialogue d’approbation suivante s’affiche :

    • Pour les approbations : l’administrateur termine la boîte de dialogue de justification, puis sélectionne Oui pour approuver la demande. Intune envoie l’approbation à l’appareil et l’utilisateur final est averti via une notification toast qu’il peut élever l’application.

      L’utilisateur final peut maintenant terminer l’activité d’élévation à l’aide du menu de clic droit Exécuter avec accès élevé du fichier.

      Image qui affiche la boîte de dialogue d’approbation d’élévation avec l’exemple de justification d’approbation fourni comme motif

    • Pour les refus : l’administrateur termine la boîte de dialogue de justification, puis sélectionne Oui pour refuser la demande.

      Lorsqu’un administrateur refuse une demande d’approbation, la demande d’élévation n’est pas approuvée. Intune n’envoie pas de réponse à l’appareil et l’utilisateur n’est pas averti.

      Image qui affiche la boîte de dialogue de déni d’élévation sans justification d’approbation d’exemple fournie

Remarque

Une demande d’élévation contient toutes les informations nécessaires à la création d’une règle d’élévation, y compris la chaîne de certificats complète . Prise en charge des élévations approuvées s’affichent également dans les données d’utilisation de l’élévation comme toutes les autres demandes d’élévation.

Utiliser Microsoft Security Copilot pour analyser les demandes d’élévation de fichier

Avec Endpoint Privilege Management (EPM) et Microsoft Security Copilot, vous pouvez utiliser Security Copilot pour réduire le travail nécessaire pour identifier et examiner les fichiers dans une demande d’élévation de fichier avant de choisir d’approuver ou de refuser la demande. Les informations que Security Copilot utilise pour vous aider à évaluer les fichiers et à établir la confiance sont collectées et évaluées via Microsoft Defender Threat Intelligence (Defender TI).

Par exemple, lorsque vous affichez les propriétés du fichier pour une demande d’élévation, vous pouvez sélectionner l’option Analyser avec Copilot pour avoir Security Copilot fournir des détails qui ne sont souvent pas apparents, notamment :

  • La réputation des applications
  • Informations sur l’approbation de l’éditeur
  • Score de risque pour l’utilisateur demandant l’élévation
  • Score de risque de l’appareil à partir duquel l’élévation a été envoyée.

Conditions préalables à l’utilisation de Security Copilot avec EPM

Pour utiliser Microsoft Security Copilot avec Endpoint Privilege Management, votre locataire doit disposer d’une licence pour utiliser Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements). Cette exigence s’ajoute aux conditions préalables à l’utilisation de Endpoint Privilege Management.

Si votre locataire dispose déjà d’une licence pour EPM et pour Security Copilot, aucune licence ou configuration supplémentaire n’est requise.

Flux de travail pour analyser les demandes de fichiers

Vous pouvez avoir Microsoft Security Copilot analyser les propriétés d’un fichier pendant que vous examinez une demande d’élévation de fichier :

  1. Dans le centre d’administration Microsoft Intune, accédez à Endpoint security>Endpoint Privilege Management et sélectionnez l’onglet Demandes d’élévation*.

  2. Dans Demandes d’élévation, sélectionnez le nom d’une demande d’élévation pour ouvrir le volet des propriétés de la demande d’élévation dans lequel vous pouvez ensuite consulter les détails de ce fichier.

  3. Pour Security Copilot pour examiner le fichier de plus près, sélectionnez Analyser avec Copilot dans le volet propriétés de la demande d’élévation. Lorsque cette option est sélectionnée, Intune crée une invite Copilot fermée basée sur le hachage des fichiers. Cette invite utilise Microsoft Defender pour point de terminaison pour examiner le fichier. Les invites personnalisées ou ouvertes pour l’analyse des fichiers ne sont pas prises en charge.

  4. Une fois le fichier analysé, les résultats sont renvoyés au centre d’administration où vous pouvez consulter les détails des fichiers. Vous pouvez utiliser ces informations détaillées pour prendre une décision plus éclairée pour approuver ou refuser la demande d’élévation.

Exemple : Les images suivantes affichent le chemin d’accès et les résultats d’un administrateur à l’aide du Intune le chemin d’accès du centre d’administration pour localiser et sélectionner une demande d’élévation de fichier qui a été envoyée par un utilisateur. La requête est un fichier nommé InstallPrinter.msi. Lorsque le fichier est sélectionné, ses propriétés de demande d’élévation s’ouvrent :

Capture d’écran qui affiche le chemin et l’emplacement de l’option Analyser avec Copilot.

Lorsque l’administrateur examine le fichier, il remarque que le fichier a un éditeur inconnu. Pour vérifier que ce fichier est légitime, ils utilisent l’option Analyser avec Copilot des propriétés de la demande d’élévation pour que Copilot examine de plus près.

Copilot examine le fichier et renvoie les détails suivants :

Capture d’écran qui affiche un exemple de résultats de l’utilisation de l’option Analyser avec Copilot.

L’image précédente montre une capture d’écran du rapport Copilot sur la réputation de ce fichier InstallPrinter.msi . Dans cet exemple, le fichier est identifié comme malveillant et ne doit pas être approuvé pour s’exécuter dans un contexte élevé. Les résultats incluent également des informations supplémentaires et des liens vers des références pour le fichier malveillant qui a été identifié.

Étapes suivantes