共用方式為

支援端點許可權管理的已核准檔案提升

  • 發行項

注意事項

這項功能可做為 Intune 附加元件。 如需詳細資訊,請參閱使用 Intune Suite 附加元件功能

使用 Microsoft Intune 端點權限管理 (EPM) 貴組織的使用者可以執行為標準使用者 (,而不需要系統管理員許可權) 並完成需要提高許可權的工作。 通常需要系統管理許可權的工作是應用程式安裝 (,例如Microsoft 365 應用程式) 、更新設備驅動器,以及執行特定 Windows 診斷。

本文說明如何搭配使用 支援核准 的工作流程與端點許可權管理。

支援核准的提高許可權可讓您在允許提高許可權之前先要求核准。 您可以使用支援核准的功能作為提高許可權規則的一部分,或作為預設客戶端行為。 提交的要求需要 Intune 系統管理員依案例核准要求。

當用戶嘗試在提升許可權的內容中執行檔案,且該檔案是由支援核准的檔案提升類型所管理時,Intune 會向用戶顯示提交提高許可權要求的提示。 提高許可權要求接著會傳送至 Intune,供 Intune 系統管理員檢閱。當系統管理員核准提高許可權要求時,會通知裝置上的使用者,然後在提升許可權的內容中執行檔案。 若要核准要求,Intune 系統管理員的帳戶必須具有檢閱和核准工作專屬的額外許可權。

適用於:

  • Windows 10
  • Windows 11

關於支援核准的提升

針對需要系統管理員核准才能以較高存取權執行的檔案,使用 EPM 原則搭配 支援的已核准 提高許可權類型。 它們類似於其他 EPM 提高許可權規則,但有一些需要額外規劃的差異。

提示

若要檢閱三種提高許可權類型和其他原則選項,請參閱 Windows 提高許可權規則原則

下列主題是當您使用支援核准的提高許可權類型時,要規劃和預期的詳細資料:

  • 提高權限要求

    當使用者以滑鼠右鍵按下選項 [以提升的存取權執行] 來執行檔案,且該檔案是由支援核准提高許可權規則的原則管理時,Intune 會向用戶顯示將提高許可權要求傳送至 Intune 系統管理中心的提示。

    • 提示可讓使用者輸入提高許可權的商業原因。 這個原因會成為提高許可權要求的一部分,其中也包含使用者的名稱、裝置和檔名。

    • 當使用者傳送要求時,它會移至 Intune 系統管理中心,其中具有管理這些要求許可權的 Intune 系統管理員決定核准或拒絕。

    下圖顯示使用者體驗的檔案提高許可權提示範例:

    顯示使用者提高許可權要求提示範例的螢幕快照。

  • 檢閱提高許可權要求

    Intune 系統管理員必須擁有端點許可權管理提高許可權要求許可權的檢視和管理許可權,才能檢閱和核准提高許可權要求。

    若要尋找並回應要求,這些系統管理員會使用系統管理中心中 [端點許可權管理] 頁面的 [提高許可權要求] 索引標籤。 因為 Intune 無法通知系統管理員新的提高許可權要求,所以系統管理員應該計劃定期檢查索引卷標是否有擱置的要求。

    可以管理提高許可權要求的系統管理員可以接受或拒絕要求。 他們也可以提供決定的原因。 這個原因會成為要求稽核記錄的一部分。

    • 核准:當系統管理員核准提高許可權要求時,Intune 會將原則傳送至使用者提交要求的裝置,讓該使用者在接下來的 24 小時內以提升許可權的方式執行檔案。 這段期間會在系統管理員核准要求時開始。 在24小時期間到期之前,目前不支援自定義期間或取消核准的提升。

      核准要求之後,Intune 通知裝置並起始同步處理。這可能需要一些時間。Intune 會在裝置上使用通知來警示使用者,他們現在可以使用 [以提高許可權的存取權執行] 按兩下滑鼠右鍵選項成功執行檔案。

    • 針對拒絕:Intune 不會通知使用者。 系統管理員應該手動通知使用者其要求遭到拒絕。

  • 提高許可權要求的稽核

    具有足夠許可權的 Intune 系統管理員可以在租使用者管理>稽核記錄中檢視 EPM 原則的相關信息,例如建立、編輯和處理 Intune 稽核記錄中的提高許可權要求。

    下列螢幕快照顯示支援 核准 提高許可權原則重複的稽核記錄範例,原先命名為 測試原則 - 支援已核准

    顯示支援核准提高許可權規則原則之稽核記錄專案的影像。

提高許可權要求的 RBAC 許可權

若要對提高許可權核准提供監督,只有 Intune 具有下列角色型訪問控制 (RBAC) 許可權的系統管理員,Intune 才能檢視和管理提高許可權要求:

  • 端點許可權管理提高許可權要求 - 需要此許可權才能處理使用者提交以供核准的提升許可權要求,並支援下列許可權:

    • 檢視提高許可權要求
    • 修改提高許可權要求

如需管理 EPM 之所有許可權的詳細資訊,請參閱 端點許可權管理的角色型訪問控制

建立支援已核准檔案提升的原則

若要建立支援核准的提升原則,請使用相同的工作流程來建立其他 EPM 提高許可權規則原則。 請參閱設定端點許可權管理原則中的 Windows 提高許可權規則原則。

管理擱置的提高許可權要求

使用下列程式作為檢閱和管理提高許可權要求的指引。

  1. 登入 Microsoft Intune 系統管理中心,然後移至 [端點安全>性端點許可權管理>提高許可權要求] 索引標籤。

  2. [提高許可權要求] 索引標籤會顯示過去 30 天的暫止要求和要求。 選取資料列會開啟專案提高許可權要求屬性,您可以在其中詳細檢閱要求。

  3. 提高權限要求詳細資料包含下列資訊:

    1. 一般詳細數據

      • 檔案 - 要求提高許可權的檔名。
      • Publisher - 簽署要求提高許可權之檔案的發行者名稱。 發行者的名稱是一個連結,可擷取要下載之檔案的憑證鏈結。
      • 裝置 - 要求提高許可權的來源裝置。 裝置名稱是在系統管理中心開啟裝置對象的連結。
      • Intune 兼容 - 裝置的 Intune 合規性狀態。

    2. 要求詳細資料

      • 狀態 - 要求的狀態。 要求會啟動為 [擱置 ],而且可以由系統管理員核 拒絕
      • 依據 - 核 拒絕 要求之系統管理員的帳戶。
      • 上次修改 - 上次修改要求項目的時間。
      • 使用者的理由 - 使用者針對提高許可權要求所提供的理由。
      • 核准到期 - 核准到期的時間。 在達到此到期時間之前,允許提高已核准檔案的許可權。
      • 管理員 的原因 - 系統管理員在核拒絕完成時所提供的理由。

    3. 檔案資訊 - 要求核准之檔案的元數據規格。

    顯示提高許可權要求詳細數據的影像。

  4. 當您的租用戶獲得 Microsoft Security Copilot 授權時,您可以使用 [提高許可權要求屬性] 窗格右上方的 [使用 Copilot 分析] 選項。 您可以使用此選項,讓 Security Copilot 與 適用於端點的 Microsoft Defender 合作,在核准或拒絕檔案之前,先評估提高許可權要求中的檔案。

  5. 在系統管理員檢閱要求之後,他們可以選取 [ 核准 ] 或 [ 拒絕]。 在任一選取中,都會顯示 理由對話框 ,讓他們可以提供 原因 及其決策的詳細數據。 提供原因是選擇性的。 下列會顯示核准對話框:

    • 核准 - 系統管理員完成理由對話框,然後選取 [ ] 以核准要求。 Intune 傳送核准給裝置,用戶會透過快顯通知收到通知,告知他們能夠提高應用程式。

      用戶現在可以使用檔案的 [以提高許可權的 存取權 執行] 按兩下滑鼠右鍵功能表,來完成提高許可權的活動。

      顯示提高許可權核准對話框的影像,其中提供範例核准理由作為原因

    • 針對拒絕 - 系統管理員會完成 [理由] 對話框,然後選取 [ ] 以拒絕要求。

      當系統管理員拒絕核准要求時,提高許可權要求不會獲得核准。 Intune 不會傳送回復給裝置,也不會通知使用者。

      顯示未提供範例核准理由之提高許可權拒絕對話框的影像

注意事項

提高許可權要求包含建立提高許可權規則所需的所有資訊,包括 完整的 憑證鏈結。 支援已核准的提高許可權也會顯示在提高許可權使用量數據中,就像任何其他提高許可權要求一樣。

使用 Microsoft Security Copilot 來分析檔案提高許可權要求

透過端點許可權管理 (EPM) 加上 Microsoft Security Copilot,您可以使用 Security Copilot 來減少在選擇核准或拒絕要求之前,識別和調查檔案提升要求中檔案所需的工作。 Security Copilot 用來協助您評估檔案和建立信任的資訊,是透過 Microsoft Defender 威脅情報 (Defender TI) 來收集和評估。

例如,檢視提高許可權要求的檔案屬性時,您可以選取 [使用 Copilot 分析] 選項,讓 Security Copilot 提供通常不明顯的詳細數據,包括:

  • 應用程式信譽
  • 發行者信任的相關信息
  • 要求提高許可權之用戶的風險分數
  • 提交提高許可權之裝置的風險分數。

搭配 EPM 使用 Security Copilot 的必要條件

若要搭配端點許可權管理使用 Microsoft Security Copilot,您的租用戶必須獲得授權才能使用 Security Copilot (/copilot/security/get-started-security-copilot#minimum-requirements) 。 此需求是使用端點許可權管理 的必要條件

如果您的租用戶已獲得 EPM 和 Security Copilot 的授權,則不需要額外的授權或設定。

分析檔案要求的工作流程

當您檢閱檔案提升要求時,可以 Microsoft Security Copilot 分析檔案的屬性:

  1. Microsoft Intune 系統管理中心,移至 [端點安全>性端點許可權管理],然後選取 [提高許可權要求] 索引卷標*。

  2. 在 [ 提高許可權要求] 上,選取提高許可權要求的名稱,以開啟 [ 提高許可權要求屬性 ] 窗格,然後您可以在其中檢閱該檔案的詳細數據。

  3. 若要引導 Security Copilot 進一步查看檔案,請在 [提高許可權要求屬性] 窗格上選取 [使用 Copilot 分析]。 選取時,Intune 會根據檔案哈希建立已關閉的 Copilot 提示。 此提示會使用 適用於端點的 Microsoft Defender 來調查檔案。 不支援檔案分析的自定義或開啟提示。

  4. 分析檔案之後,結果會傳回系統管理中心,您可以在其中檢閱檔案詳細數據。 您可以使用此詳細資訊來做出更明智的決策,以核准或拒絕提高許可權要求。

範例:下列影像會顯示系統管理員使用系統管理中心路徑 Intune 的路徑和結果,以找出並選取使用者提交的檔案提高許可權要求。 要求是名為 InstallPrinter.msi的檔案。 選取檔案時,其 提高許可權要求屬性會 開啟:

顯示 [使用 Copilot 分析] 選項路徑和位置的螢幕快照。

當系統管理員檢閱檔案時,他們會注意到該檔案具有未知的發行者。 為了確認此檔案是否合法,他們會使用 [提高許可權要求] 屬性中的 [使用 Copilot 分析] 選項,讓 Copilot 更仔細查看。

Copilot 會檢閱檔案,並回報下列詳細數據:

顯示使用 [使用 Copilot 分析] 選項之結果範例的螢幕快照。

上圖顯示該InstallPrinter.msi檔案信譽的 Copilot 報 螢幕快照。 在此範例中,檔案會識別為惡意檔案,不應核准在提升許可權的內容中執行。 結果也包含其他資訊,以及已識別惡意檔案參考的連結。

後續步驟