エンドポイント特権管理の承認済みファイル昇格をサポートする
注:
この機能は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。
Microsoft Intune Endpoint Privilege Management (EPM) を使用すると、組織のユーザーは標準ユーザー (管理者権限なし) として実行し、管理者特権を必要とするタスクを完了できます。 一般的に管理特権が必要なタスクは、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行です。
この記事では、Endpoint Privilege Management で サポートが承認された ワークフローを使用する方法について説明します。
承認された昇格をサポートすると、昇格が許可される前に承認を要求できます。 昇格ルールの一部として、または既定のクライアント動作として、サポートが承認された機能を使用できます。 送信された要求では、Intune 管理者がケース バイ ケースで要求を承認する必要があります。
ユーザーが昇格されたコンテキストでファイルを実行しようとしたときに、そのファイルが サポート承認された ファイル昇格の種類によって管理されている場合、Intune は昇格要求を送信するようにユーザーにプロンプトを表示します。 その後、昇格要求が Intune 管理者によって確認のために Intune に送信されます。管理者が昇格要求を承認すると、デバイス上のユーザーに通知が送信され、管理者特権のコンテキストでファイルを実行できます。 要求を承認するには、Intune 管理者のアカウントに、レビューと承認タスクに固有の追加のアクセス許可が必要です。
適用対象:
- Windows 10
- Windows 11
サポートが承認された昇格について
管理者が高いアクセス権で実行する前に、管理者の承認が必要なファイルに対して、 サポートされている 昇格の種類で EPM ポリシーを使用します。 他の EPM 昇格規則と似ていますが、追加の計画が必要な違いがいくつかあります。
ヒント
3 つの昇格の種類とその他のポリシー オプションを確認するには、「 Windows 昇格ルール ポリシー」を参照してください。
次の件名は、サポートが承認された昇格の種類を使用する場合に計画し、予想される詳細です。
昇格要求
ユーザーが右クリック オプションの [管理者特権で実行] オプションを使用してファイルを実行し、そのファイルが 、サポートされている昇格 規則を使用してポリシーによって管理されている場合、Intune は、昇格要求を Intune 管理センターに送信するためのプロンプトをユーザーに表示します。
プロンプトにより、ユーザーは昇格のビジネス上の理由を入力できます。 この理由は昇格要求の一部になり、ユーザーの名前、デバイス、ファイル名も含まれます。
ユーザーが要求を送信すると、Intune 管理センターに移動し、これらの要求を管理するためのアクセス許可を持つ Intune 管理者が承認または拒否することを決定します。
次の図は、ユーザーが表示するファイル昇格プロンプトの例を示しています。
昇格要求のレビュー
Intune 管理者は、昇格要求を確認および承認する前に、エンドポイント特権管理昇格要求のアクセス許可の表示と管理権限を持っている必要があります。
これらの管理者は、要求を検索して応答するために、管理センターの [エンドポイント特権管理] ページの [昇格要求] タブを使用します。 Intune には新しい昇格要求について管理者に通知する方法がないため、管理者はタブで保留中の要求を定期的に確認する必要があります。
昇格の要求を管理できる管理者は、要求を受け入れるか拒否できます。 また、決定の理由を提供することもできます。 この理由は、要求の監査レコードの一部になります。
承認: 管理者が昇格要求を承認すると、Intune はユーザーが要求を送信したデバイスにポリシーを送信します。これにより、そのユーザーは次の 24 時間管理者特権でファイルを実行できます。 この期間は、管理者が要求を承認した時点から始まります。 24 時間の有効期限が切れる前に、カスタム期間の現在のサポートや承認された昇格の取り消しはありません。
要求が承認されると、Intune はデバイスに通知し、同期を開始します。 これには時間がかかる場合があります。 Intune では、デバイス上の通知を使用して、[ 管理者特権 でアクセス権を持つ実行] 右クリック オプションを使用してファイルを正常に実行できることをユーザーに警告します。
拒否の場合: Intune はユーザーに通知しません。 管理者は、要求が拒否されたことをユーザーに手動で通知する必要があります。
昇格要求の監査
十分なアクセス許可を持つ Intune 管理者は、作成、編集、昇格要求の処理などの EPM ポリシーに関する情報を、テナント管理>Audit ログで使用できる Intune 監査ログに表示できます。
次の画面キャプチャは、もともとテスト ポリシー - サポートが承認されたという名前の、サポートが承認された昇格ポリシーの重複に対する監査ログの例を示しています。
昇格要求に対する RBAC アクセス許可
昇格の承認を監視するために、Intune で次のロールベースのアクセス制御 (RBAC) アクセス許可を持つ Intune 管理者のみが昇格要求を表示および管理できます。
Endpoint Privilege Management 昇格要求 - このアクセス許可は、承認のためにユーザーによって送信された昇格要求を処理するために必要であり、次の権限をサポートします。
- 昇格要求を表示する
- 昇格要求を変更する
EPM を管理するためのすべてのアクセス許可の詳細については、「 エンドポイント特権管理のロールベースのアクセス制御」を参照してください。
サポートされている承認済みファイル昇格のポリシーを作成する
サポートが承認された昇格ポリシーを作成するには、同じワークフローを使用して他の EPM 昇格ルール ポリシーを作成します。 「エンドポイント特権管理のポリシーを構成する」の「Windows 昇格ルール ポリシー」を参照してください。
保留中の昇格要求を管理する
昇格要求を確認および管理するためのガイダンスとして、次の手順を使用します。
Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>Endpoint Privilege Management>Elevation requests] タブに移動します。
[昇格要求] タブには、過去 30 日間の保留中の要求と要求が表示されます。 行を選択すると、昇格要求プロパティがエントリされ、要求を詳細に確認できます。
昇格要求の詳細には、次の情報が含まれます。
一般的な詳細:
- ファイル - 昇格を要求されたファイルの名前。
- Publisher - 昇格を要求されたファイルに署名した発行元の名前。 発行元の名前は、ダウンロードするファイルの証明書チェーンを取得するリンクです。
- デバイス - 昇格が要求されたデバイス。 デバイス名は、管理センターでデバイス オブジェクトを開くリンクです。
- Intune 準拠 - デバイスの Intune コンプライアンス状態。
要求の詳細:
- 状態 - 要求の状態。 要求は 保留中 として開始され、管理者が 承認 または 拒否 できます。
- By - 要求を 承認 または 拒否した 管理者のアカウント。
- 最終更新日 - 要求エントリが最後に変更された時刻。
- ユーザーの正当な理由 - 昇格要求に対してユーザーによって提供される正当な理由。
- 承認の有効期限 - 承認の有効期限が切れる時刻。 この有効期限に達するまで、承認済みファイルの昇格が許可されます。
- 管理者の理由 - 承認 または 拒否 が完了したときに管理者によって提供される正当な理由。
ファイル情報 - 承認を要求されたファイルのメタデータの詳細。
管理者は、要求を確認した後、[ 承認] または [ 拒否] を選択できます。 どちらの選択でも、 理由ダイアログが 表示され、決定に関する詳細が 理由 で提供されます。 理由の指定は省略可能です。 承認ダイアログが表示されます。
承認の場合 - 管理者は正当な理由ダイアログを完了し、[ はい ] を選択して要求を承認します。 Intune は承認をデバイスに送信し、エンド ユーザーはトースト通知を介してアプリケーションを昇格できることを通知します。
エンド ユーザーは、ファイルの [ 昇格されたアクセス権を持つ実行 ] 右クリック メニューを使用して、昇格アクティビティを完了できるようになりました。
拒否の場合 - 管理者は正当な理由ダイアログを完了し、[ はい ] を選択して要求を拒否します。
管理者が承認要求を拒否すると、昇格要求は承認されません。 Intune はデバイスに応答を送信せず、ユーザーには通知されません。
注:
昇格要求には、必要に応じて昇格規則を作成するために必要なすべての情報 ( 証明書チェーン全体 を含む) が含まれます。 サポートされている昇格は、他の昇格要求と同様に、昇格の使用状況データにも表示されます。