Supporto delle elevazioni di file approvate per Endpoint Privilege Management

Nota

Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

Con Gestione privilegi endpoint Microsoft Intune (EPM) gli utenti dell'organizzazione possono essere eseguiti come utente standard (senza diritti di amministratore) e completare attività che richiedono privilegi elevati. Le attività che in genere richiedono privilegi amministrativi sono le installazioni di applicazioni (ad esempio Applicazioni Di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica di Windows.

Questo articolo illustra come usare il flusso di lavoro approvato dal supporto con Endpoint Privilege Management.

Il supporto delle elevazioni approvate consente di richiedere l'approvazione prima che venga consentita un'elevazione. È possibile usare la funzionalità approvata dal supporto come parte di una regola di elevazione o come comportamento client predefinito. Le richieste inviate richiedono Intune amministratori di approvare la richiesta caso per caso.

Quando un utente tenta di eseguire un file in un contesto con privilegi elevati e tale file è gestito dal tipo di elevazione dei file approvato dal supporto, Intune visualizza una richiesta all'utente di inviare una richiesta di elevazione dei privilegi. La richiesta di elevazione viene quindi inviata a Intune per la revisione da parte di un amministratore Intune. Quando un amministratore approva la richiesta di elevazione dei privilegi, l'utente nel dispositivo riceve una notifica e il file può quindi essere eseguito nel contesto con privilegi elevati. Per approvare le richieste, l'account dell'amministratore Intune deve disporre di autorizzazioni aggiuntive specifiche per l'attività di revisione e approvazione.

Si applica a:

• Windows 10
• Windows 11

Informazioni sulle elevazioni approvate del supporto

Usare i criteri EPM con il tipo di elevazione approvato dal supporto per i file che richiedono l'approvazione di un amministratore prima che possano essere eseguiti con accesso più elevato. Sono simili ad altre regole di elevazione di EPM, ma presentano alcune differenze che richiedono una pianificazione aggiuntiva.

Consiglio

Per esaminare i tre tipi di elevazione dei privilegi e altre opzioni dei criteri, vedere Criteri delle regole di elevazione di Windows.

Gli argomenti seguenti sono i dettagli da pianificare e prevedere quando si usa il tipo di elevazione approvato dal supporto:

• Richieste di elevazione

  Quando un utente esegue un file con l'opzione di clic con il pulsante destro del mouse Esegui con accesso con privilegi elevati e tale file è gestito da criteri con una regola di elevazione approvata dal supporto, Intune mostra all'utente una richiesta di invio di una richiesta di elevazione del livello di elevazione all'interfaccia di amministrazione Intune.

  • La richiesta consente all'utente di immettere un motivo aziendale per l'elevazione. Questo motivo diventa parte della richiesta di elevazione dei privilegi, che contiene anche il nome, il dispositivo e il nome file dell'utente.

  • Quando l'utente invia la richiesta, passa all'interfaccia di amministrazione Intune in cui un amministratore Intune con le autorizzazioni per gestire queste richieste decide di approvarla o negarla.

  L'immagine seguente mostra un esempio della richiesta di elevazione dei file che viene visualizzata dagli utenti:

  

• Revisione delle richieste di elevazione dei privilegi

  Un amministratore di Intune deve disporre dei diritti di visualizzazione e gestione per l'autorizzazione Richieste di elevazione dei privilegi degli endpoint prima di poter esaminare e approvare le richieste di elevazione dei privilegi.

  Per trovare e rispondere alle richieste, questi amministratori usano la scheda Richieste di elevazione dei privilegi della pagina Gestione privilegi endpoint nell'interfaccia di amministrazione. Poiché Intune non ha un modo per notificare agli amministratori le nuove richieste di elevazione dei privilegi, gli amministratori devono pianificare di controllare regolarmente la scheda per le richieste in sospeso.

  Gli amministratori che possono gestire le richieste di elevazione possono accettare o rifiutare una richiesta. Possono anche fornire un motivo per la loro decisione. Questo motivo diventa parte del record di controllo per la richiesta.

  • Per le approvazioni: quando un amministratore approva una richiesta di elevazione dei privilegi, Intune invia un criterio al dispositivo in cui l'utente ha inviato la richiesta, che consente all'utente di eseguire il file con privilegi elevati per le 24 ore successive. Questo periodo inizia nel momento in cui l'amministratore approva la richiesta. Non è disponibile alcun supporto corrente per un periodo di tempo personalizzato o l'annullamento dell'elevazione approvata prima della scadenza del periodo di 24 ore.

    Una volta approvata la richiesta, Intune notifica al dispositivo e avvia una sincronizzazione. Questa operazione può richiedere del tempo. Intune usa una notifica nel dispositivo per avvisare l'utente che ora è possibile eseguire correttamente il file con l'opzione Esegui con accesso con privilegi elevati.

  • Per i rifiuti: Intune non invia notifiche all'utente. L'amministratore deve notificare manualmente all'utente che la richiesta è stata negata.

• Controllo delle richieste di elevazione dei privilegi

  Un amministratore Intune con autorizzazioni sufficienti può visualizzare informazioni sui criteri EPM, ad esempio la creazione, la modifica e la gestione delle richieste di elevazione dei privilegi nei log di controllo Intune, disponibili in Logdi controllodell'amministrazione> tenant.

  L'acquisizione schermata seguente mostra un esempio del log di controllo per la duplicazione di un criterio di elevazione approvato dal supporto , originariamente denominato Criteri di test - supporto approvato:

  

Autorizzazioni di controllo degli accessi in base al ruolo per le richieste di elevazione dei privilegi

Per garantire la supervisione per le approvazioni dell'elevazione dei privilegi, solo gli amministratori Intune che dispongono delle autorizzazioni di controllo degli accessi in base al ruolo seguenti in Intune possono visualizzare e gestire le richieste di elevazione dei privilegi:

• Richieste di elevazione dei privilegi degli endpoint : questa autorizzazione è necessaria per funzionare con le richieste di elevazione dei privilegi inviate dagli utenti per l'approvazione e supporta i diritti seguenti:

  • Visualizzare le richieste di elevazione dei privilegi
  • Modificare le richieste di elevazione dei privilegi

Per altre informazioni su tutte le autorizzazioni per la gestione di EPM, vedere Controlli degli accessi in base al ruolo per Endpoint Privilege Management.

Creare criteri per il supporto delle elevazioni dei file approvate

Per creare criteri di elevazione approvati dal supporto, usare lo stesso flusso di lavoro per creare altri criteri delle regole di elevazione EPM. Vedere Criteri delle regole di elevazione dei privilegi di Windows in Configurare i criteri per Endpoint Privilege Management.

Gestire le richieste di elevazione in sospeso

Usare la procedura seguente come indicazioni per la revisione e la gestione delle richieste di elevazione dei privilegi.

1. Accedere all'interfaccia di amministrazione Microsoft Intune e passare alla scheda Richiestedi elevazione deiprivilegi> degli endpoint di sicurezza> degli endpoint.

2. La scheda Richieste di elevazione dei privilegi mostra le richieste e le richieste in sospesodegli ultimi 30 giorni. La selezione di una riga apre le proprietà delle richieste di elevazione delle voci, in cui è possibile esaminare la richiesta in dettaglio.

3. I dettagli della richiesta di elevazione includono le informazioni seguenti:

   1. Dettagli generali:

      • File : nome del file richiesto per l'elevazione.
      • Server di pubblicazione : nome del server di pubblicazione che ha firmato il file richiesto per l'elevazione dei privilegi. Il nome del server di pubblicazione è un collegamento che recupera la catena di certificati per il file da scaricare.
      • Dispositivo : dispositivo da cui è stata richiesta l'elevazione. Il nome del dispositivo è un collegamento che apre l'oggetto dispositivo nell'interfaccia di amministrazione.
      • Intune conforme: stato di conformità Intune del dispositivo.

   2. Dettagli della richiesta:

      • Stato : stato della richiesta. Le richieste iniziano come In sospeso e possono essere approvate o negate da un amministratore.
      • By : account dell'amministratore che ha approvato o negato la richiesta.
      • Ultima modifica : l'ultima volta che è stata modificata la voce della richiesta.
      • Giustificazione dell'utente : giustificazione fornita dall'utente per la richiesta di elevazione dei privilegi.
      • Scadenza approvazione : ora di scadenza dell'approvazione. Fino a quando non viene raggiunta la scadenza, è consentita l'elevazione del file approvato.
      • Amministrazione motivo: giustificazione fornita dall'amministratore quando viene completata un'approvazione o un rifiuto.

   3. Informazioni sui file : specifiche dei metadati per il file richiesto per l'approvazione.

   

4. Quando il tenant ha una licenza per Microsoft Security Copilot, è possibile usare l'opzione Analizza con Copilot, che si trova in alto a destra nel riquadro delle proprietà della richiesta di elevazione. È possibile usare questa opzione per usare Security Copilot Microsoft Defender per endpoint per valutare il file nella richiesta di elevazione dei privilegi prima di approvarlo o negarlo.

5. Dopo che un amministratore esamina una richiesta, può selezionare Approva o Nega. Con entrambe le selezioni, viene visualizzata la finestra di dialogo di giustificazione in cui è possibile fornire un motivo con dettagli sulla decisione. Specificare un motivo è facoltativo. Di seguito viene visualizzata la finestra di dialogo di approvazione:

   • Per le approvazioni : l'amministratore completa la finestra di dialogo di giustificazione e quindi seleziona Sì per approvare la richiesta. Intune invia l'approvazione al dispositivo e l'utente finale riceve una notifica di tipo avviso popup che informa di essere in grado di elevare l'applicazione.

     L'utente finale può ora completare l'attività di elevazione usando il menu di scelta rapida Esegui con accesso con privilegi elevati del file.

     

   • Per le negazioni : l'amministratore completa la finestra di dialogo di giustificazione e quindi seleziona Sì per negare la richiesta.

     Quando un amministratore nega una richiesta di approvazione, la richiesta di elevazione dei privilegi non viene approvata. Intune non invia una risposta al dispositivo e l'utente non riceve una notifica.

     

Nota

Una richiesta di elevazione dei privilegi contiene tutte le informazioni necessarie per creare una regola di elevazione, inclusa la catena di certificati completa . Le elevazioni approvate del supporto vengono visualizzate anche nei dati sull'utilizzo delle elevazioni, come qualsiasi altra richiesta di elevazione.

Usare Microsoft Security Copilot per analizzare le richieste di elevazione dei file

Con Endpoint Privilege Management (EPM) e Microsoft Security Copilot, è possibile usare Security Copilot per ridurre il lavoro necessario per identificare ed analizzare i file in una richiesta di elevazione dei file prima di scegliere di approvare o rifiutare la richiesta. Le informazioni usate Security Copilot consentono di valutare i file e stabilire l'attendibilità vengono raccolte e valutate tramite Microsoft Defender Threat Intelligence (Defender TI).

Ad esempio, quando si visualizzano le proprietà del file per una richiesta di elevazione dei privilegi, è possibile selezionare l'opzione Analizza con Copilot per fare in modo che Security Copilot fornire dettagli che spesso non sono evidenti, tra cui:

• Reputazione delle app
• Informazioni sull'attendibilità dell'editore
• Punteggio di rischio per l'utente che richiede l'elevazione
• Punteggio di rischio del dispositivo da cui è stata inviata l'elevazione.

Prerequisiti per l'uso di Security Copilot con EPM

Per usare Microsoft Security Copilot con Endpoint Privilege Management, il tenant deve avere la licenza per usare Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements). Questo requisito si aggiunge ai prerequisiti per l'uso di Endpoint Privilege Management.

Se il tenant è già concesso in licenza per EPM e per Security Copilot, non è necessaria alcuna licenza o configurazione aggiuntiva.

Flusso di lavoro per analizzare le richieste di file

È possibile avere Microsoft Security Copilot analizzare le proprietà di un file durante la revisione di una richiesta di elevazione dei file:

1. Nell'interfaccia di amministrazione Microsoft Intune passare a Endpoint security>Endpoint Privilege Management e selezionare la scheda Richieste di elevazione*.

2. Nelle richieste di elevazione dei privilegi selezionare il nome di una richiesta di elevazione per aprire il riquadro Proprietà richiesta elevazione , in cui è quindi possibile esaminare i dettagli dei file.

3. Per indirizzare Security Copilot per esaminare più da vicino il file, selezionare Analizza con Copilot nel riquadro Proprietà richiesta elevazione. Se selezionata, Intune crea un prompt Copilot chiuso in base all'hash dei file. Questo prompt usa Microsoft Defender per endpoint per analizzare il file. Le richieste personalizzate o aperte per l'analisi dei file non sono supportate.

4. Dopo l'analisi del file, i risultati vengono restituiti all'interfaccia di amministrazione in cui è possibile esaminare i dettagli dei file. È possibile usare queste informazioni dettagliate per prendere una decisione più informata di approvare o negare la richiesta di elevazione.

Esempio: nelle immagini seguenti vengono visualizzati il percorso e i risultati di un amministratore usando il Intune percorso dell'interfaccia di amministrazione per individuare e selezionare una richiesta di elevazione dei file inviata da un utente. La richiesta è un file denominato InstallPrinter.msi. Quando il file è selezionato, le relative proprietà della richiesta di elevazione vengono aperte:

Quando l'amministratore esamina il file, nota che il file ha un autore sconosciuto. Per verificare che questo file sia legittimo, usa l'opzione Analizza con Copilot delle proprietà della richiesta di elevazione per fare in modo che Copilot dia un'occhiata più da vicino.

Copilot esamina il file e restituisce i dettagli seguenti:

L'immagine precedente mostra un'acquisizione dello schermo del report Copilot sulla reputazione del file InstallPrinter.msi . In questo esempio, il file viene identificato come dannoso e non deve essere approvato per l'esecuzione in un contesto con privilegi elevati. I risultati includono anche informazioni aggiuntive e collegamenti a riferimenti per il file dannoso identificato.

Contenuto correlato

• Indicazioni per la creazione di regole di elevazione
• Configurare i criteri per Endpoint Privilege Management
• Report per Endpoint Privilege Management
• Raccolta e privacy dei dati per Endpoint Privilege Management
• Considerazioni sulla distribuzione e domande frequenti