Tworzenie reguł podniesienia uprawnień przy użyciu Zarządzanie Uprawnieniami Punktów Końcowych

Dzięki usłudze Microsoft Intune Zarządzanie Uprawnieniami Punktów Końcowych (EPM) użytkownicy twojej organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Aby uzyskać więcej informacji, zobacz Przegląd EPM.

Dotyczy:

• System Windows

Zasady reguł podniesienia uprawnień umożliwiają Zarządzanie Uprawnieniami Punktów Końcowych (EPM) identyfikowanie określonych plików i skryptów oraz wykonywanie skojarzonej akcji podniesienia uprawnień. Aby reguły podniesienia uprawnień zostały zastosowane, urządzenia muszą mieć docelowe zasady ustawień podniesienia uprawnień , które włączają program EPM. Aby uzyskać więcej informacji, zobacz Ustawienia podniesienia uprawnień EPM.

Oprócz informacji zawartych w tym artykule należy pamiętać o ważnych zaleceniach dotyczących zabezpieczeń podczas zarządzania regułami podniesienia uprawnień.

Informacje o zasadach reguł podniesienia uprawnień

Zasady reguł podniesienia uprawnień służą do zarządzania identyfikacją określonych plików i sposobem obsługi żądań podniesienia uprawnień dla tych plików. Każda zasada reguły podniesienia uprawnień zawiera co najmniej jedną regułę podniesienia uprawnień. Reguły podniesienia uprawnień umożliwiają skonfigurowanie szczegółów dotyczących zarządzanego pliku i wymagania dotyczące podniesienia poziomu uprawnień.

Obsługiwane są następujące typy plików:

• Pliki wykonywalne z rozszerzeniem .exe lub .msi .
• Skrypty programu PowerShell z rozszerzeniem .ps1 .

Każda reguła podniesienia uprawnień instruuje narzędzie EPM, jak wykonać następujące czynności:

• Zidentyfikuj plik przy użyciu:

  • Nazwa pliku (w tym rozszerzenie). Reguła obsługuje również opcjonalne warunki, takie jak minimalna wersja kompilacji, nazwa produktu lub nazwa wewnętrzna. Opcjonalne warunki są używane do dalszej weryfikacji pliku podczas próby podniesienia uprawnień. Nazwa pliku (z wyłączeniem rozszerzeń) może obejmować użycie zmiennych dla pojedynczych znaków za pomocą znaku ? zapytania lub ciągów za pomocą gwiazdki *.
  • Certyfikat. Certyfikaty można dodawać bezpośrednio do reguły lub przy użyciu grupy ustawień wielokrotnego użytku. Certyfikaty muszą być zaufane i ważne. Zalecamy korzystanie z grup ustawień wielokrotnego użytku, ponieważ mogą one być bardziej wydajne i uprościć przyszłą zmianę certyfikatu. Aby uzyskać więcej informacji, zobacz Grupy ustawień wielokrotnego użytku.

• Zweryfikuj plik:

  • Skrót pliku. Skrót pliku jest wymagany dla reguł automatycznych. W przypadku reguł o typie podniesienia uprawnień Użytkownik potwierdzony lub Podnieś poziom uprawnień jako bieżący użytkownik można wybrać użycie certyfikatu lub skrótu pliku, w którym to przypadku skrót pliku stanie się opcjonalny.
  • Certyfikat. Właściwości pliku można zweryfikować wraz z certyfikatem wydawcy używanym do podpisywania pliku. Certyfikaty są weryfikowane przy użyciu interfejsów API systemu Windows, które sprawdzają atrybuty, takie jak zaufanie, wygaśnięcie certyfikatu i stan odwołania.
  • Właściwości pliku. Wszystkie inne właściwości określone w regułach muszą być zgodne.

• Skonfiguruj typ podniesienia uprawnień plików. Typ podniesienia uprawnień określa, co się stanie, gdy zostanie wykonane żądanie podniesienia uprawnień dla pliku. Domyślnie ta opcja jest ustawiona na wartość Potwierdzono użytkownika. Z wyjątkiem podniesienia poziomu uprawnień bieżącego użytkownika program EPM używa konta wirtualnego do podniesienia poziomu procesów. Izoluje to akcje z podwyższonym poziomem uprawnień od profilu użytkownika, zmniejszając narażenie na dane specyficzne dla użytkownika i zmniejszając ryzyko eskalacji uprawnień.

  • Odmowa: reguły odmowy uniemożliwiają uruchamianie zidentyfikowanego pliku w kontekście z podwyższonym poziomem uprawnień.

  • Zatwierdzona obsługa: administrator musi zatwierdzić żądanie podniesienia uprawnień wymagane przez obsługę , zanim aplikacja będzie mogła działać z podwyższonym poziomem uprawnień.

  • Użytkownik potwierdzony: Potwierdzenie podniesienia uprawnień przez użytkownika zawsze wymaga od użytkownika wybrania monitu o potwierdzenie w celu uruchomienia pliku. Potwierdzenie można skonfigurować tylko tak, aby wymagać uwierzytelniania użytkownika, uzasadnienia biznesowego (widocznego w raportach) lub obu tych elementów.

  • Podnieś poziom uprawnień jako bieżący użytkownik: ten typ podniesienia uprawnień uruchamia proces z podwyższonym poziomem uprawnień w ramach konta zalogowanego użytkownika, zachowując zgodność z narzędziami i instalatorami korzystającymi z aktywnego profilu użytkownika. Wymaga to, aby użytkownik wprowadził swoje poświadczenia na potrzeby uwierzytelniania systemu Windows. Pozwala to zachować ścieżki profilu użytkownika, zmienne środowiskowe i ustawienia spersonalizowane. Ponieważ proces z podwyższonym poziomem uprawnień zachowuje tę samą tożsamość użytkownika przed i po podniesieniu uprawnień, dzienniki inspekcji pozostają spójne i dokładne.

    Jednak ponieważ proces z podwyższonym poziomem uprawnień dziedziczy pełny kontekst użytkownika, ten tryb wprowadza szerszą powierzchnię ataków i zmniejsza izolację od danych użytkownika.

    Najważniejsze zagadnienia:

    • Wymaganie zgodności: tego trybu należy używać tylko wtedy, gdy podniesienie poziomu konta wirtualnego powoduje błędy aplikacji.
    • Ścisły zakres: ogranicz reguły podniesienia uprawnień do zaufanych plików binarnych i ścieżek w celu zmniejszenia ryzyka.
    • Kompromis w zakresie zabezpieczeń: zrozum, że ten tryb zwiększa narażenie na dane specyficzne dla użytkownika.

    Porada

    Jeśli zgodność nie jest problemem, preferuj metodę, która używa podniesienia poziomu konta wirtualnego w celu zapewnienia większego bezpieczeństwa.

  • Automatyczne: automatyczne podniesienie uprawnień jest niewidoczne dla użytkownika. Nie ma monitu ani żadnych wskazówek, że plik jest uruchomiony w kontekście z podwyższonym poziomem uprawnień.

• Zarządzanie zachowaniem procesów podrzędnych. Można ustawić zachowanie podniesienia uprawnień, które ma zastosowanie do wszystkich procesów podrzędnych tworzonych przez proces z podwyższonym poziomem uprawnień.

  • Wymagaj podniesienia poziomu reguły — skonfiguruj procesy podrzędne, aby wymagać własnej reguły, zanim proces podrzędny będzie mógł działać w kontekście z podwyższonym poziomem uprawnień.
  • Odmów wszystkim — wszystkie procesy podrzędne są uruchamiane bez kontekstu z podwyższonym poziomem uprawnień.
  • Zezwalaj na uruchamianie procesów podrzędnych z podwyższonym poziomem uprawnień — skonfiguruj proces podrzędny tak, aby zawsze był uruchamiany z podwyższonym poziomem uprawnień.

Definiowanie reguł do użycia z Zarządzanie Uprawnieniami Punktów Końcowych

reguły Zarządzanie Uprawnieniami Punktów Końcowych składają się z dwóch podstawowych elementów: wykrywania i akcji podniesienia uprawnień.

Wykrywanie jest definiowane jako zestaw atrybutów używanych do identyfikowania aplikacji lub danych binarnych. Te atrybuty obejmują nazwę pliku, wersję pliku i właściwości podpisu.

Akcje podniesienia uprawnień to wynikowe podniesienie uprawnień, które występuje po wykryciu aplikacji lub pliku binarnego.

Podczas definiowania wykrywania ważne jest, aby były one zdefiniowane tak, aby były jak najbardziej opisowe . Aby być opisowym, użyj silnych atrybutów lub wielu atrybutów, aby zwiększyć siłę wykrywania. Celem podczas definiowania wykrywania powinno być wyeliminowanie możliwości, aby wiele plików wchodziło w tę samą regułę, chyba że jest to jawnie intencja.

Reguły skrótów plików

Reguły skrótów plików to najsilniejsze reguły, które można utworzyć za pomocą Zarządzanie Uprawnieniami Punktów Końcowych. Te reguły są zdecydowanie zalecane , aby upewnić się, że plik, który chcesz podnieść poziom, to plik z podwyższonym poziomem poziomu.

Skrót pliku można zebrać z bezpośredniego pliku binarnego przy użyciu metody Get-Filehash programu PowerShell lub bezpośrednio z raportów dla Zarządzanie Uprawnieniami Punktów Końcowych.

Reguły certyfikatów

Reguły certyfikatów są silnym typem atrybutu i powinny być sparowane z innymi atrybutami. Parowanie certyfikatu z atrybutami, takimi jak nazwa produktu, nazwa wewnętrzna i opis, znacząco zwiększa bezpieczeństwo reguły. Te atrybuty są chronione przez sygnaturę plików i często wskazują szczegóły dotyczące podpisanego pliku.

Reguły zawierające nazwę pliku

Nazwa pliku to atrybut, którego można użyć do wykrywania aplikacji, która musi mieć podwyższony poziom. Jednak nazwy plików są łatwo zmieniane i nie stanowią części skrótu lub atrybutów podpisanych przez certyfikat wydawcy.

Oznacza to, że nazwy plików są bardzo podatne na zmiany. Pliki, do których celowo nie używasz podpisywanego certyfikatu, któremu ufasz, mogą zostać zmienione na wykryte i podwyższone uprawnienia.

Reguły oparte na atrybutach zebranych przez program PowerShell

Aby ułatwić tworzenie dokładniejszych reguł wykrywania plików, możesz użyć polecenia cmdlet Get-FileAttributes programu PowerShell. Dostępne w module EpmTools programu PowerShell polecenie Get-FileAttributes może pobierać atrybuty plików i materiał łańcucha certyfikatów dla pliku, a dane wyjściowe umożliwiają wypełnienie właściwości reguły podniesienia uprawnień dla określonej aplikacji.

Przykładowe kroki importowania modułów i dane wyjściowe z Get-FileAttributes uruchamiane względem msinfo32.exe w Windows 11 wersji 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Aby uzyskać więcej informacji, zobacz Moduł EpmTools programu PowerShell.

Kontrolowanie zachowania procesu podrzędnego

Zachowanie procesu podrzędnego umożliwia kontrolowanie kontekstu, gdy proces z podwyższonym poziomem poziomu za pomocą programu EPM tworzy proces podrzędny. To zachowanie umożliwia kontrolowanie procesów, które zostaną automatycznie delegowane w kontekście procesu nadrzędnego.

System Windows automatycznie deleguje kontekst elementu nadrzędnego do elementu podrzędnego, dlatego należy zachować szczególną ostrożność podczas kontrolowania zachowania dozwolonych aplikacji. Upewnij się, że oceniasz, co jest potrzebne podczas tworzenia reguł podniesienia uprawnień, i zaimplementuj zasadę najniższych uprawnień.

Wdrażanie reguł utworzonych przy użyciu Zarządzanie Uprawnieniami Punktów Końcowych

Zarządzanie Uprawnieniami Punktów Końcowych reguły są wdrażane tak jak inne zasady w usłudze Microsoft Intune. Oznacza to, że reguły można wdrażać dla użytkowników lub urządzeń, a reguły są scalane po stronie klienta i wybierane w czasie wykonywania. Wszelkie konflikty są rozwiązywane na podstawie zachowania konfliktu zasad.

Reguły wdrożone na urządzeniu mają zastosowanie do każdego użytkownika , który używa tego urządzenia. Reguły wdrożone dla użytkownika mają zastosowanie tylko do tego użytkownika na każdym urządzeniu, z których korzysta. W przypadku wystąpienia akcji podniesienia uprawnień reguły wdrożone dla użytkownika mają pierwszeństwo przed regułami wdrożonych na urządzeniu. To zachowanie umożliwia wdrożenie zestawu reguł dla wszystkich użytkowników urządzenia i bardziej permisywnego zestawu reguł dla określonego użytkownika (na przykład administratora pomocy technicznej). Umożliwiłoby to administratorowi pomocy technicznej podniesienie poziomu szerszego zestawu aplikacji podczas logowania się do urządzenia.

Domyślne zachowanie podniesienia uprawnień jest używane tylko wtedy, gdy nie można odnaleźć dopasowania reguły. Domyślne zachowanie podniesienia uprawnień ma zastosowanie tylko wtedy, gdy podniesienie uprawnień jest wyzwalane za pomocą menu Uruchom z podwyższonym poziomem uprawnień dostępu kliknij prawym przyciskiem myszy.

Tworzenie zasad reguł podniesienia uprawnień

Wdróż zasady reguł podniesienia uprawnień dla użytkowników lub urządzeń, aby wdrożyć co najmniej jedną regułę dla plików zarządzanych na potrzeby podniesienia uprawnień przez Zarządzanie Uprawnieniami Punktów Końcowych. Każda reguła dodana do tych zasad:

• Identyfikuje plik według nazwy pliku i rozszerzenia pliku, dla którego chcesz zarządzać żądaniami podniesienia uprawnień.
• Może zawierać certyfikat ułatwiający zweryfikowanie integralności pliku. Można również dodać grupę wielokrotnego użytku zawierającą certyfikat, którego następnie używasz z co najmniej jedną regułą lub zasadami.
• Może zawierać co najmniej jeden ręcznie dodany argument pliku lub przełącznik wiersza polecenia. Gdy argumenty plików są dodawane do reguły, program EPM zezwala tylko na podniesienie uprawnień plików żądań zawierających jeden ze zdefiniowanych wierszy polecenia. Jeśli zdefiniowany wiersz polecenia nie jest częścią żądania podniesienia uprawnień pliku, program EPM odrzuca to żądanie.
• Określa, czy typ podniesienia uprawnień pliku jest automatyczny (dyskretnie) lub czy wymaga potwierdzenia przez użytkownika. Po potwierdzeniu użytkownika możesz wymagać weryfikacji za pomocą monitu o podanie poświadczeń, uzasadnienia biznesowego lub obu tych elementów.

Użyj jednej z następujących metod, aby utworzyć nowe reguły podniesienia uprawnień, które są dodawane do zasad reguł podniesienia uprawnień:

• Automatycznie konfiguruj reguły podniesienia uprawnień — ta metoda pozwala zaoszczędzić czas podczas tworzenia reguły podniesienia uprawnień, dodając szczegóły plików z raportowania. Reguły można tworzyć przy użyciu raportu Podniesienie uprawnień lub rekordu żądań podniesienia uprawnień zatwierdzonego przez pomoc techniczną .

  Dzięki tej metodzie:

  • Wybierz plik, dla którego chcesz utworzyć regułę podniesienia uprawnień z raportu Podniesienie uprawnień lub z zatwierdzonego żądania podniesienia uprawnień.
  • Wybierz, aby dodać nową regułę podniesienia uprawnień do istniejących zasad reguł podniesienia uprawnień lub utworzyć nowe zasady reguł podniesienia uprawnień, które zawierają nową regułę.
    • Po dodaniu do istniejących zasad nowa reguła jest natychmiast dostępna dla tej listy przypisanych grup zasad.
    • Po utworzeniu nowych zasad należy edytować te zasady, aby przypisywać grupy, zanim staną się dostępne do użycia.

• Ręczne konfigurowanie reguł podniesienia uprawnień — ta metoda wymaga zidentyfikowania szczegółów pliku, których chcesz użyć do wykrywania, i ręcznego wprowadzenia ich w ramach przepływu pracy tworzenia reguł. Aby uzyskać informacje na temat kryteriów wykrywania, zobacz Definiowanie reguł do użycia z Zarządzanie Uprawnieniami Punktów Końcowych.

  Dzięki tej metodzie:

  • Ręcznie określ szczegóły pliku do użycia, a następnie dodaj je do reguły podniesienia uprawnień w celu identyfikacji pliku.
  • Skonfiguruj wszystkie aspekty zasad podczas tworzenia zasad, w tym przypisywanie zasad do grup do użycia.
  • Można dodać co najmniej jeden argument pliku, który musi być częścią żądania podniesienia uprawnień, zanim program EPM zezwoli na podniesienie uprawnień pliku.

Automatyczne konfigurowanie reguł podniesienia uprawnień dla zasad zasad podniesienia uprawnień systemu Windows

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zabezpieczenia> punktu końcowego Zarządzanie Uprawnieniami Punktów Końcowych. Aby wybrać plik do użycia dla reguły podniesienia uprawnień, wybierz jedną z następujących ścieżek początkowych:

   Rozpocznij od raportu:

   1. Wybierz kartę Raporty , a następnie kafelek Raport o podniesieniu uprawnień . Znajdź plik, dla który chcesz utworzyć regułę w kolumnie Plik .
   2. Wybierz połączoną nazwę pliku, aby otworzyć okienko szczegółów podniesienia uprawnień .

   Rozpocznij od żądania podniesienia uprawnień zatwierdzonego przez pomoc techniczną:

   1. Wybierz kartę Żądanie podniesienia uprawnień .

   2. W kolumnie Plik wybierz plik, którego chcesz użyć dla reguły podniesienia uprawnień, co spowoduje otwarcie tego okienka szczegółów podniesienia uprawnień .

      Stan żądania podniesienia uprawnień nie ma znaczenia. Możesz użyć oczekującego żądania lub żądania, które zostało wcześniej zatwierdzone lub odrzucone.

2. W okienku Szczegół podniesienia uprawnień przejrzyj szczegóły pliku. Te informacje są używane przez regułę podniesienia uprawnień do identyfikowania poprawnego pliku. Gdy wszystko będzie gotowe, wybierz pozycję Utwórz regułę z tymi szczegółami pliku.

   

3. Wybierz opcję zasad dla nowej reguły podniesienia uprawnień, którą tworzysz:

   Utwórz nowe zasady: Ta opcja tworzy nowe zasady, które zawierają regułę podniesienia uprawnień dla wybranego pliku.

   1. Dla reguły skonfiguruj zachowanie procesuTyp i Podrzędne, a następnie wybierz przycisk OK, aby utworzyć zasady.
   2. Po wyświetleniu monitu podaj nazwę zasad dla nowych zasad i potwierdź ich utworzenie.
   3. Po utworzeniu zasad można edytować zasady, aby je przypisać i wprowadzić inne zmiany.

   Dodaj do istniejących zasad: Korzystając z tej opcji, użyj listy rozwijanej i wybierz istniejące zasady podniesienia uprawnień, do których zostanie dodana nowa reguła podniesienia uprawnień.

   1. Dla reguły skonfiguruj typ podniesienia uprawnień i zachowanie procesu podrzędnego, a następnie wybierz przycisk OK. Zasady są aktualizowane przy użyciu nowej reguły.
   2. Po dodaniu reguły do zasad można edytować zasady, aby uzyskać dostęp do reguły, a następnie zmodyfikować ją w celu wprowadzania dodatkowych konfiguracji w razie potrzeby.

   Wymagaj tej samej ścieżki pliku co to podniesienie uprawnień: Po zaznaczeniu tego pola wyboru pole Ścieżka pliku w regule jest ustawione na ścieżkę pliku, jak pokazano w raporcie. Jeśli pole wyboru nie zostanie zaznaczone, ścieżka pozostanie pusta.

   Porada

   Chociaż jest to opcjonalne, zalecamy użycie ścieżki plików wskazującej lokalizację, których użytkownicy standardowi nie mogą modyfikować.

   

Ręczne konfigurowanie reguł podniesienia uprawnień dla zasad podniesienia uprawnień systemu Windows

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zabezpieczenia> punktu końcowego Zarządzanie Uprawnieniami Punktów Końcowych> wybierz kartę >Zasady, a następnie wybierz pozycję Utwórz zasady. Ustaw opcję Platforma na windows, profil na zasady reguł podniesienia uprawnień systemu Windows, a następnie wybierz pozycję Utwórz.

2. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

3. W obszarze Ustawienia konfiguracji dodaj regułę dla każdego pliku zarządzanego przez te zasady. Podczas tworzenia nowych zasad zasady są uruchamiane, w tym pustą regułę z typem podniesienia uprawnień Potwierdzony użytkownik i bez nazwy reguły. Zacznij od skonfigurowania tej reguły, a później możesz wybrać pozycję Dodaj , aby dodać więcej reguł do tych zasad. Każda dodana nowa reguła ma potwierdzony typ podniesienia uprawnień Użytkownika, który można zmienić podczas konfigurowania reguły.

   

   Aby skonfigurować regułę, wybierz pozycję Edytuj wystąpienie , aby otworzyć stronę właściwości reguły, a następnie skonfiguruj następujące elementy:

   

   • Nazwa reguły: określ opisową nazwę reguły. Nadaj regułom nazwę, aby można było je łatwo zidentyfikować później.
   • Opis (opcjonalnie): wprowadź opis profilu.

   Warunki podniesienia uprawnień to warunki definiujące sposób uruchamiania pliku oraz weryfikacje użytkowników, które muszą zostać spełnione przed uruchomieniem pliku, do który ma zastosowanie ta reguła.

   • Typ podniesienia uprawnień: domyślnie ta opcja jest ustawiona na Wartość potwierdzona przez użytkownika, która jest najczęściej używanym typem podniesienia uprawnień, ponieważ umożliwia podniesienie uprawnień, ale wymaga potwierdzenia przez użytkownika.

     • Odmowa: reguła odmowy uniemożliwia uruchamianie zidentyfikowanego pliku w kontekście z podwyższonym poziomem uprawnień. Obowiązują następujące zachowania:

       • Reguły odmowy obsługują te same opcje konfiguracji co inne typy podniesienia uprawnień z wyjątkiem opcji procesu podrzędnego. Opcje procesu podrzędnego nie są używane z tej reguły, nawet jeśli są skonfigurowane.
       • Gdy użytkownik próbuje podnieść poziom poziomu pliku zgodnego z regułą odmowy, podniesienie uprawnień kończy się niepowodzeniem. Program EPM wyświetla komunikat wskazujący, że nie można uruchomić aplikacji jako administrator. Jeśli użytkownikowi zostanie również przypisana reguła zezwalająca na podniesienie uprawnień tego samego pliku, pierwszeństwo ma reguła odmowy.
       • Odmowa podniesienia uprawnień jest wyświetlana w raporcie podniesienia uprawnień jako odmowa, podobnie jak odrzucona zatwierdzona prośba o pomoc techniczną .
       • Program EPM obecnie nie obsługuje automatycznej konfiguracji reguły odmowy z raportu oceny.

     • Zatwierdzono obsługę: ten typ podniesienia uprawnień wymaga od administratora zatwierdzenia żądania podniesienia uprawnień. Aby uzyskać więcej informacji, zobacz Obsługa zatwierdzonych żądań podniesienia uprawnień.

       Ważna

       Użycie uprawnień zatwierdzonych przez obsługę plików wymaga, aby administratorzy z dodatkowymi uprawnieniami przejrzeli i zatwierdzili każde żądanie podniesienia uprawnień pliku przed tym plikiem na urządzeniu z uprawnieniami administratora. Aby uzyskać informacje na temat korzystania z zatwierdzonego typu podniesienia uprawnień pomocy technicznej, zobacz Obsługa zatwierdzonych podniesienia uprawnień plików dla Zarządzanie Uprawnieniami Punktów Końcowych.

     • Użytkownik potwierdzony: Najczęściej używany w przypadku plików z regułami, które wymagają podniesienia uprawnień, ponieważ zezwala na podniesienie uprawnień, ale wymaga potwierdzenia przez użytkownika. Po uruchomieniu pliku użytkownik otrzymuje prosty monit o potwierdzenie zamiaru uruchomienia pliku. Reguła może również zawierać inne monity dostępne z listy rozwijanej Weryfikacja :

       • Uzasadnienie biznesowe: Wymagaj od użytkownika wprowadzenia uzasadnienia uruchamiania pliku. Nie ma wymaganego formatu dla wpisu. Dane wejściowe użytkownika są zapisywane i można je przeglądać za pośrednictwem dzienników, jeśli zakres Raportowanie obejmuje kolekcję podniesienia poziomu punktów końcowych.
       • Uwierzytelnianie systemu Windows: ta opcja wymaga, aby użytkownik uwierzytelnił się przy użyciu poświadczeń organizacji.

     • Automatyczne: ten typ podniesienia uprawnień automatycznie uruchamia plik z podwyższonym poziomem uprawnień. Automatyczne podniesienie uprawnień jest niewidoczne dla użytkownika bez monitowania o potwierdzenie lub wymagającego uzasadnienia lub uwierzytelniania przez użytkownika.

       Uwaga

       Używaj automatycznego podniesienia uprawnień tylko przez wyjątek i dla plików, którym ufasz. Te pliki zostaną automatycznie podwyższone bez interakcji z użytkownikiem. Reguły, które nie są dobrze zdefiniowane, mogą zezwalać niezatwierdzonym aplikacjom na podniesienie poziomu. Aby uzyskać więcej informacji na temat tworzenia silnych reguł, zobacz wskazówki dotyczące tworzenia reguł.

   • Zachowanie procesu podrzędnego: domyślnie ta opcja jest ustawiona na wymaganie podniesienia poziomu reguły, co wymaga, aby proces podrzędny był zgodny z tą samą regułą co proces, który ją tworzy. Inne opcje obejmują:

     • Zezwalaj na uruchamianie wszystkich procesów podrzędnych z podwyższonym poziomem uprawnień: ta opcja powinna być używana z ostrożnością, ponieważ umożliwia aplikacjom bezwarunkowe tworzenie procesów podrzędnych.
     • Odmów wszystkim: ta konfiguracja uniemożliwia utworzenie dowolnego procesu podrzędnego.

   Informacje o pliku to miejsce, w którym można określić szczegóły identyfikujące plik, którego dotyczy ta reguła.

   • Nazwa pliku: określ nazwę pliku i jego rozszerzenie. Przykład: myapplication.exe. Możesz również użyć zmiennej w nazwie pliku.

   • Ścieżka pliku (opcjonalnie): określ lokalizację pliku. Jeśli plik można uruchomić z dowolnej lokalizacji lub jest nieznany, możesz pozostawić ten pusty plik. Możesz również użyć zmiennej.

     Porada

     Chociaż jest to opcjonalne, zalecamy użycie ścieżki plików wskazującej lokalizację, których użytkownicy standardowi nie mogą modyfikować.

   • Źródło podpisu: wybierz jedną z następujących opcji:

     • Użyj pliku certyfikatu w ustawieniach wielokrotnego użytku (ustawienie domyślne): ta opcja używa pliku certyfikatu, który został wcześniej dodany do grupy ustawień wielokrotnego użytku dla Zarządzanie Uprawnieniami Punktów Końcowych. Przed użyciem tej opcji należy utworzyć grupę ustawień wielokrotnego użytku .

       Aby zidentyfikować certyfikat, wybierz pozycję Dodaj lub usuń certyfikat, a następnie wybierz grupę wielokrotnego użytku zawierającą prawidłowy certyfikat. Następnie określ typ certyfikatuurzędu wydawcy lub certyfikatu.

     • Przekaż plik certyfikatu: dodaj plik certyfikatu bezpośrednio do reguły podniesienia uprawnień. W polu Przekazywanie pliku określ plik .cer , który może zweryfikować integralność pliku, do których ma zastosowanie ta reguła. Następnie określ typ certyfikatuurzędu wydawcy lub certyfikatu.

     • Nieskonfigurowane: użyj tej opcji, jeśli nie chcesz używać certyfikatu do weryfikowania integralności pliku. Jeśli certyfikat nie jest używany, należy podać skrót pliku.

   • Skrót pliku: skrót pliku jest wymagany, gdy źródło podpisu ma wartość Nieskonfigurowane i opcjonalnie, gdy jest ustawione na użycie certyfikatu.

   • Minimalna wersja: (opcjonalnie) Użyj formatu x.x.x.x , aby określić minimalną wersję pliku obsługiwaną przez tę regułę.

   • Opis pliku: (Opcjonalnie) Podaj opis pliku.

   • Nazwa produktu: (opcjonalnie) Określ nazwę produktu, z którego pochodzi plik.

   • Nazwa wewnętrzna: (opcjonalnie) Określ wewnętrzną nazwę pliku.

   Wybierz pozycję Zapisz , aby zapisać konfigurację reguły. Następnie możesz dodać więcej reguł. Po dodaniu wszystkich reguł wymaganych przez te zasady wybierz pozycję Dalej , aby kontynuować.

4. Na stronie Tagi zakresu wybierz odpowiednie tagi zakresu do zastosowania, a następnie wybierz pozycję Dalej.

5. W obszarze Przypisania wybierz grupy, które otrzymują zasady. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

Używanie zmiennych w regułach podniesienia uprawnień

Podczas ręcznego konfigurowania reguł podniesienia uprawnień plików można użyć symboli wieloznacznych dla następujących konfiguracji, które są dostępne na stronie Właściwości reguły zasad reguły podniesienia uprawnień:

• Nazwa pliku: symbole wieloznaczne są obsługiwane jako część nazwy pliku podczas konfigurowania pola Nazwa pliku .
• Ścieżka folderu: symbole wieloznaczne są obsługiwane jako część ścieżki folderu podczas konfigurowania pola Ścieżka folderu .

Użycie symboli wieloznacznych zapewnia elastyczność w regułach w celu obsługi zaufanych plików, które mają nazwy, które mogą się często zmieniać wraz z kolejnymi poprawkami lub których ścieżka pliku może również ulec zmianie.

Obsługiwane są następujące symbole wieloznaczne:

• Znak zapytania ? — znaki zapytania zastępują poszczególne znaki w nazwie pliku.
• Gwiazdka * — gwiazdka zastępuje ciąg znaków w nazwie pliku.

Poniżej przedstawiono przykłady obsługiwanego użycia symboli wieloznacznych:

• Nazwa pliku konfiguracji programu Visual Studio o nazwie VSCodeSetup-arm64-1.99.2.exe:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Ścieżka pliku dla tego samego pliku, zwykle znaleziona w :C:\Users\<username>\Downloads\

  • C:\Users\*\Downloads\

Używanie argumentów plików dla reguł podniesienia uprawnień

Reguły podniesienia uprawnień pliku mogą być również ograniczone, aby umożliwić podniesienie uprawnień przy użyciu określonych argumentów.

Na przykład funkcja dsregcmd może być przydatna do badania stanu urządzenia w Microsoft Entra identyfikatorze, ale wymaga podniesienia uprawnień. Aby ułatwić obsługę tych plików do badania, można skonfigurować regułę z listą argumentów dla dsregcmd , która zawiera przełączniki dla /status, /listaccounts i nie tylko. Jednak aby zapobiec destrukcyjnym działaniom, takim jak wyrejestrowanie urządzenia, należy wykluczyć argumenty, takie jak /leave. W przypadku tej konfiguracji reguła zezwala na podniesienie uprawnień tylko wtedy, gdy są używane argumenty /status lub /listaccounts . dsregcmd z przełącznikiem /leave, który usuwa urządzenie z identyfikatora Microsoft Entra, zostanie odrzucony.

Aby dodać co najmniej jeden argument do reguły podniesienia uprawnień, ustaw opcję Ogranicz argumenty na pozycję Zezwalaj na listę. Wybierz pozycję Dodaj i skonfiguruj dozwolone opcje wiersza polecenia. Dodając wiele argumentów, udostępniasz wiele wierszy poleceń obsługiwanych przez żądania podniesienia uprawnień.

Grupy ustawień wielokrotnego użytku

Zarządzanie Uprawnieniami Punktów Końcowych używa grup ustawień wielokrotnego użytku do zarządzania certyfikatami, które weryfikują pliki zarządzane przy użyciu reguł podniesienia uprawnień Zarządzanie Uprawnieniami Punktów Końcowych. Podobnie jak wszystkie grupy ustawień wielokrotnego użytku dla usługi Intune, zmiany w grupie wielokrotnego użytku są automatycznie przekazywane do zasad, które odwołują się do grupy. Jeśli musisz zaktualizować certyfikat używany do weryfikacji pliku, wystarczy zaktualizować go tylko raz w grupie ustawień wielokrotnego użytku. Usługa Intune stosuje zaktualizowany certyfikat do wszystkich reguł podniesienia uprawnień, które używają tej grupy.

Aby utworzyć grupę ustawień wielokrotnego użytku dla Zarządzanie Uprawnieniami Punktów Końcowych:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zabezpieczenia> punktu końcowego Zarządzanie Uprawnieniami Punktów Końcowych> wybierz kartę >Ustawienia wielokrotnego użytku (wersja zapoznawcza), a następnie wybierz pozycję Dodaj.

   

2. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę grupy wielokrotnego użytku. Nazwy grup, dzięki czemu można łatwo zidentyfikować każdy później.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

3. W obszarze Ustawienia konfiguracji wybierz ikonę folderu dla pliku certyfikatu i przejdź do obszaru . Plik CER , aby dodać go do tej grupy wielokrotnego użytku. Pole wartości Base 64 jest wypełniane na podstawie wybranego certyfikatu.

   

4. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Dodaj. Po wybraniu pozycji Dodaj konfiguracja zostanie zapisana, a grupa zostanie wyświetlona na liście grup ustawień wielokrotnego użytku dla Zarządzanie Uprawnieniami Punktów Końcowych.

Następne kroki