通过

支持Endpoint Privilege Management的已批准文件提升

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限并完成需要提升权限的任务。 有关详细信息,请参阅 EPM 概述

应用于:

  • Windows

本文介绍如何将支持批准的工作流与Endpoint Privilege Management配合使用。

支持已批准的提升允许在允许提升之前需要批准。 可以将支持批准的功能用作提升规则的一部分,或用作默认客户端行为。 提交的请求需要Intune管理员逐个批准请求。

当用户尝试在提升的上下文中运行文件,并且该文件由支持批准的文件提升类型管理时,Intune向用户显示提交提升请求的提示。 然后,提升请求将发送到Intune,供Intune管理员审阅。当管理员批准提升请求时,系统会通知设备上的用户,然后可以在提升的上下文中运行该文件。 若要批准请求,Intune管理员的帐户必须具有特定于评审和审批任务的额外权限。

关于支持批准的提升

将 EPM 策略与 支持批准的 提升类型一起使用,用于需要管理员批准才能运行更高访问权限的文件。 它们与其他 EPM 提升规则类似,但它们存在一些需要额外规划的差异。

提示

若要查看四种提升类型和其他策略选项,请参阅 Windows 提升规则策略

以下主题是使用支持批准的提升类型时要规划和预期的详细信息:

  • 提升请求

    如果用户使用右键单击选项“使用提升的访问权限运行”运行文件,并且该文件由策略管理,且该策略具有支持批准的提升规则,Intune向用户显示向Intune管理中心发送提升请求的提示。

    • 提示允许用户输入提升的业务原因。 此原因将成为提升请求的一部分,该请求还包含用户的名称、设备和文件名。

    • 当用户发送请求时,该请求会转到Intune管理中心,其中有权管理这些请求的Intune管理员决定批准或拒绝请求。

    下图显示了用户体验到的文件提升提示示例:

    显示用户提升请求提示示例的屏幕截图。

  • 提升请求的评审

    Intune管理员必须具有Endpoint Privilege Management提升请求权限的查看和管理权限,然后才能查看和批准提升请求。 管理员只能查看和管理属于其配置范围的请求。

    为了查找和响应请求,这些管理员使用管理中心中“Endpoint Privilege Management”页的“提升请求”选项卡。 由于Intune无法通知管理员新的提升请求,因此管理员应计划定期检查选项卡,以处理挂起的请求。

    可以管理提升请求的管理员可以接受或拒绝请求。 他们还可以提供其决定的理由。 此原因将成为请求的审核记录的一部分。

    • 审批:当管理员批准提升请求时,Intune将策略发送到用户提交请求的设备,使该用户能够在接下来的 24 小时内以提升身份运行文件。 此时间段从管理员批准请求时开始。 在 24 小时期限到期之前,当前不支持自定义时间段或取消已批准的提升。

      请求获得批准后,Intune通知设备并启动同步。这可能需要一些时间。Intune在设备上显示 Toast 通知,以提醒用户,他们现在可以使用提升的访问权限右键单击选项成功运行文件。

    • 对于拒绝:Intune不通知用户。 管理员应手动通知用户其请求被拒绝。

  • 提升请求的审核

    具有足够权限的Intune管理员可以在租户管理>审核日志中查看有关 EPM 策略的信息,例如创建、编辑和处理Intune审核日志中的提升请求。

    以下屏幕截图显示了 支持批准的 提升策略(最初名为 “测试策略 - 支持已批准”)重复的审核日志示例:

    显示支持批准的提升规则策略的审核日志条目的图像。

提升请求的 RBAC 权限

为了监督提升审批,只有Intune中具有以下基于角色的访问控制 (RBAC) 权限Intune管理员可以查看和管理提升请求:

  • Endpoint Privilege Management提升请求 - 需要此权限才能处理用户提交以供审批的提升请求,并支持以下权限:

    • 查看提升请求
    • 修改提升请求

有关管理 EPM 的所有权限的详细信息,请参阅Endpoint Privilege Management的基于角色的访问控制

为支持批准的文件提升创建策略

若要使用支持批准的提升,请使用同一工作流来创建其他 EPM 设置。 可以使用提升设置策略设置默认提升行为,或使用 提升规则策略为特定应用创建或修改 规则

管理挂起的提升请求

使用以下过程作为查看和管理提升请求的指南。

提示

还可以在Intune管理中心的“管理任务”窗格中将这些任务作为任务进行管理。

  1. 登录到Microsoft Intune管理中心,然后转到“终结点安全性>Endpoint Privilege Management>”删除请求“选项卡。

  2. 提升请求选项卡显示 挂起的请求过去 30 天的请求。 选择一行将打开,该行将输入提升请求属性,你可以在其中详细查看请求。

  3. 提升请求详细信息包括以下信息:

    1. 常规详细信息

      • File - 请求提升的文件的名称。
      • Publisher - 对请求提升的文件进行签名的发布者的名称。 发布者的名称是检索要下载的文件的证书链的链接。
      • 设备 - 请求提升的设备。 设备名称是在管理中心打开设备对象的链接。
      • 符合Intune - 设备的Intune符合性状态。

    2. 请求详细信息

      • 状态 - 请求的状态。 请求开始为 “挂起” ,管理员可 批准拒绝 请求。
      • By - 批准拒绝 请求的管理员的帐户。
      • 上次修改 时间 - 上次修改请求条目的时间。
      • 用户的理由 - 用户为提升请求提供的理由。
      • 审批过期 - 审批过期的时间。 在达到此到期时间之前,允许提升已批准的文件。
      • 管理员的原因 - 完成审批拒绝时管理员提供的理由。

    3. 文件信息 - 请求审批的文件的元数据的详细信息。

    显示提升请求详细信息的图像。

  4. 当租户获得智能 Microsoft Security Copilot 副驾驶®许可后,你有权使用“提升请求属性”窗格右上角的“使用 Copilot 分析”选项。 可以使用此选项让Security Copilot Microsoft Defender for Endpoint在批准或拒绝提升请求之前评估提升请求中的文件。

  5. 管理员审阅请求后,可以选择“ 批准” 或“ 拒绝”。 对于任一选择,他们都会出现 理由 对话框,可在其中提供 “原因” 以及有关其决策的详细信息。 提供原因是可选的。 下面显示了审批对话框:

    • 对于审批 - 管理员完成理由对话框,然后选择“ ”以批准请求。 Intune将审批发送到设备,并且最终用户会收到一个 Toast 通知,告知他们能够提升应用程序。

      最终用户现在可以使用文件的“ 具有提升访问权限的运行 ”右键单击菜单来完成提升活动。

      显示提升审批对话框的图像,其中提供了示例审批理由作为原因

    • 对于拒绝 - 管理员完成理由对话框,然后选择“ ”以拒绝请求。

      当管理员拒绝审批请求时,不会批准提升请求。 Intune不会向设备发送答复,并且不会通知用户。

      显示未提供示例审批理由的提升拒绝对话框的图像

注意

提升请求包含创建提升规则所需的所有信息,包括 完整的 证书链。 支持批准的提升也显示在提升使用情况数据中,就像任何其他提升请求一样。

使用智能 Microsoft Security Copilot 副驾驶®分析文件提升请求

使用 Endpoint Privilege Management (EPM) 加上智能 Microsoft Security Copilot 副驾驶®,可以使用 Security Copilot 减少在选择批准或拒绝请求之前识别和调查文件提升请求中文件所需的工作量。 Security Copilot用于帮助你评估文件和建立信任的信息通过 Microsoft Defender 威胁智能 ( Defender TI) 收集和评估。

例如,在查看提升请求的文件属性时,可以选择“使用 Copilot 分析”选项,以便Security Copilot提供通常不明显的详细信息,包括:

  • 应用信誉
  • 有关发布者信任的信息
  • 请求提升的用户的风险评分
  • 从中提交提升的设备的风险分数。

将 Security Copilot 与 EPM 配合使用的先决条件

若要将 智能 Microsoft Security Copilot 副驾驶® 与 Endpoint Privilege Management 一起使用,租户必须获得使用Security Copilot的许可。 此要求是使用 Endpoint Privilege Management 的先决条件的补充。

如果租户已获得 EPM 和Security Copilot许可,则无需其他许可证或配置。

用于分析文件请求的工作流

可以在查看文件提升请求时智能 Microsoft Security Copilot 副驾驶®分析文件的属性:

  1. Microsoft Intune管理中心,转到“终结点安全性>”Endpoint Privilege Management并选择“提升请求”选项卡*。

  2. “提升请求”上,选择提升请求的名称以打开“ 提升请求属性 ”窗格,然后可在其中查看文件详细信息。

  3. 若要指示Security Copilot更仔细地查看文件,请在“提升请求属性”窗格上选择“使用 Copilot 进行分析”。 选中后,Intune基于文件哈希创建关闭Copilot 提示。 此提示使用Microsoft Defender for Endpoint来调查文件。 不支持自定义或打开文件分析提示。

  4. 分析文件后,结果将返回到管理中心,可在其中查看文件详细信息。 可以使用此详细信息做出更明智的决定,以批准或拒绝提升请求。

示例:以下图像显示管理员使用 Intune管理中心路径查找并选择用户提交的文件提升请求的路径和结果。 请求是名为 InstallPrinter.msi的文件。 选择该文件后,会打开其 提升请求属性

显示“使用 Copilot 分析”选项的路径和位置的屏幕截图。

管理员查看文件时,会注意到该文件具有未知的发布者。 为了验证此文件是否合法,他们使用 Elevation 请求属性中的“使用 Copilot 分析”选项,让 Copilot 更仔细地查看。

Copilot 审阅文件并报告以下详细信息:

显示使用“使用 Copilot 分析”选项的结果示例的屏幕截图。

上图显示了 Copilot 报表关于该 InstallPrinter.msi 文件的信誉的屏幕截图。 在此示例中,该文件被标识为恶意文件,不应被批准在提升的上下文中运行。 结果还包括其他信息和指向已识别的恶意文件的引用链接。

后续步骤

下一步:报告 >

  • Last updated on