Endpoint Privilege Management için onaylı dosya yükseltmelerini destekleme

Microsoft Intune Uç Nokta Ayrıcalık Yönetimi (EPM) ile kuruluşunuzun kullanıcıları standart kullanıcı olarak (yönetici hakları olmadan) çalışabilir ve yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlayabilir. Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.

Bu makalede, Endpoint Privilege Management ile destek onaylı iş akışının nasıl kullanılacağı açıklanmaktadır.

Destek onaylı yükseltmeler, yükseltmeye izin verilmeden önce onay gerektirmenizi sağlar. Yükseltme kuralının bir parçası olarak veya varsayılan istemci davranışı olarak destek onaylı işlevselliği kullanabilirsiniz. Gönderilen istekler, Intune yöneticilerin isteği büyük/küçük harf temelinde onaylamasını gerektirir.

Kullanıcı yükseltilmiş bağlamda bir dosyayı çalıştırmaya çalıştığında ve bu dosya destek onaylı dosya yükseltme türüyle yönetildiğinde, Intune kullanıcıya yükseltme isteği göndermesi için bir istem gösterir. Yükseltme isteği daha sonra bir Intune yöneticisi tarafından gözden geçirilmesi için Intune gönderilir. Yönetici yükseltme isteğini onayladığında, cihazdaki kullanıcıya bildirim gönderilir ve dosya daha sonra yükseltilmiş bağlamda çalıştırılabilir. İstekleri onaylamak için, Intune yöneticisinin hesabının gözden geçirme ve onay görevine özgü ek izinlere sahip olması gerekir.

Şunlar için geçerlidir:

• Windows 10
• Windows 11

Destek onaylı yükseltmeler hakkında

Daha yüksek erişimle çalıştırılabilmesi için önce yönetici onayına ihtiyaç duyan dosyalar için destek onaylı yükseltme türüyle EPM ilkelerini kullanın. Diğer EPM yükseltme kurallarına benzerler, ancak ek planlama gerektiren bazı farklılıkları vardır.

Aşağıdaki konular, destek onaylı yükseltme türünü kullandığınızda planlamanız ve beklemeniz gereken ayrıntılardır:

• Yükseltme istekleri

  Kullanıcı, yükseltilmiş erişimle çalıştır sağ tıklama seçeneğine sahip bir dosya çalıştırdığında ve bu dosya destek onaylı bir yükseltme kuralıyla ilke tarafından yönetildiğinde, Intune kullanıcıya Intune yönetim merkezine yükseltme isteği gönderme istemi gösterir.

  • İstem, kullanıcının yükseltme için bir iş nedeni girmesini sağlar. Bu neden, kullanıcının adını, cihazını ve dosya adını da içeren yükseltme isteğinin bir parçası haline gelir.

  • Kullanıcı isteği gönderdiğinde, bu istekleri yönetme izinlerine sahip bir Intune yöneticisinin isteği onaylamaya veya reddetmeye karar aldığı Intune yönetim merkezine gider.

  Aşağıdaki görüntüde, kullanıcıların karşılaştığı dosya yükseltme isteminin bir örneği gösterilmektedir:

  

• Yükseltme isteklerini gözden geçirme

  Bir Intune yöneticisinin yükseltme isteklerini gözden geçirebilmesi ve onayabilmesi için Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri iznini görüntüleme ve yönetme haklarına sahip olması gerekir.

  Bu yöneticiler, istekleri bulmak ve yanıtlamak için yönetim merkezindeki Uç Nokta Ayrıcalık Yönetimi sayfasının Yükseltme istekleri sekmesini kullanır. Intune yeni yükseltme istekleri hakkında yöneticileri bilgilendirmenin bir yolu olmadığından, yöneticiler bekleyen istekler için sekmeyi düzenli olarak denetlemeyi planlamalıdır.

  Yükseltme isteklerini yönetebilen yöneticiler bir isteği kabul edebilir veya reddedebilir. Ayrıca, karar vermeleri için bir neden de sağlayabilirler. Bu neden, isteğin denetim kaydının bir parçası haline gelir.

  • Onaylar için: Yönetici bir yükseltme isteğini onayladığında, Intune kullanıcının isteği gönderdiği cihaza bir ilke gönderir ve bu da kullanıcının dosyayı sonraki 24 saat boyunca yükseltilmiş olarak çalıştırmasına olanak tanır. Bu süre, yöneticinin isteği onaylaması sırasında başlar. 24 saatlik süre dolmadan önce özel bir zaman aralığı veya onaylanan yükseltmenin iptali için geçerli destek yoktur.

    İstek onaylandıktan sonra Intune cihaza bildirir ve eşitleme başlatır. Bu biraz zaman alabilir. Intune, kullanıcıyı yükseltilmiş erişimle çalıştır sağ tıklama seçeneğiyle dosyayı başarıyla çalıştırabileceği konusunda uyarmak için cihazda bir bildirim kullanır.

  • Reddetmeler için: Intune kullanıcıyı bilgilendirmez. Yöneticinin kullanıcıya isteğinin reddedildiğini el ile bildirmesi gerekir.

• Yükseltme istekleri için denetim

  Yeterli izne sahip Intune yöneticisi, Kiracı yönetimi>Denetim günlüklerinde bulunan Intune Denetim günlüklerinde epm ilkesiyle ilgili oluşturma, düzenleme ve yükseltme isteklerini işleme gibi bilgileri görüntüleyebilir.

  Aşağıdaki ekran görüntüsünde, başlangıçta Test ilkesi - destek onaylı olarak adlandırılan Destek onaylı yükseltme ilkesinin çoğaltılması için denetim günlüğü örneği gösterilmektedir:

  

Yükseltme istekleri için RBAC izinleri

Yükseltme onayları için gözetim sağlamak için, yalnızca Intune'da aşağıdaki rol tabanlı erişim denetimi (RBAC) izinlerine sahip Intune yöneticiler yükseltme isteklerini görüntüleyebilir ve yönetebilir:

• Uç Nokta Ayrıcalık Yönetimi Yükseltme İstekleri - Bu izin, kullanıcılar tarafından onay için gönderilen yükseltme istekleriyle çalışmak için gereklidir ve aşağıdaki hakları destekler:

  • Yükseltme isteklerini görüntüleme
  • Yükseltme isteklerini değiştirme

EPM'yi yönetmeye yönelik tüm izinler hakkında daha fazla bilgi için bkz. Endpoint Privilege Management için rol tabanlı erişim denetimleri.

Destek onaylı dosya yükseltmeleri için ilke oluşturma

Destek onaylı yükseltme ilkesi oluşturmak için, diğer EPM yükseltme kuralı ilkelerini oluşturmak için aynı iş akışını kullanın. Uç Nokta Ayrıcalık Yönetimi için ilkeleri yapılandırma bölümündeki Windows yükseltme kuralları ilkesi bölümüne bakın.

Bekleyen yükseltme isteklerini yönetme

Yükseltme isteklerini gözden geçirmek ve yönetmek için aşağıdaki yordamı kullanın.

1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi>Yükseltme istekleri sekmesine gidin.

2. Yükseltme istekleri sekmesi, son 30 güne aitbekleyen istekleri ve istekleri gösterir. Bir satır seçildiğinde, isteği ayrıntılı olarak gözden geçirebileceğiniz yükseltme isteği özelliklerine girişler açılır.

3. Yükseltme isteği ayrıntıları aşağıdaki bilgileri içerir:

   1. Genel ayrıntılar:

      • File - Yükseltme için istenen dosyanın adı.
      • Publisher - Yükseltme için istenen dosyayı imzalayan yayımcının adı. Yayımcının adı, indirme için dosyanın sertifika zincirini alan bir bağlantıdır.
      • Cihaz - Yükseltmenin istendiği cihaz. Cihaz adı, cihaz nesnesini yönetim merkezinde açan bir bağlantıdır.
      • Intune uyumlu - Cihazın Intune uyumluluk durumu.

   2. İstek ayrıntıları:

      • Durum - İsteğin durumu. İstekler Beklemede olarak başlar ve bir yönetici tarafından onaylanabilir veya reddedilebilir .
      • By - İsteği onaylayan veya reddeden yöneticinin hesabı.
      • Son değiştirme - İstek girişinin en son değiştirildiği zaman.
      • Kullanıcının gerekçesi - Yükseltme isteği için kullanıcı tarafından sağlanan gerekçe.
      • Onay süre sonu - Onay süresinin dolma zamanı. Bu süre sonu süresine ulaşılana kadar, onaylanan dosyanın yükseltilmesine izin verilir.
      • Yönetici nedeni - Onay veya reddetme tamamlandığında yönetici tarafından sağlanan gerekçe.

   3. Dosya bilgileri - Onay için istenen dosyanın meta verilerinin özellikleri.

   

4. Kiracınız Microsoft Security Copilot lisansına sahip olduğunda, Yükseltme isteği özellikleri bölmesinin sağ üst kısmındaki Copilot ile Çözümle seçeneğini kullanabilirsiniz. Yükseltme isteğindeki dosyayı onaylamadan veya reddetmeden önce değerlendirmek üzere Security Copilot Uç Nokta için Microsoft Defender ile çalışması için bu seçeneği kullanabilirsiniz.

5. Yönetici bir isteği gözden geçirmenin ardından Onayla veya Reddet'i seçebilir. Her iki seçimde de, kararlarıyla ilgili ayrıntıları içeren bir Neden sağlayabilecekleri gerekçe iletişim kutusu gösterilir. Bir neden sağlamak isteğe bağlıdır. Onay iletişim kutusu aşağıda görüntülenir:

   • Onaylar için - Yönetici gerekçe iletişim kutusunu tamamlar ve ardından isteği onaylamak için Evet'i seçer. Intune cihaza onay gönderir ve son kullanıcıya uygulamayı yükseltebileceğine dair bildirim yoluyla bildirim gönderilir.

     Son kullanıcı artık dosyanın Yükseltilmiş erişimle çalıştır sağ tıklama menüsünü kullanarak yükseltme etkinliğini tamamlayabilir.

     

   • Reddetmeler için - Yönetici gerekçe iletişim kutusunu tamamlar ve ardından isteği reddetmek için Evet'i seçer.

     Bir yönetici onay isteğini reddettiyse, yükseltme isteği onaylanmamıştır. Intune cihaza yanıt göndermez ve kullanıcıya bildirim gönderilmez.

     

Dosya yükseltme isteklerini analiz etmek için Microsoft Security Copilot kullanma

Uç Nokta Ayrıcalık Yönetimi (EPM) ve Microsoft Security Copilot ile, isteği onaylamayı veya reddetmeyi seçmeden önce bir dosya yükseltme isteğindeki dosyaları tanımlamak ve araştırmak için gereken çalışmayı azaltmak için Security Copilot kullanabilirsiniz. Security Copilot dosyaları değerlendirmenize ve güven kurmanıza yardımcı olmak için kullandığı bilgiler Microsoft Defender Tehdit Analizi (Defender TI) aracılığıyla toplanır ve değerlendirilir.

Örneğin, bir yükseltme isteğinin dosya özelliklerini görüntülerken, Security Copilot genellikle belirgin olmayan ayrıntılar sağlaması için Copilot ile Analiz Et seçeneğini belirleyebilirsiniz:

• Uygulamaların saygınlığı
• Yayımcının güveni hakkında bilgi
• Yükseltme isteyen kullanıcının risk puanı
• Yükseltmenin gönderildiği cihazın Risk puanı.

EPM ile Security Copilot kullanma önkoşulları

Microsoft Security Copilot Endpoint Privilege Management ile kullanmak için kiracınızın Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements) kullanması için lisanslanması gerekir. Bu gereksinim, Uç Nokta Ayrıcalık Yönetimi'ni kullanma önkoşullarına ek olarak sağlanır.

Kiracınız EPM ve Security Copilot için zaten lisanslıysa ek lisans veya yapılandırma gerekmez.

Dosya isteklerini analiz etmek için iş akışı

Bir dosya yükseltme isteğini gözden geçirirken dosyanın özelliklerini analiz Microsoft Security Copilot sağlayabilirsiniz:

1. Microsoft Intune yönetim merkezindeUç nokta güvenliği>Uç Nokta Ayrıcalık Yönetimi'ne gidin ve Yükseltme istekleri sekmesini* seçin.

2. Yükseltme isteklerinde, yükseltme isteğinin adını seçerek Bu dosyaların ayrıntılarını gözden geçirebileceğiniz Yükseltme isteği özellikleri bölmesini açın.

3. Security Copilot dosyaya daha yakından bakmak üzere yönlendirmek için Yükseltme isteği özellikleri bölmesinde Copilot ile Çözümle'yi seçin. seçildiğinde, Intune dosya karması temelinde kapalı bir Copilot istemi oluşturur. Bu istem, dosyayı araştırmak için Uç Nokta için Microsoft Defender kullanır. Dosya analizi için özel veya açık istemler desteklenmez.

4. Dosya çözümlendikten sonra, sonuçlar dosya ayrıntılarını gözden geçirebileceğiniz yönetim merkezine döndürülür. Yükseltme isteğini onaylamak veya reddetmek için daha bilinçli bir karar vermek için bu ayrıntılı bilgileri kullanabilirsiniz.

Örnek: Aşağıdaki görüntülerde, kullanıcı tarafından gönderilen bir dosya yükseltme isteğini bulup seçmek için yönetim merkezi yolunun Intune kullanan bir yöneticinin yolu ve sonuçları görüntülenir. İstek ,InstallPrinter.msiadlı bir dosyadır. Dosya seçildiğinde , Yükseltme isteği özellikleri açılır:

Yönetici dosyayı gözden geçirmesi durumunda dosyanın bilinmeyen bir yayımcıya sahip olduğunu not alır. Bu dosyanın meşru olduğunu doğrulamak için, Copilot'un daha yakından bakması için Yükseltme isteği özelliklerindeki Copilot ile Çözümle seçeneğini kullanırlar.

Copilot dosyayı gözden geçirir ve aşağıdaki ayrıntıları geri bildirir:

Yukarıdaki görüntüde, bu InstallPrinter.msi dosyasının saygınlığıyla ilgili Copilot raporunun ekran görüntüsü gösterilmektedir. Bu örnekte, dosya kötü amaçlı olarak tanımlanır ve yükseltilmiş bir bağlamda çalışması onaylanmamıştır. Sonuçlar ayrıca, tanımlanan kötü amaçlı dosyaya yönelik başvurulara yönelik ek bilgiler ve bağlantılar içerir.

İlgili içerik

• Yükseltme Kuralları oluşturma kılavuzu
• Endpoint Privilege Management için ilkeleri yapılandırma
• Uç Nokta Ayrıcalık Yönetimi raporları
• Endpoint Privilege Management için veri toplama ve gizlilik
• Dağıtımla ilgili dikkat edilmesi gerekenler ve sık sorulan sorular