Suporte para elevações de ficheiros aprovadas para o Endpoint Privilege Management

Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnósticos do Windows.

Este artigo explica como utilizar o fluxo de trabalho aprovado pelo suporte com a Gestão de Privilégios de Ponto Final.

As elevações aprovadas de suporte permitem-lhe exigir aprovação antes de uma elevação ser permitida. Pode utilizar a funcionalidade aprovada de suporte como parte de uma regra de elevação ou como comportamento predefinido do cliente. Os pedidos submetidos exigem que os administradores do Intune aprovem o pedido caso a caso.

Quando um utilizador tenta executar um ficheiro num contexto elevado e esse ficheiro é gerido pelo tipo de elevação de ficheiro aprovado pelo suporte , o Intune mostra um pedido ao utilizador para submeter um pedido de elevação. Em seguida, o pedido de elevação é enviado para o Intune para revisão por um administrador do Intune. Quando um administrador aprova o pedido de elevação, o utilizador no dispositivo é notificado e o ficheiro pode ser executado no contexto elevado. Para aprovar pedidos, a conta do administrador do Intune tem de ter permissões adicionais específicas da tarefa de revisão e aprovação.

Aplicável a:

• Windows 10
• Windows 11

Acerca das elevações aprovadas pelo suporte

Utilize políticas EPM com o tipo de elevação aprovado pelo suporte para ficheiros que precisam da aprovação de um administrador antes de poderem ser executados com acesso superior. São semelhantes a outras regras de elevação do EPM, mas têm algumas diferenças que precisam de planeamento adicional.

Os seguintes assuntos são detalhes a planear e esperar quando utiliza o tipo de elevação aprovado pelo suporte:

• Solicitações de elevação

  Quando um utilizador executa um ficheiro com a opção de contexto Executar com acesso elevado e esse ficheiro é gerido pela política com uma regra de elevação aprovada pelo suporte , o Intune mostra ao utilizador um pedido de envio de um pedido de elevação para o centro de administração do Intune.

  • O pedido permite que o utilizador introduza um motivo comercial para a elevação. Este motivo torna-se parte do pedido de elevação, que também contém o nome do utilizador, o dispositivo e o nome do ficheiro.

  • Quando o utilizador envia o pedido, este é enviado para o centro de administração do Intune onde um administrador do Intune com permissões para gerir estes pedidos decide aprová-lo ou negá-lo.

  A imagem seguinte mostra um exemplo do pedido de elevação de ficheiros que os utilizadores experimentam:

  

• Revisão dos pedidos de elevação

  Um administrador do Intune tem de ter direitos de visualização e gestão para a permissão Pedidos de Elevação do Endpoint Privilege Management antes de poder rever e aprovar pedidos de elevação.

  Para localizar e responder a pedidos, estes administradores utilizam o separador Pedidos de elevação da página Endpoint Privilege Management no centro de administração. Uma vez que o Intune não tem uma forma de notificar os administradores sobre novos pedidos de elevação, os administradores devem planear verificar o separador regularmente quanto a pedidos pendentes.

  Os administradores que podem gerir pedidos de elevação podem aceitar ou rejeitar um pedido. Também podem fornecer uma razão para a sua decisão. Este motivo torna-se parte do registo de auditoria do pedido.

  • Para aprovações: quando um administrador aprova um pedido de elevação, o Intune envia uma política para o dispositivo onde o utilizador submeteu o pedido, o que permite que esse utilizador execute o ficheiro como elevado durante as próximas 24 horas. Este período começa no momento em que o administrador aprova o pedido. Não existe suporte atual para um período de tempo personalizado ou cancelamento da elevação aprovada antes do período de 24 horas expirar.

    Assim que o pedido for aprovado, o Intune notifica o dispositivo e inicia uma sincronização. Esta ação pode demorar algum tempo. O Intune utiliza uma notificação no dispositivo para alertar o utilizador de que pode agora executar o ficheiro com êxito com a opção Executar com acesso elevado ao clique com o botão direito do rato.

  • Para denials: o Intune não notifica o utilizador. O administrador deve notificar manualmente o utilizador de que o pedido foi negado.

• Auditoria para pedidos de elevação

  Um administrador do Intune que tenha permissões suficientes pode ver informações sobre a política EPM, como a criação, edição e processamento de pedidos de elevação nos registos de Auditoria do Intune, disponíveis nos Registos de auditoria da administração> deinquilinos.

  A captura de ecrã seguinte mostra um exemplo do registo de auditoria para a duplicação de uma política de elevação aprovada pelo Suporte , originalmente denominada Política de teste – suporte aprovado:

  

Permissões RBAC para pedidos de elevação

Para fornecer supervisão para aprovações de elevação, apenas os administradores do Intune que tenham as seguintes permissões de controlo de acesso baseado em funções (RBAC) no Intune podem ver e gerir pedidos de elevação:

• Pedidos de Elevação do Endpoint Privilege Management – esta permissão é necessária para trabalhar com pedidos de elevação submetidos pelos utilizadores para aprovação e suporta os seguintes direitos:

  • Ver pedidos de elevação
  • Modificar pedidos de elevação

Para obter mais informações sobre todas as permissões para gerir o EPM, veja Controlos de acesso baseados em funções para a Gestão de Privilégios de Ponto Final.

Criar política para elevações de ficheiros aprovadas pelo suporte

Para criar uma política de elevação aprovada pelo suporte, utilize o mesmo fluxo de trabalho para criar outras políticas de regra de elevação EPM. Veja Política de regras de elevação do Windows em Configurar políticas para a Gestão de Privilégios de Ponto Final.

Gerir pedidos de elevação pendentes

Utilize o seguinte procedimento como documentação de orientação para rever e gerir pedidos de elevação.

1. Inicie sessão no centro de administração do Microsoft Intune e aceda ao separador Endpoint security EndpointPrivilege ManagementElevation requests (Pedidos de Elevação de Privilégiosde Endpoint> security>).

2. O separador Pedidos de elevação mostra pedidos e pedidos pendentesdos últimos 30 dias. A seleção de uma linha abre as propriedades do pedido de elevação de entradas, onde pode rever o pedido em detalhe.

3. Os detalhes do pedido de elevação incluem as seguintes informações:

   1. Detalhes gerais:

      • Ficheiro – o nome do ficheiro que foi pedido para elevação.
      • Publisher – o nome do publicador que assinou o ficheiro que foi pedido para elevação. O nome do publicador é uma ligação que obtém a cadeia de certificados do ficheiro para transferência.
      • Dispositivo – o dispositivo a partir do qual a elevação foi pedida. O nome do dispositivo é uma ligação que abre o objeto do dispositivo no centro de administração.
      • Compatível com o Intune – o estado de conformidade do Intune do dispositivo.

   2. Detalhes do pedido:

      • Status - Estado do pedido. Os pedidos começam como Pendentes e podem ser aprovados ou negados por um administrador.
      • Por - A conta do administrador que aprovou ou negou o pedido.
      • Última modificação – a última vez que a entrada do pedido foi modificada.
      • Justificação do utilizador – a justificação fornecida pelo utilizador para o pedido de elevação.
      • Expiração da aprovação – a hora em que a aprovação expira. Até que este tempo de expiração seja atingido, a elevação do ficheiro aprovado é permitida.
      • Motivo do administrador – justificação fornecida pelo administrador quando uma aprovação ou negação é concluída.

   3. Informações de ficheiro – especificações dos metadados do ficheiro que foi pedido para aprovação.

   

4. Depois de um administrador rever um pedido, pode selecionar Aprovar ou Negar. Com qualquer uma das seleções, é-lhes apresentada a caixa de diálogo de justificação onde podem fornecer um Motivo com detalhes sobre a sua decisão. Fornecer um motivo é opcional. O seguinte apresenta a caixa de diálogo de aprovação:

   • Para aprovações – o administrador conclui a caixa de diálogo de justificação e, em seguida, seleciona Sim para aprovar o pedido. O Intune envia a aprovação para o dispositivo e o utilizador final é notificado através de uma notificação de alerta de que consegue elevar a aplicação.

     O utilizador final pode agora concluir a atividade de elevação com o menu de contexto Executar com acesso elevado do ficheiro.

     

   • Para denials – o administrador conclui a caixa de diálogo de justificação e, em seguida, seleciona Sim para negar o pedido.

     Quando um administrador nega um pedido de aprovação, o pedido de elevação não é aprovado. O Intune não envia uma resposta para o dispositivo e o utilizador não é notificado.

     

Próximas etapas

• Documentação de orientação para criar Regras de Elevação
• Configurar políticas para a Gestão de Privilégios de Ponto Final
• Relatórios para a Gestão de Privilégios de Ponto Final
• Recolha de dados e privacidade para o Endpoint Privilege Management
• Considerações de implementação e perguntas mais frequentes