Delen via

Ondersteuning voor goedgekeurde uitbreidingen van bestanden voor Endpoint Privilege Management

  • Artikel

Opmerking

Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Invoegtoepassingsmogelijkheden van Intune Suite gebruiken voor meer informatie.

Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.

In dit artikel wordt uitgelegd hoe u de door ondersteuning goedgekeurde werkstroom gebruikt met Endpoint Privilege Management.

Met ondersteuning voor goedgekeurde verhogingen kunt u goedkeuring vereisen voordat een verhoging wordt toegestaan. U kunt de goedgekeurde ondersteuningsfunctionaliteit gebruiken als onderdeel van een uitbreidingsregel of als standaardclientgedrag. Aanvragen die worden ingediend, moeten Intune beheerders de aanvraag per geval goedkeuren.

Wanneer een gebruiker een bestand probeert uit te voeren in een context met verhoogde bevoegdheid en dat bestand wordt beheerd door het goedgekeurde type uitbreiding van het bestand, wordt Intune een prompt weergegeven aan de gebruiker om een aanvraag voor verhoging van bevoegdheden in te dienen. De aanvraag voor uitbreiding wordt vervolgens naar Intune verzonden voor beoordeling door een Intune-beheerder. Wanneer een beheerder de aanvraag voor verhoging van bevoegdheden goedkeurt, wordt de gebruiker op het apparaat op de hoogte gesteld en kan het bestand vervolgens worden uitgevoerd in de context met verhoogde bevoegdheden. Als u aanvragen wilt goedkeuren, moet het account van de Intune-beheerder extra machtigingen hebben die specifiek zijn voor de controle- en goedkeuringstaak.

Van toepassing op:

  • Windows 10
  • Windows 11

Over goedgekeurde verhogingen voor ondersteuning

Gebruik EPM-beleid met het ondersteuningstype goedgekeurde uitbreiding voor bestanden die goedkeuring van een beheerder nodig hebben voordat ze met een hogere toegang kunnen worden uitgevoerd. Ze zijn vergelijkbaar met andere EPM-uitbreidingsregels, maar ze hebben enkele verschillen die extra planning vereisen.

Tip

Zie Beleid voor windows-uitbreidingsregels om de drie typen uitbreidingsverhoging en andere beleidsopties te bekijken.

De volgende onderwerpen zijn details die u kunt plannen en verwachten wanneer u het goedgekeurde uitbreidingstype voor ondersteuning gebruikt:

  • Aanvragen voor uitbreiding van bevoegdheden

    Wanneer een gebruiker een bestand uitvoert met de rechtsklikoptie Uitvoeren met verhoogde toegang en dat bestand wordt beheerd door beleid met een goedgekeurde regel voor uitbreiding van bevoegdheden, wordt Intune de gebruiker een prompt weergegeven voor het verzenden van een aanvraag voor verhoging van bevoegdheden naar het Intune-beheercentrum.

    • Met de prompt kan de gebruiker een zakelijke reden voor de uitbreiding invoeren. Deze reden maakt deel uit van de uitbreidingsaanvraag, die ook de naam, het apparaat en de bestandsnaam van de gebruiker bevat.

    • Wanneer de gebruiker de aanvraag verzendt, gaat deze naar het Intune beheercentrum, waar een Intune-beheerder met machtigingen voor het beheren van deze aanvragen besluit deze goed te keuren of te weigeren.

    In de volgende afbeelding ziet u een voorbeeld van de prompt voor bestandsverhoging die gebruikers ervaren:

    Schermopname met een voorbeeld van de aanvraagprompt voor uitbreiding van gebruikers.

  • Aanvragen voor verhoging van bevoegdheden controleren

    Een Intune-beheerder moet beschikken over weergave- en beheerrechten voor de machtiging Uitbreidingsaanvragen voor eindpuntrechtenbeheer voordat ze uitbreidingsaanvragen kunnen controleren en goedkeuren.

    Om aanvragen te zoeken en erop te reageren, gebruiken deze beheerders het tabblad Uitbreidingsaanvragen van de pagina Endpoint Privilege Management in het beheercentrum. Omdat Intune geen manier heeft om beheerders te informeren over nieuwe uitbreidingsaanvragen, moeten beheerders het tabblad regelmatig controleren op openstaande aanvragen.

    Beheerders die aanvragen voor uitbreiding kunnen beheren, kunnen een aanvraag accepteren of weigeren. Ze kunnen ook een reden voor hun beslissing opgeven. Deze reden maakt deel uit van de auditrecord voor de aanvraag.

    • Voor goedkeuringen: wanneer een beheerder een uitbreidingsaanvraag goedkeurt, verzendt Intune een beleid naar het apparaat waarop de gebruiker de aanvraag heeft ingediend. Hierdoor kan die gebruiker het bestand de komende 24 uur als verhoogde bevoegdheid uitvoeren. Deze periode begint op het moment dat de beheerder de aanvraag goedkeurt. Er is momenteel geen ondersteuning voor een aangepaste periode of annulering van de goedgekeurde verhoging voordat de periode van 24 uur is verstreken.

      Zodra de aanvraag is goedgekeurd, geeft Intune een bericht aan het apparaat en start een synchronisatie. Dit kan enige tijd duren. Intune gebruikt een melding op het apparaat om de gebruiker te waarschuwen dat het bestand nu kan worden uitgevoerd met de optie Uitvoeren met verhoogde toegang met de rechtermuisknop.

    • Voor weigeringen: Intune stelt de gebruiker niet op de hoogte. De beheerder moet de gebruiker handmatig laten weten dat de aanvraag is geweigerd.

  • Controle op aanvragen voor verhoging van bevoegdheden

    Een Intune-beheerder die voldoende machtigingen heeft, kan informatie bekijken over EPM-beleid, zoals het maken, bewerken en verwerken van aanvragen voor uitbreidingsrechten in de Intune Auditlogboeken, die beschikbaar zijn inauditlogboeken voor tenantbeheer>.

    In de volgende schermopname ziet u een voorbeeld van het auditlogboek voor de duplicatie van een beleid voor door ondersteuning goedgekeurde uitbreiding, oorspronkelijk Testbeleid - ondersteuning goedgekeurd:

    Afbeelding met een vermelding in het auditlogboek voor een beleid voor goedgekeurde uitbreidingsregels.

RBAC-machtigingen voor uitbreidingsaanvragen

Alleen Intune beheerders met de volgende RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) in Intune kunnen aanvragen voor uitbreidingstoestemmingen bekijken en beheren om toezicht te houden op uitbreidingstoestemmingen:

  • Aanvragen voor verhoging van bevoegdheden voor eindpuntrechten : deze machtiging is vereist om te werken met aanvragen voor uitbreidingsrechten die door gebruikers ter goedkeuring worden ingediend en ondersteunt de volgende rechten:

    • Aanvragen voor verhoging van bevoegdheden weergeven
    • Uitbreidingsaanvragen wijzigen

Zie Op rollen gebaseerd toegangsbeheer voor Endpoint Privilege Management voor meer informatie over alle machtigingen voor het beheren van EPM.

Beleid maken voor ondersteuning van goedgekeurde bestandsverhogingen

Als u ondersteuningstoestemmingsbeleid wilt maken, gebruikt u dezelfde werkstroom voor het maken van andere beleidsregels voor EPM-uitbreidingsregel. Zie Beleid voor Windows-uitbreidingsregels in Beleidsregels configureren voor Endpoint Privilege Management.

Openstaande uitbreidingsaanvragen beheren

Gebruik de volgende procedure als richtlijn voor het beoordelen en beheren van uitbreidingsaanvragen.

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar het tabblad Aanvragen voorverhoging van bevoegdheden voor eindpuntbeveiliging>endpoint privilege management>.

  2. Op het tabblad Uitbreidingsaanvragen ziet u aanvragen in behandeling en aanvragen van de afgelopen 30 dagen. Als u een rij selecteert, opent u de eigenschappen van de uitbreidingsaanvraag, waar u de aanvraag in detail kunt bekijken.

  3. De details van de aanvraag voor verhoging van bevoegdheden bevatten de volgende informatie:

    1. Algemene details:

      • Bestand : de naam van het bestand dat is aangevraagd voor uitbreiding.
      • Publisher : de naam van de uitgever die het bestand heeft ondertekend dat is aangevraagd voor uitbreiding. De naam van de uitgever is een koppeling die de certificaatketen voor het bestand voor downloaden ophaalt.
      • Apparaat : het apparaat waar de uitbreiding is aangevraagd. De apparaatnaam is een koppeling waarmee het apparaatobject in het beheercentrum wordt geopend.
      • Intune compatibel: de Intune nalevingsstatus van het apparaat.

    2. Aanvraagdetails:

      • Status : status van de aanvraag. Aanvragen beginnen als In behandeling en kunnen worden goedgekeurd of geweigerd door een beheerder.
      • By : het account van de beheerder die de aanvraag heeft goedgekeurd of geweigerd .
      • Laatst gewijzigd : de laatste keer dat de aanvraagvermelding is gewijzigd.
      • Reden van gebruiker : de reden die door de gebruiker is opgegeven voor de uitbreidingsaanvraag.
      • Vervaldatum van goedkeuring : de tijd waarop de goedkeuring verloopt. Totdat deze vervaldatum is bereikt, is uitbreiding van het goedgekeurde bestand toegestaan.
      • Beheer reden: reden die door de beheerder is opgegeven wanneer een goedkeuring of weigering is voltooid.

    3. Bestandsinformatie : details van de metagegevens voor het bestand dat is aangevraagd voor goedkeuring.

    Afbeelding met de details van een verhogingsaanvraag.

  4. Wanneer uw tenant een licentie heeft voor Microsoft Security Copilot, hebt u toegang om de optie Analyseren met Copilot te gebruiken. Deze optie bevindt zich rechtsboven in het deelvenster Eigenschappen van de aanvraag voor verhoging. U kunt deze optie gebruiken om Security Copilot met Microsoft Defender voor Eindpunt te laten werken om het bestand in de uitbreidingsaanvraag te evalueren voordat u het goedkeurt of weigert.

  5. Nadat een beheerder een aanvraag heeft bekeken, kan deze Goedkeuren of Weigeren selecteren. Bij een van beide selecties wordt het dialoogvenster Reden weergegeven, waarin ze een reden kunnen opgeven met details over hun beslissing. Het opgeven van een reden is optioneel. Hieronder wordt het goedkeuringsdialoogvenster weergegeven:

    • Voor goedkeuringen : de beheerder voltooit het dialoogvenster Reden en selecteert vervolgens Ja om de aanvraag goed te keuren. Intune verzendt de goedkeuring naar het apparaat en de eindgebruiker krijgt een melding via een pop-upmelding dat ze de toepassing kunnen verhogen.

      De eindgebruiker kan nu de uitbreidingsactiviteit voltooien met behulp van het snelmenu Uitvoeren met verhoogde toegang van het bestand.

      Afbeelding met het dialoogvenster Goedkeuring van uitbreiding met voorbeeld van goedkeuring als reden opgegeven

    • Voor weigeringen : de beheerder voltooit het dialoogvenster Reden en selecteert vervolgens Ja om de aanvraag te weigeren.

      Wanneer een beheerder een aanvraag voor goedkeuring weigert, wordt de uitbreidingsaanvraag niet goedgekeurd. Intune stuurt geen antwoord naar het apparaat en de gebruiker krijgt geen melding.

      Afbeelding met het dialoogvenster Voor het weigeren van bevoegdheden zonder reden voor voorbeeldgoedkeuring

Opmerking

Een aanvraag voor verhoging van bevoegdheden bevat alle informatie die nodig is om een regel voor verhoging van bevoegdheden te maken, inclusief de volledige certificaatketen. Ondersteuning goedgekeurde verhogingen worden ook weergegeven in de gegevens over het gebruik van bevoegdheden, net als andere aanvragen voor uitbreiding.

Gebruik Microsoft Security Copilot om aanvragen voor bestandsverhoging te analyseren

Met Endpoint Privilege Management (EPM) plus Microsoft Security Copilot kunt u Security Copilot gebruiken om het werk te verminderen dat nodig is om de bestanden in een aanvraag voor bestandstoestemming te identificeren en te onderzoeken voordat u de aanvraag goedkeurt of weigert. De informatie die Security Copilot gebruikt om bestanden te evalueren en vertrouwen te vestigen, wordt verzameld en geëvalueerd via Microsoft Defender-bedreigingsinformatie (Defender TI).

Wanneer u bijvoorbeeld de bestandseigenschappen voor een uitbreidingsaanvraag bekijkt, kunt u de optie Analyseren met Copilot selecteren om Security Copilot details op te geven die vaak niet duidelijk zijn, zoals:

  • De reputatie van de apps
  • Informatie over het vertrouwen van de uitgever
  • De risicoscore voor de gebruiker die de verhoging aanvraagt
  • De risicoscore van het apparaat van waaruit de verhoging is verzonden.

Vereisten voor het gebruik van Security Copilot met EPM

Als u Microsoft Security Copilot wilt gebruiken met Endpoint Privilege Management, moet uw tenant een licentie hebben voor het gebruik van Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements). Deze vereiste is een aanvulling op de vereisten voor het gebruik van Endpoint Privilege Management.

Als uw tenant al een licentie heeft voor EPM en voor Security Copilot, is er geen extra licentie of configuratie vereist.

Werkstroom voor het analyseren van bestandsaanvragen

U kunt Microsoft Security Copilot de eigenschappen van een bestand laten analyseren terwijl u een aanvraag voor bestandsverhoging bekijkt:

  1. Ga in het Microsoft Intune-beheercentrum naar Endpoint Security>Endpoint Privilege Management en selecteer het tabblad Uitbreidingsaanvragen*.

  2. Selecteer bij Uitbreidingsaanvragen de naam van een uitbreidingsaanvraag om het deelvenster Uitbreidingsaanvraag te openen, waar u vervolgens de details van de bestanden kunt bekijken.

  3. Als u Security Copilot wilt om het bestand nader te bekijken, selecteert u Analyseren met Copilot in het deelvenster Eigenschappen van uitbreidingsaanvraag. Wanneer deze optie is geselecteerd, maakt Intune een gesloten Copilot-prompt op basis van de bestands-hash. Deze prompt gebruikt Microsoft Defender voor Eindpunt om het bestand te onderzoeken. Aangepaste of geopende prompts voor bestandsanalyse worden niet ondersteund.

  4. Nadat het bestand is geanalyseerd, worden de resultaten geretourneerd naar het beheercentrum, waar u de details van de bestanden kunt bekijken. U kunt deze gedetailleerde informatie gebruiken om een beter geïnformeerde beslissing te nemen om de uitbreidingsaanvraag goed te keuren of te weigeren.

Voorbeeld: in de volgende afbeeldingen wordt het pad en de resultaten van een beheerder weergegeven met behulp van de Intune het beheercentrumpad om een aanvraag voor bestandstoestemming te zoeken en te selecteren die door een gebruiker is ingediend. De aanvraag is een bestand met de naamInstallPrinter.msi. Wanneer het bestand is geselecteerd, worden de eigenschappen van de uitbreidingsaanvraag geopend:

Schermopname met het pad en de locatie van de optie Analyseren met Copilot.

Wanneer de beheerder het bestand controleert, ziet deze dat het bestand een onbekende uitgever heeft. Om te controleren of dit bestand legitiem is, gebruiken ze de optie Analyseren met Copilot uit de eigenschappen van de uitbreidingsaanvraag om Copilot nader te laten bekijken.

Copilot beoordeelt het bestand en rapporteert de volgende details:

Schermopname met een voorbeeld van resultaten van het gebruik van de optie Analyseren met Copilot.

In de voorgaande afbeelding ziet u een schermopname van het Copilot-rapport over de reputatie van dat InstallPrinter.msi-bestand . In dit voorbeeld wordt het bestand geïdentificeerd als schadelijk en mag het niet worden goedgekeurd om te worden uitgevoerd in een context met verhoogde bevoegdheden. De resultaten bevatten ook aanvullende informatie en koppelingen naar verwijzingen naar het schadelijke bestand dat is geïdentificeerd.

Verwante onderwerpen