Unterstützung genehmigter Dateierweiterungen für Endpoint Privilege Management

Hinweis

Diese Funktion ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

Mit Microsoft Intune Endpoint Privilege Management (EPM) können die Benutzer Ihrer Organisation als Standardbenutzer (ohne Administratorrechte) ausgeführt und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnosen.

In diesem Artikel wird erläutert, wie Sie den genehmigten Workflow mit Endpoint Privilege Management verwenden.

Mit der Unterstützung genehmigter Rechteerweiterungen können Sie eine Genehmigung anfordern, bevor eine Erhöhung zulässig ist. Sie können die genehmigte Unterstützungsfunktionalität als Teil einer Rechteerweiterungsregel oder als Standardverhalten des Clients verwenden. Anforderungen, die übermittelt werden, erfordern, dass Intune-Administratoren die Anforderung von Fall zu Fall genehmigen.

Wenn ein Benutzer versucht, eine Datei in einem Kontext mit erhöhten Rechten auszuführen, und diese Datei vom genehmigten Dateierweiterungstyp verwaltet wird, zeigt Intune dem Benutzer eine Aufforderung an, eine Rechteerweiterungsanforderung zu übermitteln. Die Erhöhungsanforderung wird dann zur Überprüfung durch einen Intune-Administrator an Intune gesendet. Wenn ein Administrator die Erhöhungsanforderung genehmigt, wird der Benutzer auf dem Gerät benachrichtigt, und die Datei kann dann im Kontext mit erhöhten Rechten ausgeführt werden. Um Anforderungen zu genehmigen, muss das Konto des Intune-Administrators über zusätzliche Berechtigungen verfügen, die für die Überprüfungs- und Genehmigungsaufgabe spezifisch sind.

Gilt für:

  • Windows 10
  • Windows 11

Informationen zur Unterstützung genehmigter Rechteerweiterungen

Verwenden Sie EPM-Richtlinien mit dem genehmigten Rechteerweiterungstyp für Dateien, die die Genehmigung eines Administrators benötigen, bevor sie mit höherem Zugriff ausgeführt werden können. Sie ähneln anderen EPM-Rechteerweiterungsregeln, weisen jedoch einige Unterschiede auf, die zusätzliche Planung erfordern.

Tipp

Informationen zu den drei Höhentypen und anderen Richtlinienoptionen finden Sie unter Windows-Richtlinie für Rechteerweiterungsregeln.

Die folgenden Themen sind Details, die Sie planen und erwarten müssen, wenn Sie den genehmigten Höhentyp verwenden:

  • Höhenanfragen

    Wenn ein Benutzer eine Datei mit der Rechtsklickoption Ausführen mit erhöhtem Zugriff ausführt und diese Datei von einer Richtlinie mit einer genehmigten Rechteerweiterungsregel verwaltet wird, zeigt Intune dem Benutzer eine Aufforderung an, eine Anforderung zur Erhöhung an das Intune Admin Center zu senden.

    • Mit der Eingabeaufforderung kann der Benutzer einen geschäftlichen Grund für die Erhöhung eingeben. Dieser Grund wird Teil der Erhöhungsanforderung, die auch den Namen, das Gerät und den Dateinamen des Benutzers enthält.

    • Wenn der Benutzer die Anforderung sendet, wechselt sie zum Intune Admin Center, wo ein Intune-Administrator mit Berechtigungen zum Verwalten dieser Anforderungen beschließt, sie zu genehmigen oder zu verweigern.

    Die folgende Abbildung zeigt ein Beispiel für die Dateierweiterungsaufforderung, die Benutzern angezeigt wird:

    Bildschirmaufnahme, die ein Beispiel für die Benutzererweiterungsanforderung anzeigt.

  • Überprüfen von Erhöhungsanforderungen

    Ein Intune-Administrator muss über Berechtigungen zum Anzeigen und Verwalten der Berechtigung "Endpoint Privilege Management Elevation Requests " verfügen, bevor er Rechteerweiterungsanforderungen überprüfen und genehmigen kann.

    Um Anforderungen zu finden und darauf zu reagieren, verwenden diese Administratoren die Registerkarte Anforderungen zur Erhöhung der Endpunktberechtigungen im Admin Center. Da Intune keine Möglichkeit bietet, Administratoren über neue Anforderungen zur Erhöhung zu benachrichtigen, sollten Administratoren planen, die Registerkarte regelmäßig auf ausstehende Anforderungen zu überprüfen.

    Administratoren, die Anforderungen für Rechteerweiterungen verwalten können, können eine Anforderung annehmen oder ablehnen. Sie können auch einen Grund für ihre Entscheidung angeben. Dieser Grund wird Teil des Überwachungsdatensatzes für die Anforderung.

    • Für Genehmigungen: Wenn ein Administrator eine Erhöhungsanforderung genehmigt, sendet Intune eine Richtlinie an das Gerät, auf dem der Benutzer die Anforderung übermittelt hat, wodurch dieser Benutzer die Datei für die nächsten 24 Stunden mit erhöhten Rechten ausführen kann. Dieser Zeitraum beginnt mit dem Zeitpunkt, zu dem der Administrator die Anforderung genehmigt. Es gibt keine aktuelle Unterstützung für einen benutzerdefinierten Zeitraum oder den Abbruch der genehmigten Erhöhung vor Ablauf des 24-Stunden-Zeitraums.

      Sobald die Anforderung genehmigt wurde, benachrichtigt Intune das Gerät und initiiert eine Synchronisierung. Dies kann einige Zeit in Anspruch nehmen. Intune verwendet eine Benachrichtigung auf dem Gerät, um den Benutzer zu warnen, dass er die Datei jetzt erfolgreich mit der Rechtsklickoption Mit erhöhtem Zugriff ausführen kann.

    • Bei Ablehnungen: Intune benachrichtigt den Benutzer nicht. Der Administrator sollte den Benutzer manuell darüber benachrichtigen, dass seine Anforderung abgelehnt wurde.

  • Überwachen von Anforderungen für Rechteerweiterungen

    Ein Intune-Administrator, der über ausreichende Berechtigungen verfügt, kann Informationen zu EPM-Richtlinien wie Erstellung, Bearbeitung und Behandlung von Anforderungen zur Erhöhung in den Intune-Überwachungsprotokollen anzeigen, die unter Überwachungsprotokolle für die Mandantenverwaltung> verfügbarsind.

    Die folgende Bildschirmaufnahme zeigt ein Beispiel für das Überwachungsprotokoll für die Duplizierung einer vom Support genehmigten Erhöhungsrichtlinie, die ursprünglich als Testrichtlinie – Unterstützung genehmigt bezeichnet wurde:

    Abbildung, die einen Überwachungsprotokolleintrag für eine Richtlinie zur Unterstützung genehmigter Rechteerweiterungsregeln anzeigt.

RBAC-Berechtigungen für Rechteerweiterungsanforderungen

Nur Intune-Administratoren, die über die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Intune verfügen, können Rechteerweiterungsanforderungen anzeigen und verwalten:

  • Erhöhungsanforderungen für Die Verwaltung von Endpunktberechtigungen : Diese Berechtigung ist erforderlich, um mit Rechteerweiterungsanforderungen zu arbeiten, die von Benutzern zur Genehmigung übermittelt werden, und unterstützt die folgenden Rechte:

    • Anzeigen von Erhöhungsanforderungen
    • Ändern von Erhöhungsanforderungen

Weitere Informationen zu allen Berechtigungen für die Verwaltung von EPM finden Sie unter Rollenbasierte Zugriffssteuerungen für die Endpunktberechtigungsverwaltung.

Erstellen einer Richtlinie zur Unterstützung genehmigter Dateierweiterungen

Um eine vom Support genehmigte Rechteerweiterungsrichtlinie zu erstellen, verwenden Sie denselben Workflow zum Erstellen anderer EPM-Rechteregelrichtlinien. Weitere Informationen finden Sie unter Windows-Richtlinie für Rechteerweiterungen unter Konfigurieren von Richtlinien für die Verwaltung von Endpunktberechtigungen.

Verwalten ausstehender Rechteerweiterungsanforderungen

Verwenden Sie das folgende Verfahren als Anleitung für die Überprüfung und Verwaltung von Anforderungen zur Erhöhung.

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zur RegisterkarteEndpoint Security Endpoint Privilege Management>Elevation Requests (Erhöhungsanforderungen) für Endpunktsicherheit>.

  2. Auf der Registerkarte Anforderungen für erhöhte Rechte werden ausstehende Anforderungen und Anforderungen der letzten 30 Tage angezeigt. Wenn Sie eine Zeile auswählen, wird geöffnet, in der die Anforderungseigenschaften für erhöhte Rechte eingegeben werden, in denen Sie die Anforderung im Detail überprüfen können.

  3. Die Details der Rechteerweiterungsanforderung enthalten die folgenden Informationen:

    1. Allgemeine Details:

      • Datei : Der Name der Datei, die zur Erhöhung angefordert wurde.
      • Publisher : Der Name des Herausgebers, der die Datei signiert hat, die für die Rechteerweiterung angefordert wurde. Der Name des Herausgebers ist ein Link, der die Zertifikatkette für die Datei zum Herunterladen abruft.
      • Gerät : Das Gerät, von dem die Rechteerweiterung angefordert wurde. Der Gerätename ist ein Link, über den das Geräteobjekt im Admin Center geöffnet wird.
      • Intune-kompatibel : Der Intune-Konformitätsstatus des Geräts.
    2. Anforderungsdetails:

      • Status : Status der Anforderung. Anforderungen beginnen als Ausstehend und können entweder von einem Administrator genehmigt oder abgelehnt werden.
      • By : Das Konto des Administrators, der die Anforderung genehmigt oder abgelehnt hat .
      • Letzte Änderung : Der Zeitpunkt, zu dem der Anforderungseintrag zuletzt geändert wurde.
      • Begründung des Benutzers : Die vom Benutzer für die Berechtigungsanforderung bereitgestellte Begründung.
      • Genehmigungsablauf : Der Zeitpunkt, zu dem die Genehmigung abläuft. Bis diese Ablaufzeit erreicht ist, ist die Rechteerweiterung der genehmigten Datei zulässig.
      • Grund des Administrators : Vom Administrator angegebene Begründung, wenn eine Genehmigung oder Ablehnung abgeschlossen ist.
    3. Dateiinformationen : Einzelheiten der Metadaten für die Datei, die zur Genehmigung angefordert wurde.

    Abbildung, die die Details einer Erhöhungsanforderung anzeigt.

  4. Nachdem ein Administrator eine Anforderung überprüft hat, kann er Genehmigen oder Ablehnen auswählen. Bei beiden Auswahlen wird ihnen das Begründungsdialogfeld angezeigt, in dem sie einen Grund mit Details zu ihrer Entscheidung angeben können. Die Angabe eines Grunds ist optional. Im Folgenden wird das Genehmigungsdialogfeld angezeigt:

    • Für Genehmigungen : Der Administrator schließt das Begründungsdialogfeld ab und wählt dann Ja aus, um die Anforderung zu genehmigen. Intune sendet die Genehmigung an das Gerät, und der Endbenutzer wird über eine Popupbenachrichtigung darüber benachrichtigt, dass er die Rechte für die Anwendung erhöhen kann.

      Der Endbenutzer kann nun die Erhöhungsaktivität abschließen, indem er das Kontextmenü Mit erhöhtem Zugriff ausführen der Datei verwendet.

      Abbildung des Dialogfelds für die Genehmigung der Rechteerweiterung mit einer Beispielgenehmigungsbegründung als Grund

    • Bei Ablehnungen : Der Administrator schließt das Begründungsdialogfeld ab und wählt dann Ja aus, um die Anforderung zu verweigern.

      Wenn ein Administrator eine Genehmigungsanforderung ablehnt, wird die Erhöhungsanforderung nicht genehmigt. Intune sendet keine Antwort an das Gerät, und der Benutzer wird nicht benachrichtigt.

      Abbildung, die das Dialogfeld

Hinweis

Rechteerweiterungsanforderungen enthalten alle Informationen, die erforderlich sind, um bei Bedarf eine Regel zur Erhöhung zu erstellen, einschließlich der vollständigen Zertifikatkette. Unterstützung genehmigter Rechteerweiterungen werden auch in den Nutzungsdaten zur Erhöhung angezeigt, wie alle anderen Anforderungen zur Erhöhung.

Nächste Schritte