Endpoint Privilege Management için onaylı dosya yükseltmelerini destekleme

  • Makale

Not

Bu özellik bir Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

Microsoft Intune Endpoint Privilege Management (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.

Bu makalede, Endpoint Privilege Management ile destek onaylı iş akışının nasıl kullanılacağı açıklanmaktadır.

Destek onaylı yükseltmeler, yükseltmeye izin verilmeden önce onay gerektirmenizi sağlar. Yükseltme kuralının bir parçası olarak veya varsayılan istemci davranışı olarak destek onaylı işlevselliği kullanabilirsiniz. Gönderilen istekler, Intune yöneticilerinin isteği büyük/küçük harf temelinde onaylamasını gerektirir.

Kullanıcı yükseltilmiş bağlamda bir dosyayı çalıştırmayı denediğinde ve bu dosya destek onaylı dosya yükseltme türüyle yönetildiğinde, Intune kullanıcıya yükseltme isteği göndermesi için bir istem gösterir. Yükseltme isteği daha sonra intune yöneticisi tarafından gözden geçirilmesi için Intune'a gönderilir. Yönetici yükseltme isteğini onayladığında, cihazdaki kullanıcıya bildirim gönderilir ve dosya daha sonra yükseltilmiş bağlamda çalıştırılabilir. İstekleri onaylamak için Intune yöneticisinin hesabının gözden geçirme ve onay görevine özgü ek izinlere sahip olması gerekir.

Şunlar için geçerlidir:

  • Windows 10
  • Windows 11

Destek onaylı yükseltmeler hakkında

Daha yüksek erişimle çalıştırılabilmesi için önce yönetici onayına ihtiyaç duyan dosyalar için destek onaylı yükseltme türüyle EPM ilkelerini kullanın. Diğer EPM yükseltme kurallarına benzerler, ancak ek planlama gerektiren bazı farklılıkları vardır.

İpucu

Üç yükseltme türünü ve diğer ilke seçeneklerini gözden geçirmek için bkz. Windows yükseltme kuralları ilkesi.

Aşağıdaki konular, destek onaylı yükseltme türünü kullandığınızda planlamanız ve beklemeniz gereken ayrıntılardır:

  • Yükseltme istekleri

    Bir kullanıcı, yükseltilmiş erişimle çalıştır sağ tıklama seçeneğine sahip bir dosya çalıştırdığında ve bu dosya destek onaylı bir yükseltme kuralıyla ilke tarafından yönetildiğinde, Intune kullanıcıya Intune yönetim merkezine yükseltme isteği gönderme istemi gösterir.

    • İstem, kullanıcının yükseltme için bir iş nedeni girmesini sağlar. Bu neden, kullanıcının adını, cihazını ve dosya adını da içeren yükseltme isteğinin bir parçası haline gelir.

    • Kullanıcı isteği gönderdiğinde, intune yönetim merkezine gider ve bu istekleri yönetme izinleri olan bir Intune yöneticisi bu isteği onaylamaya veya reddetmeye karar verir.

    Aşağıdaki görüntüde, kullanıcıların karşılaştığı dosya yükseltme isteminin bir örneği gösterilmektedir:

    Kullanıcı yükseltme isteği isteminin bir örneğini görüntüleyen ekran görüntüsü.

  • Yükseltme isteklerini gözden geçirme

    Bir Intune yöneticisinin yükseltme isteklerini gözden geçirebilmesi ve onayabilmesi için önce Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri iznini görüntüleme ve yönetme haklarına sahip olması gerekir.

    Bu yöneticiler, istekleri bulmak ve yanıtlamak için yönetim merkezindeki Uç Nokta Ayrıcalık Yönetimi sayfasının Yükseltme istekleri sekmesini kullanır. Intune'un yeni yükseltme istekleri hakkında yöneticileri bilgilendirmek için bir yolu olmadığından, yöneticiler bekleyen istekler için sekmeyi düzenli olarak denetlemeyi planlamalıdır.

    Yükseltme isteklerini yönetebilen yöneticiler bir isteği kabul edebilir veya reddedebilir. Ayrıca, karar vermeleri için bir neden de sağlayabilirler. Bu neden, isteğin denetim kaydının bir parçası haline gelir.

    • Onaylar için: Yönetici bir yükseltme isteğini onayladığında, Intune kullanıcının isteği gönderdiği cihaza bir ilke gönderir ve bu da kullanıcının dosyayı sonraki 24 saat boyunca yükseltilmiş olarak çalıştırmasına olanak tanır. Bu süre, yöneticinin isteği onaylaması sırasında başlar. 24 saatlik süre dolmadan önce özel bir zaman aralığı veya onaylanan yükseltmenin iptali için geçerli destek yoktur.

      İstek onaylandıktan sonra Intune cihaza bildirir ve eşitleme başlatır. Bu biraz zaman alabilir. Intune, kullanıcıyı yükseltilmiş erişimle çalıştır sağ tıklama seçeneğiyle dosyayı başarıyla çalıştırabileceği konusunda uyarmak için cihazda bir bildirim kullanır.

    • Reddetmeler için: Intune kullanıcıyı bilgilendirmez. Yöneticinin kullanıcıya isteğinin reddedildiğini el ile bildirmesi gerekir.

  • Yükseltme istekleri için denetim

    Yeterli izinlere sahip bir Intune yöneticisi, Kiracı yönetimi>Denetim günlüklerinde bulunan Intune Denetim günlüklerinde oluşturma, düzenleme ve yükseltme isteklerini işleme gibi EPM ilkesi hakkındaki bilgileri görüntüleyebilir.

    Aşağıdaki ekran görüntüsünde, başlangıçta Test ilkesi - destek onaylı olarak adlandırılan Destek onaylı yükseltme ilkesinin çoğaltılması için denetim günlüğü örneği gösterilmektedir:

    Destek onaylı yükseltme kuralları ilkesi için bir denetim günlüğü girdisi görüntüleyen görüntü.

Yükseltme istekleri için RBAC izinleri

Yükseltme onayları için gözetim sağlamak için yalnızca Intune'da aşağıdaki rol tabanlı erişim denetimi (RBAC) izinlerine sahip Intune yöneticileri yükseltme isteklerini görüntüleyebilir ve yönetebilir:

  • Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri - Bu izin, kullanıcılar tarafından onay için gönderilen yükseltme istekleriyle çalışmak için gereklidir ve aşağıdaki hakları destekler:

    • Yükseltme isteklerini görüntüleme
    • Yükseltme isteklerini değiştirme

EPM'yi yönetmeye yönelik tüm izinler hakkında daha fazla bilgi için bkz. Endpoint Privilege Management için rol tabanlı erişim denetimleri.

Destek onaylı dosya yükseltmeleri için ilke oluşturma

Destek onaylı yükseltme ilkesi oluşturmak için, diğer EPM yükseltme kuralı ilkelerini oluşturmak için aynı iş akışını kullanın. Uç Nokta Ayrıcalık Yönetimi için ilkeleri yapılandırma bölümündeki Windows yükseltme kuralları ilkesi bölümüne bakın.

Bekleyen yükseltme isteklerini yönetme

Yükseltme isteklerini gözden geçirmek ve yönetmek için aşağıdaki yordamı kullanın.

  1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi>Yükseltme istekleri sekmesine gidin.

  2. Yükseltme istekleri sekmesi, son 30 güne aitbekleyen istekleri ve istekleri gösterir. Bir satır seçildiğinde, isteği ayrıntılı olarak gözden geçirebileceğiniz yükseltme isteği özelliklerine girişler açılır.

  3. Yükseltme isteği ayrıntıları aşağıdaki bilgileri içerir:

    1. Genel ayrıntılar:

      • File - Yükseltme için istenen dosyanın adı.
      • Publisher - Yükseltme için istenen dosyayı imzalayan yayımcının adı. Yayımcının adı, indirme için dosyanın sertifika zincirini alan bir bağlantıdır.
      • Cihaz - Yükseltmenin istendiği cihaz. Cihaz adı, cihaz nesnesini yönetim merkezinde açan bir bağlantıdır.
      • Intune uyumlu - Cihazın Intune uyumluluk durumu.

    2. İstek ayrıntıları:

      • Durum - İsteğin durumu. İstekler Beklemede olarak başlar ve bir yönetici tarafından onaylanabilir veya reddedilebilir .
      • By - İsteği onaylayan veya reddeden yöneticinin hesabı.
      • Son değiştirme - İstek girişinin en son değiştirildiği zaman.
      • Kullanıcının gerekçesi - Yükseltme isteği için kullanıcı tarafından sağlanan gerekçe.
      • Onay süre sonu - Onay süresinin dolma zamanı. Bu süre sonu süresine ulaşılana kadar, onaylanan dosyanın yükseltilmesine izin verilir.
      • Yöneticinin nedeni - Onay veya reddetme tamamlandığında yönetici tarafından sağlanan gerekçe.

    3. Dosya bilgileri - Onay için istenen dosyanın meta verilerinin özellikleri.

    Bir yükseltme isteğinin ayrıntılarını görüntüleyen görüntü.

  4. Yönetici bir isteği gözden geçirmenin ardından Onayla veya Reddet'i seçebilir. Her iki seçimde de, kararlarıyla ilgili ayrıntıları içeren bir Neden sağlayabilecekleri gerekçe iletişim kutusu gösterilir. Bir neden sağlamak isteğe bağlıdır. Onay iletişim kutusu aşağıda görüntülenir:

    • Onaylar için - Yönetici gerekçe iletişim kutusunu tamamlar ve ardından isteği onaylamak için Evet'i seçer. Intune, cihaza onay gönderir ve son kullanıcıya uygulamayı yükseltebileceğine dair bildirim yoluyla bildirim gönderilir.

      Son kullanıcı artık dosyanın Yükseltilmiş erişimle çalıştır sağ tıklama menüsünü kullanarak yükseltme etkinliğini tamamlayabilir.

      Neden olarak sağlanan örnek onay gerekçesiyle yükseltme onayı iletişim kutusunu görüntüleyen görüntü

    • Reddetmeler için - Yönetici gerekçe iletişim kutusunu tamamlar ve ardından isteği reddetmek için Evet'i seçer.

      Bir yönetici onay isteğini reddettiyse, yükseltme isteği onaylanmamıştır. Intune cihaza yanıt göndermez ve kullanıcıya bildirilmez.

      Örnek onay gerekçesi sağlanmadan yükseltme reddi iletişim kutusunu görüntüleyen görüntü

Not

Yükseltme istekleri, gerekirse, tam sertifika zinciri de dahil olmak üzere bir yükseltme kuralı oluşturmak için gereken tüm bilgileri içerir. Destek onaylı yükseltmeler, diğer tüm yükseltme istekleri gibi yükseltme kullanım verilerinde de gösterilir.

Sonraki adımlar