策略更改请求

在此部分:

关于策略更改请求

桌面和移动用户可以使用“策略更改请求”功能,通过电子邮件或电话请求更新 Application Control 配置。Application Control 2021.3 还为 Ivanti Service Manager (ISM) 用户提供了将请求直接提交到 ISM 的功能。用户可以通过 Application Control“拒绝访问”对话框上的链接,或使用桌面上安装的 Application Control“策略更改请求”可执行文件发出请求。

“策略更改请求”设置按规则配置,并在会话连接和配置更改时进行评估。更改请求的电子邮件地址、电话号码和文本在全局范围内设置,并适用于应用了适当设置的所有组。

Ivanti Service Manager (ISM) 集成 2021.3

对于具有 Ivanti Neurons for ITSM(或 Ivanti Service Manager)许可证的组织,Application Control 2021.3 引入了将策略更改请求直接集成到 Service Desk 系统的功能。这样可以优化 Service Desk 流程,以及完成更改请求工作流程的审计。请参阅 ISM 集成 (2021.3)

请注意,此帮助主题中使用的屏幕图像包括 2021.3 功能。

“策略更改请求”功能与 Chrome、Edge 以及 Internet Explorer 9、10、11 的 32 和 64 位版本兼容。

升级“策略更改请求”设置

Application Control 10.1 中,“策略更改请求”行为从全局设置更改为应用于每个规则。此更改可防止当前软件的代理处理从采用 10.1 之前配置的端点创建的更改请求。

为了确保“策略更改请求”功能在 10.1 版本中仍能正常运行,您需要升级 10.1 Application Control 控制台中的所有配置并重新进行部署。

Application Control 代理和 Application Control Web 服务的版本必须相同。

配置规则的变更请求

配置每个规则的用户可以使用的请求类型和功能。除了“流程”规则外,所有规则类型都可以使用“策略更改请求”设置。

  1. 在导航窗格中选择规则。
  2. 选择策略更改请求选项卡。
  3. 选择提交“策略更改请求”的方式:
    • 电子邮件
    • 电话(即时策略更改)
    • Ivanti Service Manager
      选择 Ivanti Service Manager 复选框并点击所需的请求模板。请参阅 ISM 集成 (2021.3)

    4. 请注意,可以同时选择“电子邮件”和“电话”选项,或者选择 Ivanti Service Manager 选项。

  4. 选择用户发起策略更改请求时可以使用的方法:
    • 拒绝访问消息框 - 用户单击消息框中的链接,当用户尝试访问禁止的应用程序时,将显示该链接。
    • 应用程序上下文菜单 - 用户从禁止的应用程序的上下文菜单中选择一个选项。
    • 桌面图标 - 用户使用桌面快捷方式图标从“策略请求”对话框中发起更改请求。

每个设置的详细信息均使用“策略更改请求”对话框进行配置,该对话框可从“全局设置”功能区访问。

配置请求类型和方法

若要配置请求类型和方法,请从“全局设置”功能区选择“策略更改请求”选项

请求类型

在“策略更改请求”对话框的请求类型选项卡中,配置电子邮件和即时策略更改请求。

电子邮件请求

用户收到提升其权限来运行应用程序的提示时,可以单击“拒绝访问”消息框中的链接,请求永久更改配置。用户单击链接时,系统会提示其输入更改请求的原因,该更改请求将发送到 Application Control 控制台中配置的电子邮件地址。

电子邮件请求功能使用消息应用程序编程接口 (MAPI) 发送电子邮件。Application Control 管理员会审查请求,如果请求获得许可,则会更新配置并部署 AAMP 文件。

若要设置电子邮件更改请求,请在收件人字段中输入接收更改请求的电子邮件地址。

您只能添加一个电子邮件地址。要将请求发送到多个电子邮件地址,您可以配置组电子邮件(分发列表)。

即时请求

使用即时请求,用户(通常是移动用户)能够请求永久或临时更改配置。用户单击即时请求链接时,系统会向其提供要拨打的电话号码并发出请求详细信息及请求代码。用户需要将请求代码和配置更改请求转发给 IT 支持人员,让支持人员在服务台门户中输入详细信息。随后,IT 支持人员会生成响应代码并将其发送给用户,以便用户在“策略更改请求”对话框中输入该代码。

用户有三次尝试输入响应代码的机会。如果三次尝试均不正确,对话框将关闭,更改也不会生效。如果在对话框关闭时完成配置,则会引发 9091 事件。如果用户需要再次尝试更改配置,则须重新开始该过程。如果输入的代码正确,用户对应用程序的访问权限便会得到提升。确认后,用户即可收到提升详细信息。

在“请求类型”选项卡中配置以下字段:

  • 服务台电话号码 - 用户请求即时配置更改时,系统提示用户拨打的号码。

  • 共享密钥 - 共享密钥是处理即时请求不可或缺的一部分,在配置中嵌入并加密。共享密钥必须在 Application Control“控制台”和“服务台门户”中匹配。如果共享密钥不匹配,则无法创建响应代码,也不会授权将配置更改部署到用户端点。

    您可以使用服务台门户更改共享密钥,但如果在门户中修改了共享密钥,则还须在 Application Control 控制台中输入相同的密钥。

在配置文件中配置即时请求设置后,请将其部署到端点上。在功能完全激活之前,必须将服务台管理员和服务台操作员角色分配给支持团队成员。在您完成部署配置并分配服务台管理员角色后,服务台管理员便可分配或删除其他服务台操作员和/或管理员。

请求方法

在“请求方法”选项卡中,配置以下策略更改请求项文本:

  • “拒绝访问”消息框链接
    链接文本 - 向最终用户显示的“拒绝访问”消息框中显示的请求链接的文本。默认文本为单击此处请求访问此应用程序
  • 策略更改请求
    文本 - 当用户右键点击符合策略更改请求条件的项目时显示的上下文菜单的文本。
  • “策略更改请求”桌面图标
    文本 -“策略更改请求”桌面图标的名称。用户可以点击或选择该图标,以打开 Application Control“策略更改请求”对话框并创建更改请求。

ISM 集成 (2021.3)

Ivanti Service Manager (ISM) 和 Application Control 的集成能够实现经过优化和完全审计的请求处理。下表中汇总了配置任务以及因此可供最终用户使用的功能:

Application Control - 管理员任务 Ivanti Service Desk Manager - 管理员任务 Application Control - 最终用户功能

配置对 ISM 服务的访问权限,以及当最终用户发起更改请求时可用的选项。

请参阅:

“策略更改请求”选项 - ISM 集成

导入 Application Control 模板并配置请求提供和请求表单。确保工作流程按预期执行。

以下链接会在新的浏览标签页中打开 ISM 帮助主题

创建请求提供

创建请求表单

修改工作流程

创建和提交策略更改请求,根据需要来监控请求的状态。

请参阅:

端点用户 - 创建策略更改请求

端点用户 -“质询响应”对话框

请求状态

所有服务请求的状态会根据其在工作流程中的处理阶段而更改。流程中使用的不同阶段的数量,以及用于描述每个状态的名称,都在 ISM 系统中进行配置。

通常,服务请求在最初发起后处于已提交状态,只有在针对一组条件进行审查和分析后才会变为已批准

只有处于已批准状态的服务请求才会由 Application Control 履行。

“策略更改请求”选项 - ISM 集成

“策略更改请求”选项允许您启用或禁用最终用户对“策略更改请求”功能的访问,并确定最终用户可用的请求模板。这些选项用于确定将请求传达到 ISM 系统的方式,以及最终用户在创建更改请求时可以作出的选择。

1.从“菜单”功能区中,选择全局设置 > 策略更改请求选项,然后选择“ISM 集成”选项卡:

2.指定 ISM 系统的详细信息:

ISM 服务器 输入 ISM 服务器的 Web 地址。

API 密钥 输入所需的 API 密钥。
可以从 ISM 配置界面中获取 API 密钥(在“Configure\Security Controls\API Keys”下)。您需要选择希望使用的密钥组的名称,并将 API 密钥复制到 Application Control 控制台中。API 密钥通过 AppSense 配置进行加密。

轮询间隔 如果需要,修改轮询间隔。

3.列出“可用的请求模板”。在首次使用或者要添加新模板时,选择浏览请求模板

随即显示“浏览 ISM 服务请求”对话框。该对话框列出可用的服务请求。

点击浏览并选择所需的请求。

请注意,选择的服务请求必须特定于 Application Control,并且其状态必须为已发布

选择的模板将添加到“可用的请求模板”。

当存在多个请求模板时,可以将一个模板标识为要使用的默认模板。请参阅默认请求模板

4.选择浏览用户

随即显示“浏览 ISM 用户”对话框。该对话框使用 ISM 系统员工数据进行填充。

点击浏览并选择所需的用户。

请注意,因为此选择将确定请求模板的用户(而非用户特定的请求),所以建议为此流程创建别名或者具有代表性的 ISM 用户帐户。这样一来,模板可供许多用户使用,在不同情况下将各个用户名作为特定属性添加到请求。

选择的用户现在将添加到“可用的请求模板”。

5.“忽略服务请求”部分允许您管理正在等待处理的更改请求的列表。忽略在指定日期之前创建的更改请求。例如,当已部署新配置并且对该配置的更改会使先前的策略更改请求无效时,此功能可能很有用。

选择所需的单选按钮并指定所需的日期。

6.在完成“策略更改请求”选项后,选择确定以保存更改。

Application Control 服务请求模板

可以从 Ivanti Marketplace 自由下载 Application Control 服务请求模板。

该模板包括操作、组件和持续时间的列表。管理员可以轻松移除各个项目,以确保可用的选项与用户和组织相关。例如,要移除可供用户无限期发出请求的选项,可以从“持续时间”列表中移除无限期值。

组织可能需要多个不同的请求模板,可以对模板进行配置,为特定用户组或职能启用不同的选项。管理员特别需要考虑选择哪个模板作为默认模板,因为用户组通常会与属于多个组的单个用户重叠。

重叠的用户组 - 示例:


在这里,IT 支持团队中的一名高级经理同时属于三个用户组,但是只能将一个请求模板分配给单个用户。

端点用户 - 创建策略更改请求

启用 ISM 集成后,端点用户能够根据模板中配置的方法来发起和创建策略更改请求(请参阅配置规则的变更请求中的步骤 4)。

发起请求

桌面图标 拒绝访问 - 消息框链接 拒绝访问 - 上下文菜单

端点用户操作:

1.双击桌面图标以发起请求。

2.从“选择资源类型”对话框中选择所需的选项。

应用程序
根据需要,填写“请求此应用程序的授权”对话框。

组件
根据需要,填写“请求此组件的授权”对话框。

注意:只有在通过桌面图标或者通过应用程序中的“创建新请求”选项发起请求时,请求组件访问的选项才可用。

端点用户操作:

1.选择“拒绝访问”消息中的链接。
预先填充的请求对话框随即打开。

2.根据需要,填写“请求此应用程序的授权”对话框。
请注意,示例说明如下。

端点用户操作:

1.右键点击拒绝的项目并从上下文菜单中选择所需的选项,以请求访问。
请注意,此选项的文字可供配置。

2.根据需要,填写“请求此应用程序的授权”对话框。

程序名称 根据发起请求的方式,此字段可能已预先填充。确保指定所需的项目。
如果需要,点击省略号图标并浏览选择所需的应用程序。

发布者 如果选择的应用程序已签名,则显示软件发布者名称。对于未签名的可执行文件,此字段将留空。

请求类型 用户选择所需的权限。可用的选项由请求配置来确定,但是通常将包括:“允许”或者“允许并提升”等。

持续时间 用户为策略的更改选择所需的持续时间。可用的选项由请求配置来确定。

请提供请求访问的原因:用户可以输入请求的原因(可选)。

点击提交请求取消

端点用户 -“质询响应”对话框

Application Control“质询响应”对话框列出各个用户提交的策略更改请求。该对话框显示请求状态和到期日期。

用户可以右键点击请求并从上下文菜单中选择各种选项:

详细信息 显示“服务请求详细信息”窗口。该窗口列出请求的各种属性。根据请求状态,将包括请求的所有者,此信息能够帮助进行特定请求的任何必要的进度跟踪或查询。

重新提交 此选项的可用性取决于请求状态。

当 ISM 服务器的轮询返回对用户请求状态的更改时,会自动显示该对话框。还会显示 Toast 通知,并且任务栏图标指示 ISM 处于活动状态。用户可以随时通过以下方法打开该对话框:

双击“策略更改请求”桌面图标。

选择 Application Control 中的创建新请求

双击任务栏图标 ()。

不同的状态名称(或状态),以及状态的数量,都在 ISM 系统中进行配置。通常,状态包括:已提交、活动、已批准已过期

已批准状态表示已经履行更改请求。例如,在请求对特定应用程序的访问时,已批准表示用户立即获得访问权限。

请注意,通过 ISM 处理的策略更改请求使管理员能够在需要时撤消请求批准。例如,如果发生与已批准的更改相关的风险或问题,那么 ISM 管理员可以将请求状态更改为“活动”并征求建议。当状态回到“活动”时,权限将被拒绝。

相关主题

服务台门户

消息设置