Endpoint Privilege Management için ilkeleri yapılandırma

  • Makale

Not

Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Microsoft Intune Endpoint Privilege Management (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.

Endpoint Privilege Management, kuruluşunuzun en az ayrıcalıkla çalışan geniş bir kullanıcı tabanına ulaşmasına yardımcı olarak sıfır güven yolculuğunuzu desteklerken, kullanıcıların kuruluşunuz tarafından izin verilen görevleri çalıştırmasına da olanak tanır.

Bu makaledeki bilgiler, EPM için aşağıdaki ilkeleri ve yeniden kullanılabilir ayarları yapılandırmanıza yardımcı olabilir:

  • Windows yükseltme ayarları ilkesi.
  • Windows yükseltme kuralları ilkesi.
  • Yükseltme kurallarınız için isteğe bağlı yapılandırmalar olan yeniden kullanılabilir ayarlar grupları.

Şunlar için geçerlidir:

  • Windows 10
  • Windows 11

EPM ilkelerini kullanmaya başlama

Endpoint Privilege Management, dosya yükseltme isteğinin nasıl işlendiğini yönetmek için yapılandırdığınız iki ilke türünü kullanır. İlkeler birlikte, standart kullanıcılar yönetim ayrıcalıklarıyla çalışmak istediğinde dosya yükseltmeleri davranışını yapılandırılır.

Uç Nokta Ayrıcalık Yönetimi ilkeleri oluşturabilmeniz için önce kiracınızda EPM'yi Intune eklentisi olarak lisanslamanız gerekir. Lisanslama bilgileri için bkz. Intune Paketi eklenti özelliklerini kullanma.

Windows yükseltme ayarları ilkesi hakkında

Şunları yapmak istediğinizde Windows yükseltme ayarları ilkesini kullanın:

  • Cihazlarda Endpoint Privilege Management'i etkinleştirin. Varsayılan olarak, bu ilke EPM'yi etkinleştirir. EPM için ilk etkinleştirildiğinde, bir cihaz yükseltme isteklerinde kullanım verilerini toplayan ve yükseltme kurallarını zorunlu kılan bileşenleri sağlar.

    Bir cihazda EPM devre dışı bırakılmışsa istemci bileşenleri hemen devre dışı bırakılır. EPM bileşeni tamamen kaldırılmadan önce yedi gün gecikme olur. Gecikme, bir cihazın yanlışlıkla EPM'nin devre dışı bırakılması veya yükseltme ayarları ilkesinin atanmamış olması, EPM'yi geri yükleme süresini azaltmaya yardımcı olur.

  • Varsayılan yükseltme yanıtı - Windows yükseltme kuralı ilkesi tarafından yönetilmemiş herhangi bir dosyanın yükseltme isteği için varsayılan yanıtı ayarlayın. Bu ayarın etkili olması için uygulama için hiçbir kural mevcut değildir VE son kullanıcı Yükseltilmiş erişimle çalıştır sağ tıklama menüsü aracılığıyla açıkça yükseltme istemelidir. Varsayılan olarak, bu seçenek yapılandırılmaz. Hiçbir ayar teslim edilmemişse, EPM bileşenleri yerleşik varsayılan değerlerine geri döner ve bu da tüm istekleri reddetmektir.

    Seçenekler şunlardır:

    • Tüm istekleri reddet - Bu seçenek, Windows yükseltme kuralları ilkesinde tanımlanmayan dosyalar için yükseltme isteği eylemini engeller.
    • Kullanıcı onayı gerektir - Kullanıcı onayı gerektiğinde, Windows yükseltme kuralları ilkesi için bulunan doğrulama seçeneklerinden birini seçebilirsiniz.
    • Destek onayı gerektir - Destek onayı gerektiğinde, yükseltme gerekmeden önce yöneticinin eşleştirme kuralı olmadan yükseltme isteklerini onaylaması gerekir.

    Not

    Varsayılan yanıtlar yalnızca Yükseltilmiş erişimli çalıştır sağ tıklama menüsünden gelen istekler için işlenir.

  • Doğrulama seçenekleri - Varsayılan yükseltme yanıtı Kullanıcı onayı gerektir olarak tanımlandığında doğrulama seçeneklerini ayarlayın.

    Seçenekler şunlardır:

    • İş gerekçesi - Bu seçenek, varsayılan yükseltme yanıtı tarafından kolaylaştırılan bir yükseltmeyi tamamlamadan önce son kullanıcının bir gerekçe sağlamasını gerektirir.
    • Windows kimlik doğrulaması - Bu seçenek, varsayılan yükseltme yanıtı tarafından kolaylaştırılan bir yükseltmeyi tamamlamadan önce son kullanıcının kimlik doğrulamasını gerektirir.

    Not

    Kuruluşun gereksinimlerini karşılamak için birden çok doğrulama seçeneği seçilebilir. Hiçbir seçenek seçilmezse, kullanıcının yükseltmeyi tamamlamak için yalnızca Devam'a tıklaması gerekir.

  • Raporlama için yükseltme verileri gönderme - Bu ayar, cihazınızın tanılama ve kullanım verilerini Microsoft ile paylaşıp paylaşmadığını denetler. Veri paylaşmak için etkinleştirildiğinde, veri türü Raporlama kapsamı ayarı tarafından yapılandırılır.

    Tanılama verileri, EPM istemci bileşenlerinin durumunu ölçmek için Microsoft tarafından kullanılır. Kullanım verileri, kiracınızda gerçekleşen yükseltmeleri göstermek için kullanılır. Veri türleri ve nasıl depolandığı hakkında daha fazla bilgi için bkz. Endpoint Privilege Management için veri toplama ve gizlilik.

    Seçenekler şunlardır:

    • Evet - Bu seçenek , Raporlama Kapsamı ayarına göre verileri Microsoft'a gönderir.
    • Hayır - Bu seçenek Microsoft'a veri göndermez.

  • Raporlama Kapsamı - Bu ayar, Raporlama için yükseltme verileri gönder seçeneği Evet olarak ayarlandığında Microsoft'a gönderilen veri miktarını denetler. Varsayılan olarak, Tanılama verileri ve tüm uç nokta yükseltmeleri seçilir.

    Seçenekler şunlardır:

    • Yalnızca tanılama verileri ve yönetilen yükseltmeler - Bu seçenek, istemci bileşenlerinin durumu ve Uç Nokta Ayrıcalık Yönetimi tarafından kolaylaştırılan yükseltmelerle ilgili veriler hakkında tanılama verilerini Microsoft'a gönderir.
    • Tanılama verileri ve tüm uç nokta yükseltmeleri - Bu seçenek, istemci bileşenlerinin durumu ve uç noktada gerçekleşen tümyükseltmelerle ilgili veriler hakkında tanılama verilerini Microsoft'a gönderir.
    • Yalnızca tanılama verileri - Bu seçenek yalnızca istemci bileşenlerinin durumuyla ilgili tanılama verilerini Microsoft'a gönderir.

Windows yükseltme kuralları ilkesi hakkında

Belirli dosyaların tanımlanmasını ve bu dosyalara yönelik yükseltme isteklerinin nasıl işlenme şeklini yönetmek için Windows yükseltme kuralları ilkesinin profillerini kullanın. Her Windows yükseltme kuralı ilkesi bir veya daha fazla yükseltme kuralı içerir. Yönetilmekte olan dosyayla ilgili ayrıntıları ve yükseltilmesine yönelik gereksinimleri yapılandırdığınız yükseltme kurallarıyla birlikte.

Aşağıdaki dosya türleri desteklenir:

  • veya .msi uzantısına .exe sahip yürütülebilir dosyalar.
  • Uzantılı PowerShell betikleri .ps1 .

Her yükseltme kuralı EPM'ye şu işlemlerin nasıl yapılacağını açıklar:

  • Aşağıdakileri kullanarak dosyayı tanımlayın:

    • Dosya adı (uzantı dahil). Kural ayrıca en düşük derleme sürümü, ürün adı veya iç ad gibi isteğe bağlı koşulları da destekler. Yükseltme denendiğinde dosyayı daha fazla doğrulamak için isteğe bağlı koşullar kullanılır.
    • Sertifika. Sertifikalar doğrudan bir kurala veya yeniden kullanılabilir bir ayarlar grubu kullanılarak eklenebilir. Bir kuralda bir sertifika kullanıldığında, geçerli olması da gerekir. Daha verimli olabilecekleri ve sertifikada gelecekteki bir değişikliği basitleştirebilecekleri için yeniden kullanılabilir ayarlar gruplarının kullanılmasını öneririz. Daha fazla bilgi için bir sonraki Yeniden kullanılabilir ayarlar grupları bölümüne bakın.

  • Dosyayı doğrulayın:

    • Dosya karması. Otomatik kurallar için dosya karması gereklidir. Kullanıcı tarafından onaylanan kurallar için bir sertifika veya dosya karması kullanmayı seçebilirsiniz; bu durumda dosya karması isteğe bağlıdır.
    • Sertifika. Sertifika sağlanmışsa, sertifikayı ve iptal durumunu doğrulamak için Windows API'leri kullanılır.
    • Ek Özellikler. Kurallarda belirtilen ek özellikler eşleşmelidir.

  • Dosya yükseltme türünü yapılandırın. Yükseltme türü, dosya için bir yükseltme isteği yapıldığında ne olacağını tanımlar. Varsayılan olarak, bu seçenek yükseltmeler için önerimiz olan Kullanıcı tarafından onaylandı olarak ayarlanır.

    • Kullanıcı onaylandı (Önerilen): Yükseltmeyi onaylayan bir kullanıcı, her zaman kullanıcının dosyayı çalıştırmak için bir onay istemine tıklamasını gerektirir. Ekleyebileceğiniz daha fazla kullanıcı onayı vardır. Bunlardan biri, kullanıcıların kuruluş kimlik bilgilerini kullanarak kimlik doğrulamasını gerektirir. Başka bir seçenek, kullanıcının bir iş gerekçesi girmesini gerektirir. Gerekçe için girilen metin kullanıcıya ait olsa da, cihaz Windows yükseltme ayarları ilkesinin bir parçası olarak yükseltme verilerini raporlayacak şekilde yapılandırıldığında EPM bunu toplayıp raporlayabilir.
    • Otomatik: Otomatik yükseltme kullanıcıya görünmez bir şekilde gerçekleşir. İstem yoktur ve dosyanın yükseltilmiş bir bağlamda çalıştığına dair bir gösterge yoktur.
    • Destek onaylandı: Bir yöneticinin, uygulamanın yükseltilmiş ayrıcalıklarla çalışmasına izin verilmeden önce eşleşen kuralı olmayan , destek gerektiren yükseltme isteklerini onaylaması gerekir.

  • Alt işlemlerin davranışını yönetin. Yükseltilmiş işlemin oluşturduğu alt işlemler için geçerli olan yükseltme davranışını ayarlayabilirsiniz.

    • Kuralın yükseltebilmesini gerektir - Alt işlemin yükseltilmiş bir bağlamda çalıştırılabilmesi için önce alt işlemleri kendi kuralını gerektirecek şekilde yapılandırın.
    • Tümünü reddet - Tüm alt işlemler yükseltilmiş bağlam olmadan başlatılır.
    • Alt işlemlerin yükseltilmiş olarak çalışmasına izin ver - Alt işlemi her zaman yükseltilmiş çalışacak şekilde yapılandırın.

Not

Güçlü kurallar oluşturma hakkında daha fazla bilgi için Bkz. Endpoint Privilege Management ile yükseltme kuralları oluşturma kılavuzumuz.

EpmTools PowerShell modülünden PowerShell cmdlet'ini de kullanabilirsinizGet-FileAttributes. Bu cmdlet, bir .exe dosyasının dosya özniteliklerini alabilir ve publisher ve CA sertifikalarını belirli bir uygulamanın Yükseltme Kuralı Özelliklerini doldurmak için kullanabileceğiniz belirli bir konuma ayıklayabilir.

Dikkat

Otomatik yükseltmenin düzenli olarak ve yalnızca iş açısından kritik olan güvenilir dosyalar için kullanılmasını öneririz. Son kullanıcılar, söz konusu uygulamanın her lansmanında bu uygulamaları otomatik olarak yükseltecektir.

Yeniden kullanılabilir ayarlar grubu

Endpoint Privilege Management, bu sertifikayı doğrudan bir yükseltme kuralına eklemek yerine sertifikaları yönetmek için yeniden kullanılabilir ayar gruplarının kullanılmasını destekler. Intune için tüm yeniden kullanılabilir ayarlar grupları gibi, yeniden kullanılabilir bir ayarlar grubunda yapılan yapılandırmalar ve değişiklikler de gruba başvuran ilkelere otomatik olarak geçirilir. Birden çok yükseltme kuralındaki dosyaları doğrulamak için aynı sertifikayı kullanmayı planlarken yeniden kullanılabilir bir ayarlar grubu kullanmanızı öneririz. Birden çok yükseltme kuralında aynı sertifikayı kullandığınızda, yeniden kullanılabilir ayar gruplarının kullanımı daha verimlidir:

  • Doğrudan bir yükseltme kuralına eklediğiniz sertifikalar: Bir kurala doğrudan eklenen her sertifika, Intune tarafından benzersiz bir örnek olarak yüklenir ve bu sertifika örneği bu kuralla ilişkilendirilir. Aynı sertifikayı doğrudan iki ayrı kurala eklemek, iki kez karşıya yüklenmesine neden olur. Daha sonra, sertifikayı değiştirmeniz gerekiyorsa, sertifikayı içeren her kuralı tek tek düzenlemeniz gerekir. Her kural değişikliğiyle, Intune güncelleştirilmiş sertifikayı her kural için tek bir kez karşıya yükler.
  • Yeniden kullanılabilir bir ayarlar grubu aracılığıyla yönettiğiniz sertifikalar: Yeniden kullanılabilir bir ayarlar grubuna her sertifika eklendiğinde, Intune söz konusu grubu kaç yükseltme kuralı içerirse içersin sertifikayı tek bir kez karşıya yükler. Ardından sertifikanın bu örneği, söz konusu grubu kullanan her kuraldan dosyayla ilişkilendirilir. Daha sonra, sertifikada yaptığınız tüm değişiklikler yeniden kullanılabilir ayarlar grubunda tek bir kez yapılabilir. Bu değişiklik, Intune'un güncelleştirilmiş dosyayı tek bir kez karşıya yüklemesine ve ardından bu değişikliğin gruba başvuran her yükseltme kuralına uygulanmasına neden olur.

Windows yükseltme ayarları ilkesi

Cihazlarda aşağıdaki seçenekleri yapılandırmak için Windows yükseltme ayarları ilkesini kullanıcılara veya cihazlara dağıtın:

  • Cihazda Endpoint Privilege Management'i etkinleştirin.
  • Bu cihazdaki bir Endpoint Privilege Management yükseltme kuralı tarafından yönetilmemiş herhangi bir dosya için yükseltme istekleri için varsayılan kuralları ayarlayın.
  • EPM'nin Intune'a rapor verdiği bilgileri yapılandırın.

Cihazın bir yükseltme kuralları ilkesini işleyebilmesi veya yükseltme isteklerini yönetebilmesi için önce cihazın EPM desteğini etkinleştiren bir yükseltme ayarları ilkesi olmalıdır. Destek etkinleştirildiğinde klasör, C:\Program Files\Microsoft EPM Agent EPM ilkelerinin işlenmesinden sorumlu EPM Microsoft Agent ile birlikte cihaza eklenir.

Windows yükseltme ayarları ilkesi oluşturma

  1. Microsoft Intune yönetim merkezinde oturum açın ve Uç Nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi'ne> gidin, İlkeler sekmesini > ve ardından İlke Oluştur'u seçin. Platform'u Windows olarak, ProfildenWindows'a yükseltme ayarları ilkesini ayarlayın ve oluştur'u seçin.

  2. Temel Bilgiler'de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. Profilleri daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  3. Yapılandırma ayarlarında, bir cihazdaki yükseltme istekleri için varsayılan davranışları tanımlamak için aşağıdakileri yapılandırın:

    Değerlendirme ayarları yapılandırma sayfasının görüntüsü.

    • Uç Nokta Ayrıcalık Yönetimi: Etkin (varsayılan) olarak ayarlayın. Etkinleştirildiğinde, bir cihaz Endpoint Privilege Management kullanır. Devre Dışı olarak ayarlandığında cihaz Endpoint Privilege Management'ı kullanmaz ve önceden etkinleştirildiyse EPM'yi hemen devre dışı bırakır. Yedi gün sonra cihaz Uç Nokta Ayrıcalık Yönetimi bileşenlerinin sağlamasını kaldıracaktır.

    • Varsayılan yükseltme yanıtı: Bu cihazın doğrudan bir kural tarafından yönetilmeyen dosyalar için yükseltme isteklerini nasıl yöneteceklerini yapılandırın:

      • Yapılandırılmadı: Bu seçenek , Tüm istekleri reddet ile aynı şekilde çalışır.
      • Tüm istekleri reddet: EPM, dosyaların yükseltilmesini kolaylaştırmaz ve kullanıcıya reddetme hakkında bilgi içeren bir açılır pencere gösterilir. Bu yapılandırma, yönetici izinlerine sahip kullanıcıların yönetilmeyen dosyaları çalıştırmak için Yönetici olarak çalıştır'ı kullanmasını engellemez.
      • Destek onayı gerektir: Bu davranış EPM'ye kullanıcıdan destek onaylı bir istek göndermesini istemesini ister.
      • Kullanıcı onayı gerektir: Kullanıcı, dosyayı çalıştırma amacını onaylamak için basit bir istem alır. Doğrulama açılan listesinden daha fazla istem de isteyebilirsiniz:
        • İş gerekçesi: Kullanıcının dosyayı çalıştırmak için bir gerekçe girmesini zorunlu kılar. Bu gerekçe için gerekli biçim yoktur. Kullanıcı girişi kaydedilir ve Raporlama kapsamı uç nokta yükseltmeleri koleksiyonu içeriyorsa günlükler aracılığıyla gözden geçirilebilir.
        • Windows kimlik doğrulaması: Bu seçenek, kullanıcının kuruluş kimlik bilgilerini kullanarak kimlik doğrulamasını gerektirir.

    • Raporlama için yükseltme verileri gönder: Varsayılan olarak, bu davranış Evet olarak ayarlanır. Evet olarak ayarlandığında bir Raporlama kapsamı yapılandırabilirsiniz. Hayır olarak ayarlandığında, cihaz tanılama verilerini veya dosya yükseltmeleri hakkındaki bilgileri Intune'a bildirmez.

    • Raporlama kapsamı: Cihazın Intune'a rapor verdiği bilgi türünü seçin:

      • Tanılama verileri ve tüm uç nokta yükseltmeleri (Varsayılan): Cihaz, tanılama verilerini ve EPM'nin kolaylaştırdığını tüm dosya yükseltmeleri hakkındaki ayrıntıları bildirir.

        Bu bilgi düzeyi, kullanıcıların yükseltilmiş bağlamda çalıştırmak istediği bir yükseltme kuralı tarafından henüz yönetilmeyen diğer dosyaları belirlemenize yardımcı olabilir.

      • Yalnızca tanılama verileri ve yönetilen yükseltmeler: Cihaz, yalnızca bir yükseltme kuralı ilkesi tarafından yönetilen dosyalar için tanılama verilerini ve dosya yükseltmeleri hakkındaki ayrıntıları bildirir. Yönetilmeyen dosyalar için dosya istekleri ve Yönetici olarak çalıştır'ın Windows varsayılan eylemi aracılığıyla yükseltilmiş dosyalar, yönetilen yükseltmeler olarak bildirilmez.

      • Yalnızca tanılama verileri: Yalnızca Endpoint Privilege Management işleminin tanılama verileri toplanır. Dosya yükseltmeleri hakkındaki bilgiler Intune'a bildirilir.

    Hazır olduğunuzda devam etmek için İleri'yi seçin.

  4. Kapsam etiketleri sayfasında, uygulamak istediğiniz kapsam etiketlerini seçin ve ardından İleri'yi seçin.

  5. Atamalar için ilkeyi alan grupları seçin. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama. İleri'yi seçin.

  6. Gözden Geçir ve oluştur için ayarlarınızı gözden geçirin ve oluştur'u seçin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, ilke listesinde de gösterilir.

Windows yükseltme kuralları ilkesi

Uç Nokta Ayrıcalık Yönetimi tarafından yükseltilmeye yönetilen dosyalar için bir veya daha fazla kural dağıtmak üzere kullanıcılara veya cihazlara bir Windows yükseltme kuralları ilkesi dağıtın. Bu ilkeye eklediğiniz her kural:

  • Yükseltme isteklerini yönetmek istediğiniz dosyayı tanımlar.
  • Çalışmadan önce dosyanın bütünlüğünü doğrulamaya yardımcı olacak bir sertifika içerebilir. Daha sonra bir veya daha fazla kural veya ilkeyle kullandığınız bir sertifika içeren yeniden kullanılabilir bir grup da ekleyebilirsiniz.
  • Dosyanın yükseltme türünün otomatik (sessiz) olarak mı yoksa kullanıcı onayı mı gerektirdiğini belirtir. Kullanıcı onayıyla, dosya çalıştırılmadan önce tamamlanması gereken ek kullanıcı eylemleri ekleyebilirsiniz. Bu ilkeye ek olarak, bir cihaza Endpoint Privilege Management'ı etkinleştiren bir Windows yükseltme ayarları ilkesi de atanmalıdır.

Yükseltme kuralları ilkesine eklenen yeni yükseltme kuralları oluşturmak için aşağıdaki yöntemlerden birini kullanın:

  • Yükseltme kurallarını otomatik olarak yapılandırma – Intune'un zaten topladığı dosya algılama ayrıntılarını otomatik olarak doldurarak yükseltme kuralı oluştururken zaman kazanmak için bu yöntemi kullanın. Dosya ayrıntıları, Intune tarafından Yükseltme raporundan veya destek onaylı yükseltme istekleri kaydından tanımlanır.

    Bu yöntemle şunları kullanırsınız:

    • Yükseltme raporundan yükseltme kuralı oluşturmak istediğiniz dosyayı seçin veya onaylanan yükseltme isteğini destekleyin .
    • Yeni yükseltme kuralını mevcut bir yükseltme kuralları ilkesine eklemeyi veya yeni kuralı içeren yeni bir yükseltme kuralları ilkesi oluşturmayı seçin.
      • Mevcut bir ilkeye eklendiğinde, yeni kural atanan ilke grupları tarafından hemen kullanılabilir.
      • Yeni bir ilke oluşturulduğunda, kullanıma sunulmadan önce grupları atamak için bu ilkeyi düzenlemeniz gerekir.

  • Yükseltme kurallarını el ile yapılandırma – Bu yöntem, algılama için kullanmak istediğiniz dosya ayrıntılarını tanımlamanızı ve bunları kural oluşturma iş akışının bir parçası olarak el ile girmenizi gerektirir. Algılama ölçütleri hakkında bilgi için bkz. Endpoint Privilege Management ile kullanılacak kuralları tanımlama.

    Bu yöntemle şunları kullanırsınız:

    • Kullanılacak dosya ayrıntılarını el ile belirleyin ve sonra bunları dosya tanımlaması için yükseltme kuralına ekleyin.
    • İlke oluşturma sırasında ilkeyi kullanmak üzere gruplara atamak da dahil olmak üzere ilkenin tüm yönlerini yapılandırın.

Windows yükseltme kuralları ilkesi için yükseltme kurallarını otomatik olarak yapılandırma

  1. Microsoft Intune yönetim merkezinde oturum açın ve Uç Nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi'ne gidin. Yükseltme kuralında kullanılacak dosyayı seçmek için aşağıdaki başlangıç yollarından birini seçin:

    Bir Rapordan başlayın:

    1. Raporlar sekmesini ve ardından Yükseltme raporu kutucuğunu seçin. Kural oluşturmak istediğiniz dosyayı Dosya sütununda bulun.
    2. Dosyanın bağlı adını seçerek dosyaların Yükseltme ayrıntısı bölmesini açın.

    Destek onaylı bir yükseltme isteğinden başlayın:

    1. Yükseltme isteği sekmesini seçin.

    2. Dosya sütunundan, yükseltme kuralı için kullanmak istediğiniz dosyayı seçin ve bu dosya Yükseltme ayrıntısı bölmesini açar.

      Yükseltme isteğinin durumu önemli değildir. Bekleyen bir istek veya daha önce onaylanmış veya reddedilmiş bir istek kullanabilirsiniz.

  2. Yükseltme ayrıntıları bölmesinde dosya ayrıntılarını gözden geçirin. Bu bilgiler, yükseltme kuralı tarafından doğru dosyayı tanımlamak için kullanılır. Hazır olduğunuzda , Bu dosya ayrıntılarını içeren bir kural oluştur'u seçin.

    Yükseltme raporundan seçilen bir dosyanın yönetim merkezi kullanıcı arabiriminden görüntü.

  3. Oluşturduğunuz yeni yükseltme kuralı için bir ilke seçeneği belirleyin:

    Yeni ilke oluşturma:
    Bu seçenek, seçtiğiniz dosya için bir yükseltme kuralı içeren yeni bir ilke oluşturur.

    1. Kural için Tür ve Alt işlem davranışını yapılandırın ve ardından tamam'ı seçerek ilkeyi oluşturun.
    2. İstendiğinde, yeni ilke için bir İlke adı sağlayın ve yeni ve atanmamış bir yükseltme kuralları ilkesi olacak ilkenin oluşturulmasını onaylayın.
    3. İlke oluşturulduktan sonra ilkeyi düzenleyerek atayabilir ve gerekirse ek yapılandırmalar ekleyebilirsiniz.

    Var olan bir ilkeye ekle:
    Bu seçenekle, açılan listeyi kullanın ve yeni yükseltme kuralının eklendiği mevcut bir yükseltme ilkesini seçin.

    1. Kural için, yükseltme Türü ve Alt işlem davranışını yapılandırın ve ardından Tamam'ı seçin. İlke yeni kuralla güncelleştirilir.
    2. Kural ilkeye eklendikten sonra, kurala erişim kazanmak için ilkeyi düzenleyebilir ve gerekirse ek yapılandırmalar yapmak için değiştirebilirsiniz.

    Kural oluşturma bölmesinin yönetim merkezi kullanıcı arabiriminden görüntü.

Windows yükseltme kuralları ilkesi için yükseltme kurallarını el ile yapılandırma

  1. Microsoft Intune yönetim merkezinde oturum açın ve Uç Nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi'ne> gidin, İlkeler sekmesini > ve ardından İlke Oluştur'u seçin. Platform'u Windows olarak, ProfildenWindows'a yükseltme kuralları ilkesini ayarlayın ve oluştur'u seçin.

  2. Temel Bilgiler'de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. Profilleri daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  3. Yapılandırma ayarları'nda, bu ilkenin yönettiği her dosya için bir kural ekleyin. Yeni bir ilke oluşturduğunuzda, ilke başlatılırken kullanıcı tarafından onaylanan ve kural adı olmayan bir yükseltme türüne sahip boş bir kural bulunur. Bu kuralı yapılandırarak başlayın ve daha sonra Ekle'yi seçerek bu ilkeye daha fazla kural ekleyebilirsiniz. Eklediğiniz her yeni kuralın kullanıcı tarafından onaylanan bir yükseltme türü vardır ve bu tür kural yapılandırıldığında değiştirilebilir.

    Yeni bir yükseltme kuralları ilkesinin yönetim merkezi kullanıcı arabiriminden görüntü.

    Kuralı yapılandırmak için Örneği düzenle'yi seçerek Kural özellikleri sayfasını açın ve aşağıdakileri yapılandırın:

    Yükseltme kuralları özelliklerinin görüntüsü.

    • Kural adı: Kural için açıklayıcı bir ad belirtin. Kurallarınızı daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz.
    • Açıklama (İsteğe bağlı): Profil için bir açıklama girin.

    Yükseltme koşulları , bir dosyanın nasıl çalıştığını tanımlayan koşullardır ve bu kuralın geçerli olduğu dosya çalıştırılmadan önce karşılanması gereken kullanıcı doğrulamaları çalıştırılabilir.

    • Yükseltme türü: Varsayılan olarak, bu seçenek çoğu dosya için önerdiğimiz yükseltme türü olan Kullanıcı tarafından onaylandı olarak ayarlanır.

      • Kullanıcı onaylandı: Çoğu kural için bu seçeneği öneririz. Bir dosya çalıştırıldığında, kullanıcı dosyayı çalıştırma amacını onaylamak için basit bir istem alır. Kural, Doğrulama açılan listesinde bulunan diğer istemleri de içerebilir:

        • İş gerekçesi: Kullanıcının dosyayı çalıştırmak için bir gerekçe girmesini zorunlu kılar. Giriş için gerekli biçim yok. Kullanıcı girişi kaydedilir ve Raporlama kapsamı uç nokta yükseltmeleri koleksiyonunu içeriyorsa günlükler aracılığıyla gözden geçirilebilir.
        • Windows kimlik doğrulaması: Bu seçenek, kullanıcının kuruluş kimlik bilgilerini kullanarak kimlik doğrulamasını gerektirir.

      • Otomatik: Bu yükseltme türü, söz konusu dosyayı otomatik olarak yükseltilmiş izinlerle çalıştırır. Otomatik yükseltme, onay istemeden veya kullanıcı tarafından gerekçe veya kimlik doğrulaması gerektirmeden kullanıcı için saydamdır.

        Dikkat

        Yalnızca güvendiğiniz dosyalar için otomatik yükseltme kullanın. Bu dosyalar kullanıcı etkileşimi olmadan otomatik olarak yükseltilecektir. İyi tanımlanmamış kurallar, onaylanmamış uygulamaların yükseltilmelerine izin verebilir. Güçlü kurallar oluşturma hakkında daha fazla bilgi için kural oluşturma yönergelerine bakın.

      • Destek onaylandı: Bu yükseltme türü, yükseltmenin tamamlanmasına izin verilmeden önce bir yöneticinin isteği onaylamasını gerektirir. Daha fazla bilgi için bkz . Destek onaylı yükseltme istekleri.

        Önemli

        Dosyalar için destek onaylı yükseltme kullanımı, ek izinlere sahip yöneticilerin cihazdaki yönetici izinlerine sahip dosyadan önce her bir dosya yükseltme isteğini gözden geçirmesini ve onaylamasını gerektirir. Destek onaylı yükseltme türünü kullanma hakkında bilgi için bkz. Endpoint Privilege Management için onaylı dosya yükseltmelerini destekleme.

    • Alt işlem davranışı: Varsayılan olarak, bu seçenek Kuralın yükselt olmasını gerektir olarak ayarlanır ve bu da alt işlemin bunu oluşturan işlemle aynı kuralla eşleşmesini gerektirir. Diğer seçenekler şunlardır:

      • Tüm alt işlemlerin yükseltilmiş olarak çalışmasına izin ver: Uygulamaların koşulsuz olarak alt işlemler oluşturmasına izin verdiğinden bu seçenek dikkatli kullanılmalıdır.
      • Tümünü reddet: Bu yapılandırma tüm alt işlemlerin oluşturulmasını engeller.

    Dosya bilgileri , bu kuralın geçerli olduğu bir dosyayı tanımlayan ayrıntıları belirttiğiniz yerdir.

    • Dosya adı: Dosya adını ve uzantısını belirtin. Örneğin: myapplication.exe

    • Dosya yolu (İsteğe bağlı): Dosyanın konumunu belirtin. Dosya herhangi bir konumdan çalıştırılabilirse veya bilinmiyorsa, bunu boş bırakabilirsiniz. Değişken de kullanabilirsiniz.

    • İmza kaynağı: Aşağıdaki seçeneklerden birini belirleyin:

      • Yeniden kullanılabilir ayarlarda bir sertifika dosyası kullanın (Varsayılan): Bu seçenek, Endpoint Privilege Management için yeniden kullanılabilir ayarlar grubuna eklenmiş bir sertifika dosyası kullanır. Bu seçeneği kullanabilmeniz için önce yeniden kullanılabilir bir ayarlar grubu oluşturmanız gerekir.

        Sertifikayı tanımlamak için Sertifika ekle veya kaldır'ı seçin ve ardından doğru sertifikayı içeren yeniden kullanılabilir grubu seçin. Ardından, Yayımcı veya Sertifika yetkilisinin Sertifikatürünü belirtin.

      • Sertifika dosyasını karşıya yükleme: Doğrudan yükseltme kuralına bir sertifika dosyası ekleyin. Dosya yükleme için, bu kuralın geçerli olduğu dosyanın bütünlüğünü doğrulayan bir .cer dosyası belirtin. Ardından, Yayımcı veya Sertifika yetkilisinin Sertifikatürünü belirtin.

      • Yapılandırılmadı: Dosyanın bütünlüğünü doğrulamak için sertifika kullanmak istemiyorsanız bu seçeneği kullanın. Sertifika kullanılmadığında bir dosya karması sağlamanız gerekir.

    • Dosya karması: İmza kaynağı Yapılandırılmadı olarak ayarlandığında dosya karması gereklidir ve sertifika kullanmak üzere ayarlandığında isteğe bağlıdır.

    • En düşük sürüm: (İsteğe bağlı) Bu kural tarafından desteklenen dosyanın en düşük sürümünü belirtmek için x.x.x.x biçimini kullanın.

    • Dosya açıklaması: (İsteğe bağlı) Dosyanın açıklamasını sağlayın.

    • Ürün adı: (İsteğe bağlı) Dosyanın ait olduğu ürünün adını belirtin.

    • İç ad: (İsteğe bağlı) Dosyanın iç adını belirtin.

    Kural yapılandırmasını kaydetmek için Kaydet'i seçin. Daha sonra Daha fazla kural ekleyebilirsiniz . Bu ilkenin gerektirdiği tüm kuralları ekledikten sonra devam etmek için İleri'yi seçin.

  4. Kapsam etiketleri sayfasında, uygulamak istediğiniz kapsam etiketlerini seçin ve ardından İleri'yi seçin.

  5. Atamalar için ilkeyi alan grupları seçin. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama. İleri'yi seçin.

  6. Gözden geçir + oluştur bölümünde ayarlarınızı gözden geçirin ve oluştur'u seçin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, ilke listesinde de gösterilir.

Yeniden kullanılabilir ayarlar grupları

Endpoint Privilege Management, yönettiğiniz dosyaları Endpoint Privilege Management yükseltme kurallarıyla doğrulayan sertifikaları yönetmek için yeniden kullanılabilir ayar gruplarını kullanır. Intune için tüm yeniden kullanılabilir ayarlar grupları gibi, yeniden kullanılabilir bir grupta yapılan değişiklikler de gruba başvuran ilkelere otomatik olarak geçirilir. Dosya doğrulaması için kullandığınız sertifikayı güncelleştirmeniz gerekiyorsa, bunu yalnızca yeniden kullanılabilir ayarlar grubunda tek bir kez güncelleştirmeniz gerekir. Intune, güncelleştirilmiş sertifikayı bu grubu kullanan tüm yükseltme kurallarınıza uygular.

Endpoint Privilege Management için yeniden kullanılabilir ayarlar grubunu oluşturmak için:

  1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi'ne> gidin, Yeniden kullanılabilir ayarlar (önizleme) sekmesini > ve ardından Ekle'yi seçin.

    Yeniden kullanılabilir bir ayarlar grubu eklemek için kullanıcı arabiriminin ekran görüntüsü.

  2. Temel Bilgiler'de aşağıdaki özellikleri girin:

    • Ad: Yeniden kullanılabilir grup için açıklayıcı bir ad girin. Grupları adlandırarak daha sonra kolayca tanımlayabilmenizi sağlayın.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  3. Yapılandırma ayarları'ndaSertifika dosyası için klasör simgesini seçin ve öğesine gidin. BU yeniden kullanılabilir gruba eklemek için CER dosyası. Temel 64 değer alanı seçilen sertifikaya göre doldurulur.

    Sertifikaya göz atmak için kullanıcı arabiriminin ekran görüntüsü.

  4. Gözden geçir + oluştur bölümünde ayarlarınızı gözden geçirin ve Ekle'yi seçin. Ekle'yi seçtiğinizde, yapılandırmanız kaydedilir ve ardından Grup, Uç Nokta Ayrıcalık Yönetimi için yeniden kullanılabilir ayarlar grup listesinde gösterilir.

Uç Nokta Ayrıcalık Yönetimi için ilke çakışması işleme

Aşağıdaki durumlar dışında, EPM için çakışan ilkeler diğer ilke çakışmaları gibi işlenir.

Windows yükseltme ayarları ilkesi:

Bir cihaz çakışan değerlerle iki ayrı yükseltme ayarı ilkesi aldığında, çakışma çözülene kadar EPM istemcisi varsayılan istemci davranışına geri döner.

Not

Uç Nokta Ayrıcalık Yönetimini Etkinleştir çakışıyorsa, istemcinin varsayılan davranışı EPM'yi etkinleştir'dir. Bu, cihaza açık bir değer teslim edilene kadar istemci bileşenlerinin çalışmaya devam edeceği anlamına gelir.

Windows yükseltme kuralları ilkesi:

Bir cihaz aynı uygulamayı hedefleyen iki kural alırsa, her iki kural da cihazda tüketilir. EPM, bir yükseltmeye uygulanan kuralları çözümlemeye gittiğinde aşağıdaki mantığı kullanır:

  • Kullanıcıya dağıtılan kurallar, cihaza dağıtılan kurallardan önceliklidir.
  • Karma tanımlı kurallar her zaman en özel kural olarak kabul edilir.
  • Birden fazla kural uygulanırsa (karma tanımlanmamışsa), en tanımlı özniteliklere sahip kural kazanır (en özel).
  • Devam mantığının uygulanması birden çok kuralla sonuçlanırsa, yükseltme davranışını aşağıdaki sırayla belirler: Kullanıcı Onaylandı, Destek Onaylandı ve ardından Otomatik.

Not

Yükseltme için bir kural yoksa ve yükseltilmiş erişimle çalıştır sağ tıklama bağlam menüsü aracılığıyla bu yükseltme istendiyse, Varsayılan Yükseltme Davranışı kullanılır.

Sonraki adımlar