Stöd för godkända filökningar för Endpoint Privilege Management

Obs!

Den här funktionen är tillgänglig som ett Intune tillägg. Mer information finns i Använda Intune Suite-tilläggsfunktioner.

Med Microsoft Intune hantering av slutpunktsprivilegier (EPM) kan organisationens användare köras som en standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.

Den här artikeln beskriver hur du använder det godkända arbetsflödet för support med Endpoint Privilege Management.

Med stöd för godkända utökade privilegier kan du kräva godkännande innan en höjning tillåts. Du kan använda stödgodkända funktioner som en del av en höjningsregel eller som standardklientbeteende. Begäranden som skickas kräver att Intune administratörer godkänner begäran från fall till fall.

När en användare försöker köra en fil i en upphöjd kontext och filen hanteras av den stödgodkända filhöjningstypen, visar Intune en uppmaning till användaren att skicka en begäran om utökade privilegier. Begäran om utökade privilegier skickas sedan till Intune för granskning av en Intune administratör. När en administratör godkänner begäran om utökade privilegier meddelas användaren på enheten och filen kan sedan köras i den upphöjda kontexten. För att godkänna begäranden måste Intune administratörens konto ha extra behörigheter som är specifika för gransknings- och godkännandeuppgiften.

Gäller för:

• Windows 10
• Windows 11

Om stöd för godkända utökade privilegier

Använd EPM-principer med stöd för godkänd höjningstyp för filer som behöver en administratörs godkännande innan de kan köras med högre åtkomst. De liknar andra regler för EPM-höjning, men de har vissa skillnader som behöver extra planering.

Tips

Om du vill granska de tre utökade behörighetstyperna och andra principalternativ kan du läsa mer i Princip för Utökade windows-regler.

Följande ämnen är information som du kan planera för och förvänta dig när du använder den stödgodkända höjdtypen:

• Begäranden om utökade privilegier

  När en användare kör en fil med högerklicksalternativet Kör med förhöjd åtkomst och filen hanteras av en princip med en regel för godkända utökade privilegier, visar Intune användaren en uppmaning om att skicka en begäran om utökade privilegier till Intune administrationscenter.

  • Med uppmaningen kan användaren ange en affärsorsak till höjningen. Den här orsaken blir en del av begäran om utökade privilegier, som även innehåller användarens namn, enhet och filnamn.

  • När användaren skickar begäran går den till Intune administrationscenter där en Intune administratör med behörighet att hantera dessa begäranden bestämmer sig för att godkänna eller neka den.

  Följande bild visar ett exempel på frågan om filhöjning som användarna upplever:

  

• Granskning av begäranden om utökade privilegier

  En Intune-administratör måste ha behörighet att visa och hantera behörigheter för behörigheten Behörighetshantering för slutpunktsprivilegier för utökade privilegier innan de kan granska och godkänna begäranden om utökade privilegier.

  För att hitta och svara på begäranden använder dessa administratörer fliken Utökade förfrågningar på sidan Hantering av slutpunktsprivilegier i administrationscentret. Eftersom Intune inte har något sätt att meddela administratörer om nya begäranden om utökade privilegier bör administratörerna planera att regelbundet kontrollera fliken för väntande begäranden.

  Administratörer som kan hantera begäranden om utökade privilegier kan acceptera eller avvisa en begäran. De kan också ange en anledning till sitt beslut. Den här orsaken blir en del av granskningsposten för begäran.

  • För godkännanden: När en administratör godkänner en begäran om utökade privilegier skickar Intune en princip till den enhet där användaren skickade begäran, vilket gör att användaren kan köra filen som upphöjd under de kommande 24 timmarna. Den här perioden börjar när administratören godkänner begäran. Det finns inget aktuellt stöd för en anpassad tidsperiod eller annullering av den godkända höjningen innan 24-timmarsperioden går ut.

    När begäran har godkänts meddelar Intune enheten och initierar en synkronisering. Det kan ta lite tid. Intune använder ett meddelande på enheten för att meddela användaren att de nu kan köra filen med högerklicksalternativet Kör med förhöjd åtkomst.

  • För nekanden: Intune meddelar inte användaren. Administratören bör manuellt meddela användaren att deras begäran nekades.

• Granskning av begäranden om utökade privilegier

  En Intune administratör som har tillräckligt med behörigheter kan visa information om EPM-principer, till exempel skapande, redigering och hantering av begäranden om utökade privilegier i Intune granskningsloggar, som är tillgängliga igranskningsloggar för klientadministration>.

  Följande skärmbild visar ett exempel på granskningsloggen för duplicering av en princip för godkända utökade privilegier för support, ursprungligen med namnet Testprincip – stöd godkänt:

  

RBAC-behörigheter för begäranden om utökade privilegier

För att ge tillsyn över utökade behörigheter kan endast Intune administratörer som har följande RBAC-behörigheter (rollbaserad åtkomstkontroll) i Intune visa och hantera begäranden om utökade privilegier:

• Begäranden om utökade privilegier för slutpunktsprivilegier – Den här behörigheten krävs för att arbeta med begäranden om utökade privilegier som skickas av användare för godkännande och stöder följande rättigheter:

  • Visa begäranden om utökade privilegier
  • Ändra begäranden om utökade privilegier

Mer information om alla behörigheter för att hantera EPM finns i Rollbaserade åtkomstkontroller för Endpoint Privilege Management.

Skapa princip för stöd för godkända filhöjningar

Om du vill skapa en princip för godkända utökade privilegier använder du samma arbetsflöde för att skapa andra principer för EPM-utökade privilegier. Se Princip för Utökade windows-regler i Konfigurera principer för Hantering av slutpunktsprivilegier.

Hantera väntande begäranden om utökade privilegier

Använd följande procedur som vägledning för att granska och hantera begäranden om utökade privilegier.

1. Logga in på administrationscentret för Microsoft Intune och gå till flikenEndpoint Security Endpoint Privilege Management Elevation requests (Slutpunktssäkerhetsbegäranden>om utökade privilegier).>

2. Fliken begäranden om utökade privilegier visar väntande begäranden och begäranden från de senaste 30 dagarna. Om du väljer en rad öppnas egenskaperna för begäran om utökade privilegier, där du kan granska begäran i detalj.

3. Information om begäran om utökade privilegier innehåller följande information:

   1. Allmän information:

      • Fil – namnet på den fil som begärdes för utökade privilegier.
      • Publisher – namnet på utgivaren som signerade filen som begärdes för utökade privilegier. Utgivarens namn är en länk som hämtar certifikatkedjan för filen för nedladdning.
      • Enhet – den enhet där höjningen begärdes från. Enhetsnamnet är en länk som öppnar enhetsobjektet i administrationscentret.
      • Intune kompatibel – enhetens Intune efterlevnadsstatus.

   2. Information om begäran:

      • Status – Status för begäran. Begäranden börjar som väntande och kan antingen godkännas eller nekas av en administratör.
      • Av – kontot för administratören som godkände eller nekade begäran.
      • Senast ändrad – senaste gången begärandeposten ändrades.
      • Användarens motivering – den motivering som användaren har angett för begäran om utökade privilegier.
      • Förfallodatum för godkännande – den tid då godkännandet upphör att gälla. Tills den här förfallotiden har nåtts tillåts utökade privilegier för den godkända filen.
      • Admin orsak – Motivering som tillhandahålls av administratören när ett godkännande eller avslag har slutförts.

   3. Filinformation – Information om metadata för filen som begärdes för godkännande.

   

4. När din klientorganisation är licensierad för Microsoft Security Copilot har du åtkomst att använda alternativet Analysera med Copilot, som finns längst upp till höger i fönstret Egenskaper för utökade privilegier. Du kan använda det här alternativet för att Security Copilot arbeta med Microsoft Defender för Endpoint för att utvärdera filen i begäran om utökade privilegier innan du godkänner eller nekar den.

5. När en administratör har granskat en begäran kan de välja Godkänn eller Neka. Med båda alternativen visas dialogrutan för motivering där de kan ange en orsak med information om sitt beslut. Det är valfritt att ange en orsak. Följande visar dialogrutan för godkännande:

   • För godkännanden – administratören slutför justeringsdialogrutan och väljer sedan Ja för att godkänna begäran. Intune skickar godkännandet till enheten och slutanvändaren meddelas via ett popup-meddelande om att de kan höja programmet.

     Slutanvändaren kan nu slutföra aktiviteten för utökade privilegier med hjälp av högerklicksmenyn Kör med förhöjd åtkomst i filen.

     

   • För nekanden – administratören slutför justeringsdialogrutan och väljer sedan Ja för att neka begäran.

     När en administratör nekar en begäran om godkännande godkänns inte begäran om utökade privilegier. Intune skickar inget svar till enheten och användaren meddelas inte.

     

Obs!

En begäran om utökade privilegier innehåller all information som behövs för att skapa en höjningsregel, inklusive den fullständiga certifikatkedjan. Stöd för godkända utökade privilegier visas också i användningsdata för utökade privilegier som andra begäranden om utökade privilegier.

Använda Microsoft Security Copilot för att analysera begäranden om filhöjning

Med Endpoint Privilege Management (EPM) plus Microsoft Security Copilot kan du använda Security Copilot för att minska det arbete som krävs för att identifiera och undersöka filerna i en begäran om utökade filer innan du väljer att godkänna eller neka begäran. Den information Security Copilot använder för att utvärdera filer och upprätta förtroende samlas in och utvärderas via Microsoft Defender Hotinformation (Defender TI).

När du till exempel visar filegenskaperna för en begäran om utökade privilegier kan du välja alternativet Analysera med Copilot för att få Security Copilot ange information som ofta inte är uppenbar, inklusive:

• Apparnas rykte
• Information om utgivarens förtroende
• Riskpoängen för användaren som begär utökade privilegier
• Riskpoängen för den enhet som höjningen skickades från.

Förutsättningar för att använda Security Copilot med EPM

Om du vill använda Microsoft Security Copilot med Endpoint Privilege Management måste din klientorganisation vara licensierad för att använda Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements). Det här kravet är utöver kraven för att använda Endpoint Privilege Management.

Om din klientorganisation redan är licensierad för EPM och för Security Copilot krävs ingen ytterligare licens eller konfiguration.

Arbetsflöde för att analysera filbegäranden

Du kan ha Microsoft Security Copilot analysera egenskaperna för en fil när du granskar en begäran om utökade filer:

1. I Microsoft Intune administrationscenter går du till Endpoint Security>Endpoint Privilege Management och väljer fliken Utökade privilegier*.

2. På Begäranden om utökade privilegier väljer du namnet på en begäran om utökade privilegier för att öppna fönstret Egenskaper för utökade privilegier där du sedan kan granska informationen om filerna.

3. Om du vill dirigera Security Copilot att ta en närmare titt på filen väljer du Analysera med Copilot i fönstret Egenskaper för utökade privilegier. När Intune väljs skapas en stängd Copilot-prompt baserat på filhashen. Den här prompten använder Microsoft Defender för Endpoint för att undersöka filen. Anpassade eller öppna frågor för filanalys stöds inte.

4. När filen har analyserats returneras resultaten till administrationscentret där du kan granska filinformationen. Du kan använda den här detaljerade informationen för att fatta ett mer välgrundat beslut om att antingen godkänna eller neka begäran om utökade privilegier.

Exempel: Följande bilder visar sökvägen och resultaten för en administratör med hjälp av Intune sökvägen till administrationscentret för att hitta och välja en begäran om filhöjning som har skickats av en användare. Begäran är en fil med namnet InstallPrinter.msi. När filen har valts öppnas dess egenskaper för utökade privilegier :

När administratören granskar filen noterar de att filen har en okänd utgivare. För att verifiera att den här filen är giltig använder de alternativet Analysera med Copilot från egenskaperna för elevation-begäran för att få Copilot att ta en närmare titt.

Copilot granskar filen och rapporterar tillbaka följande information:

Föregående bild visar en skärmdump av Copilot-rapporten om ryktet för denInstallPrinter.msi filen. I det här exemplet identifieras filen som skadlig och bör inte godkännas för att köras i en upphöjd kontext. Resultaten innehåller även ytterligare information och länkar till referenser för den skadliga fil som identifierades.

Relaterat innehåll

• Vägledning för att skapa regler för utökade privilegier
• Konfigurera principer för Hantering av slutpunktsprivilegier
• Rapporter för Hantering av slutpunktsprivilegier
• Datainsamling och sekretess för Endpoint Privilege Management
• Distributionsöverväganden och vanliga frågor och svar