Richtlinien-Änderungsanträge

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über Richtlinien-Änderungsanträge

Desktop- und mobile Benutzer können mit der Funktion "Antrag auf Richtlinienänderung" per Telefon oder E-Mail die Aktualisierung einer Application Control-Konfiguration beantragen. Endpunktbenutzer haben die Möglichkeit, Anträge über einen Link im Application Control-Dialogfeld "Zugriff verweigert" oder durch Ausführen der auf dem Desktop installierten ausführbaren Application Control-Datei "Antrag auf Richtlinienänderung" zu stellen.

Die Einstellungen für einen Antrag auf Richtlinienänderung werden für jede Regel separat konfiguriert und bei Verbindung der Sitzung oder einer Konfigurationsänderung überprüft. E-Mail-Adresse, Telefonnummer und der Text für Änderungsanträge werden global eingestellt und für alle Gruppen mit den entsprechenden Einstellungen angewendet.

Die Funktion "Antrag auf Richtlinienänderung" ist nur mit den 32-Bit- und 64-Bit-Versionen von Internet Explorer 9, 10 und 11 kompatibel.

Upgrade der Einstellungen für "Antrag auf Richtlinienänderung"

In Version 10.1 hat sich das Verhalten der Funktion "Antrag auf Richtlinienänderung" insofern geändert, als es sich nicht mehr um eine globale Einstellung, sondern um eine pro Regel konfigurierbare Einstellung handelt. Durch diese Änderung können 10.1-Agents keine Änderungsanträge mehr verarbeiten, die auf Endpunkten mit einer Konfiguration vor Version 10.1 eingehen. Damit die Funktion "Antrag auf Richtlinienänderung" in Version 10.1 ordnungsgemäß funktioniert, sollten Sie ein Upgrade aller Konfigurationen in der Application Control-Konsole 10.1 durchführen und die Konfigurationen anschließend neu bereitstellen.

Der Application Control-Agent und die Application Control Web Services müssen die gleiche Version aufweisen.

Konfigurieren von Änderungsanträgen für eine Regel

Konfigurieren Sie, welche Anforderungstypen und Funktionen den Benutzern für die einzelnen Regeln zur Verfügung stehen sollen. Einstellungen für einen Antrag auf Richtlinienänderung sind für alle Regeltypen verfügbar, außer für Prozessregeln.

  1. Wählen Sie im Navigationsbereich eine Regel aus.
  2. Wählen Sie die Registerkarte Richtlinien-Änderungsanträge aus.
  3. Wählen Sie aus, wie Richtlinien-Änderungsanträge gestellt werden können:
    • E-Mail
    • Telefonnummer (sofortige Richtlinienänderung)
  4. Wählen Sie die Methoden aus, über die Benutzer Richtlinien-Änderungsanträge initiieren können:
    • Meldungsfeld "Zugriff verweigert" – Benutzer klicken auf einen Link im Meldungsfeld, das angezeigt wird, wenn ein Benutzer versucht, auf eine untersagte Anwendung zuzugreifen.
    • Kontextmenü der Anwendung – Benutzer wählen eine Option aus dem Kontextmenü für untersagte Anwendungen aus.
    • Desktop-Symbol – Mithilfe eines Symbols (Desktop-Verknüpfung) lösen Benutzer Änderungsanträge über das Dialogfeld für Richtlinienanträge aus.

Die Details für die einzelnen Einstellungen werden im Dialogfeld "Antrag auf Richtlinienänderung" konfiguriert, das Sie über das Menüband "Globale Einstellungen" aufrufen können.

Konfigurieren von Antragstypen und Antragsmethoden

Wählen Sie zum Konfigurieren von Antragstypen und Antragsmethoden im Menüband "Globale Einstellungen" die Option Optionen für Richtlinien-Änderungsantrag aus.

Antragstypen

Konfigurieren Sie E-Mail-Anträge und sofortige Richtlinien-Änderungsanträge auf der Registerkarte Antragstyp des Dialogfelds "Richtlinien-Änderungsanträge".

E-Mail-Anträge

Wird ein Benutzer aufgefordert, seine Rechte zu erhöhen, um eine Anwendung auszuführen, hat der Benutzer die Möglichkeit, auf einen Link im Meldungsfeld "Zugriff verweigert" zu klicken, um eine dauerhafte Konfigurationsänderung anzufordern. Wenn der Benutzer auf den Link klickt, muss er einen Grund für den Änderungsantrag eingeben. Dieser Grund wird an die in der Application Control-Konsole konfigurierte E-Mail-Adresse gesendet.

Die Funktion "E-Mail-Antrag" verwendet zum Senden von E-Mails die MAPI-Schnittstelle (Messaging Application Programming Interface). Der Antrag wird von einem Application Control-Administrator geprüft. Genehmigt er den Antrag, aktualisiert er die Konfiguration und stellt die AAMP-Datei bereit.

Geben Sie zum Einrichten von E-Mail-Änderungsanträgen die E-Mail-Adresse, an die Änderungsanträge gesendet werden sollen, in das Feld E-Mail an ein.

Es kann nur eine E-Mail-Adresse angegeben werden.Falls der Antrag an mehrere Empfänger gesendet werden soll, müssen Sie eine Gruppen-E-Mail erstellen.

Sofortige Anträge

Mit einem sofortigen Antrag haben (vorwiegend mobile) Benutzer die Möglichkeit, eine dauerhafte oder vorübergehende Konfigurationsänderung zu beantragen. Wenn ein Benutzer auf den Link für einen sofortigen Antrag klickt, wird ihm eine Telefonnummer mitgeteilt, die er anrufen muss. Darüber hinaus erhält er Details zum Antrag und einen Antragscode. Der Antragscode und der Änderungsantrag für die Konfiguration werden an den IT-Support weitergeleitet, der die Details in das Helpdeskportal eingibt. Der IT-Support generiert einen Antwortcode und sendet diesen an den Benutzer, damit dieser ihn in das Dialogfeld "Antrag auf Richtlinienänderung" eingibt.

Benutzer haben drei Versuche, um den Antwortcode einzugeben. Nach drei Fehleingaben wird das Dialogfeld geschlossen und die Änderungen werden nicht übernommen. Falls konfiguriert, wird beim Schließen des Dialogfelds das Ereignis 9091 ausgelöst.Benötigt der Benutzer die Konfigurationsänderungen weiterhin, muss er den Prozess erneut durchführen. Wird der Code richtig eingegeben, erhält der Benutzer erhöhten Zugriff auf die Anwendung. Mit der Bestätigung erhält der Benutzer Details zur Erhöhung der Rechte (Elevation).

Konfigurieren Sie auf der Registerkarte "Antragstypen" die folgenden Felder:

  • Helpdesk-Telefonnummer – Die Telefonnummer, die der Benutzer anrufen muss, um die sofortige Konfigurationsänderung zu beantragen.
  • Gemeinsamer Schlüssel – Der gemeinsame Schlüssel ist fester Bestandteil bei der Verarbeitung sofortiger Anträge und in die Konfiguration eingebettet. Der gemeinsame Schlüssel muss in der Application Control-Konsole und im Helpdeskportal übereinstimmen. Stimmt der gemeinsame Schlüssel nicht überein, kann kein Antwortcode generiert werden. Die Konfigurationsänderung darf dann nicht auf dem Endpunkt des Benutzers bereitgestellt werden.

    Der gemeinsame Schlüssel kann über das Helpdeskportal geändert werden. In dem Fall muss er jedoch auch in der Application Control-Konsole eingegeben werden.

Nachdem Sie die Einstellungen für sofortige Anträge in einer Konfigurationsdatei konfiguriert haben, stellen Sie diese auf den Endpunkten bereit. Bevor Sie die Funktion vollständig aktivieren, müssen die Rollen Helpdesk-Administrator und Heldesk-Operator Mitgliedern Ihres Supportteams zugewiesen werden. Nachdem Sie die Konfiguration bereitgestellt und die Rolle des Helpdesk-Administrators zugewiesen haben, kann dieser weitere Helpdesk-Administratoren und/oder -Operators zuweisen oder entfernen.

Antragsmethoden

Konfigurieren Sie auf der Registerkarte "Antragsmethoden" den Text für Elemente des Antrags auf Richtlinienänderung:

  • Meldungsfeld "Link-Text" – Der Text für den Antragslink, der im Dialogfeld "Zugriff verweigert" angezeigt wird. Der Standardtext lautet Hier klicken, um Zugriff auf die Anwendung zu beantragen.
  • Text für Menüpunkt – Der Text für den Menüpunkt, der angezeigt wird, wenn ein Benutzer mit der rechten Maustaste auf ein Element klickt, für das eine Richtlinienänderung beantragt werden kann.
  • Text für Desktop-Symbol – Der Name des Desktopsymbols für den Antrag auf Richtlinienänderung. Benutzer können über das Symbol das Application Control-Dialogfeld "Antrag auf Richtlinienänderung" aufrufen und Änderungsanträge erstellen.

Verwandte Themen