Richtlinien-Änderungsanträge
In diesem Abschnitt werden folgende Themen behandelt:
- Wissenswertes über Richtlinien-Änderungsanträge
- Konfigurieren von Änderungsanträgen für eine Regel
- Konfigurieren von Antragstypen
- Antragsmethoden
- ISM-Integration (2021.3)
Wissenswertes über Richtlinien-Änderungsanträge
Desktop- und mobile Benutzer können mit der Funktion "Antrag auf Richtlinienänderung" per Telefon oder E-Mail die Aktualisierung einer Application Control-Konfiguration beantragen. Application Control Mit 2021.3 können Benutzer von Ivanti Service Manager (ISM) Anforderungen direkt an ISM senden. Benutzer haben die Möglichkeit, Anträge über einen Link im Application Control-Dialogfeld "Zugriff verweigert" oder durch Ausführen der auf dem Desktop installierten ausführbaren Application Control-Datei "Antrag auf Richtlinienänderung" zu stellen.
Die Einstellungen für einen Antrag auf Richtlinienänderung werden für jede Regel separat konfiguriert und bei Verbindung der Sitzung oder einer Konfigurationsänderung überprüft. E-Mail-Adresse, Telefonnummer und der Text für Änderungsanträge werden global eingestellt und für alle Gruppen mit den entsprechenden Einstellungen angewendet.
Ivanti Service Manager (ISM)-Integration 2021.3
Unternehmen mit Lizenzen für Ivanti Neurons for ITSM (oder Ivanti Service Manager) bietet Application Control 2021.3 nunmehr die Möglichkeit, Richtlinien-Änderungsanträge direkt in das Servicedesksystem zu integrieren. Dadurch werden Ihre Servicedeskprozesse und die Überwachung des gesamten Workflows für Änderungsanträge optimiert. Siehe ISM-Integration (2021.3).
Die Bildschirmabbildungen in diesem Hilfethema beinhalten die Funktion aus Release 2021.3.
Die Funktion "Antrag auf Richtlinienänderung" ist mit den 32-Bit- und 64-Bit-Versionen von Chrome, Edge und Internet Explorer 9, 10 und 11 kompatibel.
Upgrades von früheren Releasen von Application Control
Upgrade der Einstellungen für "Antrag auf Richtlinienänderung"
In Application Control Version 10.1 hat sich das Verhalten der Funktion "Antrag auf Richtlinienänderung" insofern geändert, als es sich nicht mehr um eine globale Einstellung, sondern um eine pro Regel konfigurierbare Einstellung handelt. Durch diese Änderung können Agenten der derzeitigen Software keine Änderungsanträge mehr verarbeiten, die auf Endpunkten mit einer Konfiguration vor Version 10.1 erstellt wurden.
Damit die Funktion "Antrag auf Richtlinienänderung" in Release 10.1 weiterhin ordnungsgemäß funktioniert, sollten Sie ein Upgrade aller Konfigurationen in der Application Control-Konsole 10.1 durchführen und die Konfigurationen anschließend neu bereitstellen.
Der Application Control-Agent und die Application Control Web Services müssen die gleiche Version aufweisen.
Konfigurieren von Änderungsanträgen für eine Regel
Konfigurieren Sie, welche Anforderungstypen und Funktionen den Benutzern für die einzelnen Regeln zur Verfügung stehen sollen. Einstellungen für einen Antrag auf Richtlinienänderung sind für alle Regeltypen verfügbar, außer für Prozessregeln.
- Wählen Sie im Navigationsbereich eine Regel aus.
- Wählen Sie die Registerkarte Richtlinien-Änderungsanträge aus.
- Wählen Sie aus, wie Richtlinien-Änderungsanträge gestellt werden können:
- Telefonnummer (sofortige Richtlinienänderung)
- Ivanti Service Manager
Markieren Sie das Kontrollkästchen bei Ivanti Service Manager und klicken Sie auf die gewünschte Anforderungsvorlage. Siehe ISM-Integration (2021.3).
- Wählen Sie die Methoden aus, über die Benutzer Richtlinien-Änderungsanträge initiieren können:
- Meldungsfeld "Zugriff verweigert" – Benutzer klicken auf einen Link im Meldungsfeld, das angezeigt wird, wenn ein Benutzer versucht, auf eine untersagte Anwendung zuzugreifen.
- Kontextmenü der Anwendung – Benutzer wählen eine Option aus dem Kontextmenü für untersagte Anwendungen aus.
- Desktop-Symbol – Mithilfe eines Symbols (Desktop-Verknüpfung) lösen Benutzer Änderungsanträge über das Dialogfeld für Richtlinienanträge aus.
Es können die Option für E-Mail und Telefon oder die Option Ivanti Service Manager ausgewählt werden.
Die Details für die einzelnen Einstellungen werden im Dialogfeld "Antrag auf Richtlinienänderung" konfiguriert, das Sie über das Menüband "Globale Einstellungen" aufrufen können.
Konfigurieren von Antragstypen und Antragsmethoden
Wählen Sie zum Konfigurieren von Antragstypen und Antragsmethoden im Menüband "Globale Einstellungen" die Option Optionen für Richtlinien-Änderungsantrag aus.
Antragstypen
Konfigurieren Sie E-Mail-Anträge und sofortige Richtlinien-Änderungsanträge auf der Registerkarte Antragstyp des Dialogfelds "Richtlinien-Änderungsanträge".
E-Mail-Anträge
Wird ein Benutzer aufgefordert, seine Rechte zu erhöhen, um eine Anwendung auszuführen, hat der Benutzer die Möglichkeit, auf einen Link im Meldungsfeld "Zugriff verweigert" zu klicken, um eine dauerhafte Konfigurationsänderung anzufordern. Wenn der Benutzer auf den Link klickt, muss er einen Grund für den Änderungsantrag eingeben. Dieser Grund wird an die in der Application Control-Konsole konfigurierte E-Mail-Adresse gesendet.
Die Funktion "E-Mail-Antrag" verwendet zum Senden von E-Mails die MAPI-Schnittstelle (Messaging Application Programming Interface). Der Antrag wird von einem Application Control-Administrator geprüft. Genehmigt er den Antrag, aktualisiert er die Konfiguration und stellt die AAMP-Datei bereit.
Geben Sie zum Einrichten von E-Mail-Änderungsanträgen die E-Mail-Adresse, an die Änderungsanträge gesendet werden sollen, in das Feld E-Mail an ein.
Es kann nur eine E-Mail-Adresse angegeben werden.Um die Anforderung an mehrere E-Mail-Adressen zu senden, können Sie eine Gruppen-E-Mail (Verteilerliste) konfigurieren.
Sofortige Anträge
Mit einem sofortigen Antrag haben (vorwiegend mobile) Benutzer die Möglichkeit, eine dauerhafte oder vorübergehende Konfigurationsänderung zu beantragen. Wenn ein Benutzer auf den Link für einen sofortigen Antrag klickt, wird ihm eine Telefonnummer mitgeteilt, die er anrufen muss. Darüber hinaus erhält er Details zum Antrag und einen Antragscode. Der Antragscode und der Änderungsantrag für die Konfiguration werden an den IT-Support weitergeleitet, der die Details in das Helpdeskportal eingibt. Der IT-Support generiert einen Antwortcode und sendet diesen an den Benutzer, damit dieser ihn in das Dialogfeld "Antrag auf Richtlinienänderung" eingibt.
Benutzer haben drei Versuche, um den Antwortcode einzugeben. Nach drei Fehleingaben wird das Dialogfeld geschlossen und die Änderungen werden nicht übernommen. Falls konfiguriert, wird beim Schließen des Dialogfelds das Ereignis 9091 ausgelöst.Benötigt der Benutzer die Konfigurationsänderungen weiterhin, muss er den Prozess erneut durchführen. Wird der Code richtig eingegeben, erhält der Benutzer erhöhten Zugriff auf die Anwendung. Mit der Bestätigung erhält der Benutzer Details zur Erhöhung der Rechte (Elevation).
Konfigurieren Sie auf der Registerkarte "Antragstypen" die folgenden Felder:
- Helpdesk-Telefonnummer – Die Telefonnummer, die der Benutzer anrufen muss, um die sofortige Konfigurationsänderung zu beantragen.
-
Gemeinsamer Schlüssel – Der gemeinsame Schlüssel ist fester Bestandteil bei der Verarbeitung sofortiger Anträge und in die Konfiguration eingebettet und verschlüsselt. Der gemeinsame Schlüssel muss in der Application Control-Konsole und im Helpdeskportal übereinstimmen. Stimmt der gemeinsame Schlüssel nicht überein, kann kein Antwortcode generiert werden. Die Konfigurationsänderung darf dann nicht auf dem Endpunkt des Benutzers bereitgestellt werden.
Der gemeinsame Schlüssel kann über das Helpdeskportal geändert werden. In dem Fall muss er jedoch auch in der Application Control-Konsole eingegeben werden.
Nachdem Sie die Einstellungen für sofortige Anträge in einer Konfigurationsdatei konfiguriert haben, stellen Sie diese auf den Endpunkten bereit. Bevor Sie die Funktion vollständig aktivieren, müssen die Rollen Helpdesk-Administrator und Heldesk-Operator Mitgliedern Ihres Supportteams zugewiesen werden. Nachdem Sie die Konfiguration bereitgestellt und die Rolle des Helpdesk-Administrators zugewiesen haben, kann dieser weitere Helpdesk-Administratoren und/oder -Operators zuweisen oder entfernen.
Antragsmethoden
Konfigurieren Sie auf der Registerkarte "Antragsmethoden" den Text für Elemente des Antrags auf Richtlinienänderung:
- Link aus Meldungsfeld "Zugriff verweigert"
Linktext - Der Text für den Anforderungslink, der im Meldungsfeld "Zugriff verweigert" erscheint, das dem Endbenutzer angezeigt wird. Der Standardtext lautet Hier klicken, um Zugriff auf die Anwendung zu beantragen. - Antrag auf Richtlinienänderung
Text – Der Text für das Kontextmenü, das angezeigt wird, wenn ein Benutzer mit der rechten Maustaste auf ein Element klickt, für das eine Richtlinienänderung beantragt werden kann. - Desktop-Symbol für Richtlinien-Änderungsantrag
Text – Der Name des Desktop-Symbols für den Antrag auf Richtlinienänderung. Benutzer können durch Klicken oder Auswählen des Symbols das Application Control-Dialogfeld "Antrag auf Richtlinienänderung" aufrufen und Änderungsanträge erstellen.
ISM-Integration (2021.3)
Die Integration von Ivanti Service Manager (ISM) und Application Control gewährleistet eine optimierte und vollständig überwachte Verarbeitung von Anforderungen. Aus der folgenden Tabelle gehen die Konfigurationsaufgaben und die daraus folgende für Endbenutzer verfügbare Funktionalität hervor:
| Application Control - Administratoraufgaben | Ivanti Service Desk Manager - Administratoraufgaben | Application Control - Endbenutzerfunktionalität |
|---|---|---|
|
Konfigurieren Sie den Zugriff auf den ISM-Server und die für Endbenutzer verfügbaren Optionen für das Einreichen von Change Requests. Siehe: •Optionen für Richtlinien-Änderungsantrag - ISM-Integration
|
Importieren Sie die Application Control-Vorlage und konfigurieren Sie Anforderungsangebot und Anforderungsformular. Stellen Sie sicher, dass der Workflow wie erwartet durchgeführt wird. Über die Links unten lassen sich ISM-Hilfethemen auf einer neuen Browserregisterkarte anzeigen. •Erstellen eines Request-Angebots |
Erstellen und übermitteln Sie Anträge auf Richtlinienänderungen und überwachen Sie den Status von Anforderungen nach Bedarf. Siehe: • Endpunktbenutzer - Erstellen eines Antrags auf Richtlinienänderung |
Anforderungsstatus
Der Status aller Service Requests wird entsprechend der Verarbeitung innerhalb des Workflows geändert. Die Anzahl der im Prozess verwendeten Phasen sowie die Namen zur Beschreibung der einzelnen Status werden innerhalb des ISM-Systems konfiguriert.
Wird eine Anforderung erstmals eingereicht, wird sie mit dem Status Übermittelt versehen. Erst nachdem sie überprüft wurde und wenn sie bestimmte Kriterien erfüllt, gilt sie als Genehmigt.
Nur Service Requests mit dem Status Genehmigt werden von Application Control umgesetzt.
Optionen für Richtlinien-Änderungsantrag - ISM-Integration
Über die Optionen für einen Richtlinien-Änderungsantrag aktivieren oder deaktivieren Sie den Benutzerzugriff auf die Funktion "Antrag auf Richtlinienänderung" und Sie bestimmen, welche Anforderungsvorlage verfügbar ist. Die Optionen bestimmen, wie Anforderungen an das ISM-System kommuniziert werden und welche Auswahlmöglichkeiten Endbenutzern beim Erstellen von Änderungsanträgen zur Verfügung stehen.
1.Wählen Sie im Menüband "Menü" Globale Einstellungen > Optionen für Richtlinien-Änderungsantrag und dann die Registerkarte "ISM-Integration" aus:
2.Geben Sie die Details für Ihr ISM-System an:
• ISM-Server Geben Sie die Webadresse des ISM-Servers ein.
•API-Schlüssel Geben Sie den erforderlichen API-Schlüssel ein.
API-Schlüssel sind auf der ISM-Konfigurationsschnittstelle verfügbar (siehe Konfigurieren \ Sicherheitskontrollen \ API-Schlüssel). Sie müssen den Namen der zu verwendenden Schlüsselgruppe auswählen und den API-Schlüssel in die Application Control-Konsole kopieren. Der API-Schlüssel wird mit der AppSense-Konfiguration verschlüsselt.
•Abfrageintervall Bei Bedarf können Sie das Abfrageintervall ändern.
3.Die verfügbaren Anforderungsvorlagen werden aufgeführt. Bei der ersten Verwendung oder zum Hinzufügen einer Vorlage wählen Sie Nach Anforderungsvorlagen suchen aus.
Das Dialogfeld "ISM Service Requests durchsuchen" wird angezeigt. Die verfügbaren Service Requests werden aufgeführt.
•Klicken Sie auf Durchsuchen und wählen Sie die gewünschte Anforderung aus.
•Der ausgewählte Service Request muss sich auf Application Control beziehen und der Status muss auf Veröffentlicht lauten.
•Die ausgewählte Vorlage wird zu den verfügbaren Anforderungsvorlagen hinzugefügt.
Falls mehrere Anforderungsvorlagen existieren, kann eine davon als Standard festgelegt werden. Siehe Standardvorlage für Anträge.
4.Wählen Sie Nach Benutzer suchen aus.
Das Dialogfeld "Nach ISM-Benutzer suchen" wird angezeigt. Dazu werden Mitarbeiterdaten aus dem ISM-System herangezogen.
•Klicken Sie auf Durchsuchen und wählen Sie den gewünschten Benutzer aus.
Da mit dieser Auswahl der Benutzer einer Anforderungsvorlage bestimmt wird (keine benutzerspezifische Anforderung), wird empfohlen, für diesen Prozess einen Alias oder ein repräsentatives ISM-Benutzerkonto zu erstellen. Dadurch kann die Vorlage von zahlreichen Benutzern verwendet werden. Der Anforderung wird jedesmal der Name des betreffenden Benutzers als spezifisches Attribut hinzugefügt.
•Der ausgewählte Benutzer wird zu den verfügbaren Anforderungsvorlagen hinzugefügt.
5.Im Abschnitt "Service Requests ignorieren" können Sie die Liste der Service Requests mit anstehender Verarbeitung anzeigen. Änderungsanträge vor einem bestimmten Datum werden ignoriert. Diese Funktion bietet sich etwa an, wenn eine neue Konfiguration bereitgestellt wurde und durch die daran vorgenommenen Änderungen frühere Anträge auf Richtlinienänderung ungültig werden.
•Wählen Sie das gewünschte Optionsfeld aus und geben Sie das erforderliche Datum an.
6.Wenn Sie die Optionen für den Richtlinien-Änderungsantrag konfiguriert haben, wählen Sie OK, um Ihre Änderungen zu speichern.
Application Control Service Request-Vorlage
Die Application Control Service Request-Vorlage kann kostenlos vom Ivanti Marketplace heruntergeladen werden.
Die Vorlage enthält eine Liste der Aktionen, Komponenten und Zeitspannen. Administratoren können Elemente ohne großen Aufwand entfernen und damit sicherstellen, dass die verfügbaren Optionen für die Benutzer und das Unternehmen relevant sind. Wenn Sie die Option für Benutzer entfernen möchten, eine Anforderung unbegrenzt einzureichen, entfernen Sie den Wert Unbegrenzt in der Liste für die Auswahl der Dauer.
Standardvorlage für Anträge
Unternehmen benötigen unter Umständen mehrere verschiedene Anforderungsvorlagen. Diese lassen sich so konfigurieren, dass für bestimmte Benutzergruppen oder Funktionen bestimmte Optionen zur Verfügung stehen. Administratoren sollten genau überlegen, welche Vorlage sie als Standard festlegen, da sich Benutzergruppen in der Regel überschneiden, wenn Personen mehreren Gruppen angehören.
Beispiel für sich überschneidende Benutzergruppen:
Hier gehört ein Senior Manager innerhalb des IT-Supportteams zu allen drei Benutzergruppen, jedoch kann einer Person nur eine Anforderungsvorlage zugewiesen werden.
Endpunktbenutzer - Erstellen eines Antrags auf Richtlinienänderung
Bei aktivierter ISM-Integration können Endpunktbenutzer Richtlinien-Änderungsanträge gemäß den in der Vorlage konfigurierten Methoden initiieren und erstellen (siehe Schritt 4 unter Konfigurieren von Änderungsanträgen für eine Regel).
Anforderung initiieren
| Desktop-Symbol | Zugriff verweigert - Link zum Meldungsfeld | Zugriff verweigert - Kontextmenü |
|---|---|---|
|
|
|
|
Endpunkt-Benutzeraktionen: 1.Doppelklicken Sie auf das Desktop-Symbol, um eine Anforderung zu initiieren. 2.Wählen Sie im Dialogfeld "Ressourcentyp wählen" die gewünschte Option aus: •Anwendung
•Komponente
Hinweis: Die Option zum Anfordern des Zugriffs auf eine Komponente ist nur verfügbar, wenn die Anforderung über das Desktop-Symbol oder über die Option "Neue Anforderung erstellen" der Anwendung initiiert wurde. |
Endpunkt-Benutzeraktionen: 1.Wählen Sie den Link in der Meldung "Zugriff verweigert" aus. 2.Füllen Sie das Dialogfeld "Autorisierung für diese Anwendung anfordern" nach Bedarf aus. |
Endpunkt-Benutzeraktionen: 1.Klicken Sie mit der rechten Maustaste auf ein verweigertes Element und wählen Sie die gewünschte Option aus, um Zugriff anzufordern. 2.Füllen Sie das Dialogfeld "Autorisierung für diese Anwendung anfordern" nach Bedarf aus. |
Beispiel: Autorisierung für diese Anwendung anfordern
Programmname Je nach Art der Initiierung der Anforderung ist dieses Feld möglicherweise bereits ausgefüllt. Stellen Sie sicher, dass das erforderliche Element angegeben ist.
Klicken Sie bei Bedarf auf das Auslassungszeichen und navigieren Sie zu der gewünschten Anwendung, um sie auszuwählen.
Herausgeber Falls die ausgewählte Anwendung signiert ist, wird der Name des Softwareherausgebers angezeigt. Bei nicht signierten ausführbaren Dateien ist dieses Feld leer.
Anforderungstyp Benutzer können die erforderliche Berechtigung auswählen. Die verfügbaren Optionen werden von der Anforderungskonfiguration bestimmt, beinhalten aber in der Regel die Optionen "Zulassen" und "Zulassen und Rechte erweitern".
Dauer Hierüber wählt der Benutzer die erforderliche Dauer für die Richtlinienänderung aus. Die verfügbaren Optionen richten sich nach der Anforderungskonfiguration.
Bitte geben Sie einen Grund für die Beantragung des Zugriffs an: Optional kann der Benutzer einen Grund für die Anforderung eingeben.
Klicken Sie auf Anforderung übermitteln oder auf Abbrechen.
Endpunktbenutzer - Dialogfeld "Problemreaktion"
Im Dialogfeld "Application Control-Problemreaktion" werden die von einem bestimmten Benutzer übermittelten Richtlinien-Änderungsanträge aufgeführt.Der Anforderungsstatus und das Ablaufdatum werden angezeigt.
Benutzer können durch Rechtsklicken auf eine Anforderung das Kontextmenü aufrufen und Optionen auswählen:
• Details Das Fenster mit den Details zum Service Request wird angezeigt. Die Attribute der Anforderung werden aufgeführt. Je nach Status der Anforderung ist der Besitzer der Anforderung enthalten. Dadurch werden das Ermitteln des erforderlichen Fortschritts oder Abfragen nach bestimmten Anforderungen vereinfacht.
•Erneut übermitteln Die Verfügbarkeit dieser Option richtet sich nach dem Anforderungsstatus.
Das Dialogfeld wird automatisch angezeigt, wenn die Abfrage des ISM-Servers eine Statusänderung einer Benutzeranforderung ergibt. Es wird außerdem eine Toast-Benachrichtigung angezeigt und ein Symbol in der Symbolleiste weist darauf hin, dass ISM aktiv ist. Der Benutzer kann das Dialogfeld jederzeit über folgende Methoden aufrufen:
•Doppelklicken Sie auf das Desktop-Symbol für die Beantragung einer Richtlinienänderung.
•Wählen Sie Neue Anforderung erstellen aus in Application Control
•Doppelklicken Sie auf das Symbol in der Symbolleiste (
).
Die verschiedenen Statusnamen und die Statusanzahl werden innerhalb des ISM-Systems konfiguriert. Dazu gehört in der Regel Folgendes: Übermittelt, Aktiv, Genehmigt und Abgelaufen.
Der Status Genehmigt signalisiert, dass der Änderungsantrag umgesetzt wurde. Wird beispielsweise der Zugriff auf eine bestimmte Anwendung angefordert, weist Genehmigt darauf hin, dass der Benutzer über sofortigen Zugriff verfügt.
Für Richtlinien-Änderungsanträge, die über ISM verarbeitet werden, können Administratoren bei Bedarf die Genehmigung der Anforderung widerrufen. Wenn sich beispielsweise Risiken oder Fragen im Zusammenhang mit einer genehmigten Änderung ergeben, kann der ISM-Administrator den Anforderungsstatus auf "Aktiv" setzen und sich beratschlagen. Wechselt der Status zurück in "Aktiv", wird die Berechtigung zurückgehalten.