支持终结点特权管理批准的文件提升

注意

此功能作为 Intune 加载项提供。 有关详细信息,请参阅 使用 Intune Suite 加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (例如Microsoft 365 应用程序) 、更新设备驱动程序和运行某些 Windows 诊断。

本文介绍如何将 支持批准的 工作流与 Endpoint Privilege Management 配合使用。

支持已批准的提升允许在允许提升之前需要批准。 可以将支持批准的功能用作提升规则的一部分,或用作默认客户端行为。 提交的请求需要 Intune 管理员逐个批准请求。

当用户尝试在提升的上下文中运行文件,并且该文件由 支持批准的 文件提升类型管理时,Intune 会提示用户提交提升请求。 然后,提升请求将发送到 Intune,供 Intune 管理员审阅。当管理员批准提升请求时,系统会通知设备上的用户,然后可以在提升的上下文中运行该文件。 若要批准请求,Intune 管理员的帐户必须具有特定于评审和审批任务的额外权限。

应用于:

  • Windows 10
  • Windows 11

关于支持批准的提升

将 EPM 策略与 支持批准的 提升类型一起使用,用于需要管理员批准才能运行更高访问权限的文件。 它们与其他 EPM 提升规则类似,但它们存在一些需要额外规划的差异。

提示

若要查看三种提升类型和其他策略选项,请参阅 Windows 提升规则策略

以下主题是使用支持批准的提升类型时要规划和预期的详细信息:

  • 提升请求

    当用户使用右键单击选项“ 使用提升的访问权限运行”来运行文件时,并且该文件由 策略使用支持批准的 提升规则进行管理时,Intune 会提示用户向 Intune 管理中心发送提升请求。

    • 提示允许用户输入提升的业务原因。 此原因将成为提升请求的一部分,该请求还包含用户的名称、设备和文件名。

    • 当用户发送请求时,该请求会转到 Intune 管理中心,有权管理这些请求的 Intune 管理员决定批准或拒绝该请求。

    下图显示了用户体验到的文件提升提示示例:

    显示用户提升请求提示示例的屏幕截图。

  • 提升请求的评审

    Intune 管理员必须具有终结点特权管理提升请求权限的查看和管理权限,然后才能查看和批准提升请求。

    为了查找和响应请求,这些管理员使用管理中心“终结点特权管理”页的“提升请求”选项卡。 由于 Intune 无法通知管理员新的提升请求,因此管理员应计划定期检查选项卡是否有挂起的请求。

    可以管理提升请求的管理员可以接受或拒绝请求。 他们还可以提供其决定的理由。 此原因将成为请求的审核记录的一部分。

    • 对于审批:当管理员批准提升请求时,Intune 会将策略发送到用户提交请求的设备,使该用户能够在接下来的 24 小时内以提升身份运行文件。 此时间段从管理员批准请求时开始。 在 24 小时期限到期之前,当前不支持自定义时间段或取消已批准的提升。

      请求获得批准后,Intune 会通知设备并启动同步。 这可能需要一些时间。 Intune 在设备上使用通知来提醒用户,他们现在可以使用提升的访问权限右键单击选项 成功运行 文件。

    • 对于拒绝:Intune 不通知用户。 管理员应手动通知用户其请求被拒绝。

  • 提升请求的审核

    具有足够权限的 Intune 管理员可以在 Intune 审核日志中查看有关 EPM 策略的信息,例如创建、编辑和处理提升请求,请参阅 租户管理>审核日志

    以下屏幕截图显示了 支持批准的 提升策略(最初名为 “测试策略 - 支持已批准”)重复的审核日志示例:

    显示支持批准的提升规则策略的审核日志条目的图像。

提升请求的 RBAC 权限

为了对提升审批提供监督,只有 Intune 中具有以下基于角色的访问控制 (RBAC) 权限的 Intune 管理员才能查看和管理提升请求:

  • 终结点特权管理提升请求 - 需要此权限才能处理用户提交以供审批的提升请求,并支持以下权限:

    • 查看提升请求
    • 修改提升请求

有关管理 EPM 的所有权限的详细信息,请参阅 Endpoint Privilege Management 的基于角色的访问控制

为支持批准的文件提升创建策略

若要创建支持批准的提升策略,请使用同一工作流来创建其他 EPM 提升规则策略。 请参阅配置 Endpoint Privilege Management 策略中的 Windows 提升规则策略。

管理挂起的提升请求

使用以下过程作为查看和管理提升请求的指南。

  1. 登录到 Microsoft Intune 管理中心 ,然后转到 “终结点安全>终结点特权管理>提升请求 ”选项卡。

  2. 提升请求选项卡显示 挂起的请求过去 30 天的请求。 选择一行将打开,该行将输入提升请求属性,你可以在其中详细查看请求。

  3. 提升请求详细信息包括以下信息:

    1. 常规详细信息

      • File - 请求提升的文件的名称。
      • Publisher - 对请求提升的文件进行签名的发布者的名称。 发布者的名称是检索要下载的文件的证书链的链接。
      • 设备 - 请求提升的设备。 设备名称是在管理中心打开设备对象的链接。
      • Intune 符合 - 设备的 Intune 符合性状态。
    2. 请求详细信息

      • 状态 - 请求的状态。 请求开始为 “挂起” ,管理员可 批准拒绝 请求。
      • By - 批准拒绝 请求的管理员的帐户。
      • 上次修改 时间 - 上次修改请求条目的时间。
      • 用户的理由 - 用户为提升请求提供的理由。
      • 审批过期 - 审批过期的时间。 在达到此到期时间之前,允许提升已批准的文件。
      • 管理员的原因 - 完成 审批拒绝 时管理员提供的理由。
    3. 文件信息 - 请求审批的文件的元数据的详细信息。

    显示提升请求详细信息的图像。

  4. 管理员审阅请求后,可以选择“ 批准” 或“ 拒绝”。 对于任一选择,他们都会出现 理由 对话框,可在其中提供 “原因” 以及有关其决策的详细信息。 提供原因是可选的。 下面显示了审批对话框:

    • 对于审批 - 管理员完成理由对话框,然后选择“ ”以批准请求。 Intune 将审批发送到设备,最终用户会收到 Toast 通知,告知他们能够提升应用程序。

      最终用户现在可以使用文件的“ 具有提升访问权限的运行 ”右键单击菜单来完成提升活动。

      显示提升审批对话框的图像,其中提供了示例审批理由作为原因

    • 对于拒绝 - 管理员完成理由对话框,然后选择“ ”以拒绝请求。

      当管理员拒绝审批请求时,不会批准提升请求。 Intune 不会向设备发送答复,并且不会通知用户。

      显示未提供示例审批理由的提升拒绝对话框的图像

注意

提升请求包含创建提升规则(如果需要)所需的所有信息,包括 完整的 证书链。 支持批准的提升也显示在提升使用情况数据中,就像任何其他提升请求一样。

后续步骤