Partager via

Configurer la Gestion des privilèges de points de terminaison Microsoft Intune pour les dev box

  • Article

Dans cet article, vous allez apprendre comment configurer la Gestion des privilèges de points de terminaison (EPM) Microsoft Intune pour les dev box afin que les utilisateurs de dev box n’aient pas besoin de privilèges d’administration locaux.

La Gestion des privilèges de points de terminaison Microsoft Intune permet aux utilisateurs de votre organisation d’effectuer des tâches nécessitant des privilèges élevés en tant qu’utilisateurs standard (sans droits d’administrateur). Les tâches nécessitant généralement des privilèges Administrateur sont les installations d’applications (comme des applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

La Gestion des privilèges de points de terminaison est intégrée à Microsoft Intune, ce qui signifie que toute la configuration s’achève dans le Centre d’administration Microsoft Intune. Pour une prise en main d’EPM, utilisez le processus de haut niveau décrit ci-après :

  • Gestion des privilèges de points de terminaison de licence : avant de pouvoir utiliser des stratégies de Gestion des privilèges de points de terminaison, vous devez fournir une licence EPM à votre locataire en tant que module complémentaire Intune. Pour plus d’informations sur les licences, consultez Utiliser des fonctionnalités du module complémentaire Intune Suite.

  • Déployer une stratégie de paramètres d’élévation : une stratégie de paramètres d’élévation active EPM sur l’appareil client. Cette stratégie vous permet également de configurer des paramètres spécifiques au client, sans être nécessairement liés à l’élévation d’applications ou de tâches individuelles.

Prérequis

  • Centre de développement avec un projet dev box.
  • Abonnement à Microsoft Intune.

Gestion des privilèges de points de terminaison de licence

La Gestion des privilèges de points de terminaison nécessite une licence autonome qui ajoute uniquement EPM ou un EPM de licence dans le cadre de Microsoft Intune Suite.

Dans cette section, vous allez configurer des licences EPM et en affecter une un utilisateur.

  1. Licence EPM dans votre locataire en tant que module complémentaire Intune :

    1. Ouvrez le Centre d’administration Microsoft Intune, puis accédez à Administrateur du locataire>Modules complémentaires Intune.
    2. Sélectionnez Gestion des privilèges de points de terminaison.

  2. Configurer un rôle Administrateur Intune pour l’administration EPM :

    1. Dans le Centre d’administration Intune, accédez à Utilisateurs et sélectionnez l’utilisateur auquel attribuer le rôle.

    2. Sélectionnez Ajouter des attributions, puis le rôle Administrateur Intune.

      Capture d’écran du Centre d’administration Microsoft Intune montrant les rôles d’administrateur client disponibles.

  3. Appliquez la licence EPM dans Microsoft 365 :

    Dans le Centre d’administration Microsoft 365, accédez à Facturation>Services d’achat>Gestion des privilèges de points de terminaison et sélectionnez votre licence EPM.

  4. Attribuez des licences E5 et EPM à l’utilisateur cible dans Microsoft Entra ID :

    1. Dans le Centre d’administration Intune, accédez à Utilisateurs et sélectionnez l’utilisateur auquel affecter les licences E5 et EPM.

    2. Sélectionnez Affectations et attribuez les licences.

      Capture d’écran du Centre d’administration Microsoft Intune montrant les licences disponibles.

Déployer une stratégie de paramètres d’élévation

Une dev box doit avoir une stratégie de paramètres d’élévation permettant la prise en charge d’EPM pour traiter une stratégie de règles d’élévation ou gérer les demandes d’élévation. Lorsque la prise en charge est activée, l’agent Microsoft EPM (qui traite les stratégies EPM) est installé.

Dans cette section, vous allez créer une dev box et un groupe Intune à utiliser pour tester la configuration de la stratégie EPM. Vous créez ensuite une stratégie de paramètres d’élévation EPM et l’affectez au groupe.

  1. Créer une définition de dev box

    1. Dans le Portail Azure, créez une définition de dev box. Spécifiez un système d’exploitation pris en charge, comme Windows 11, version 22H2.

      Remarque

      EPM prend en charge les systèmes d’exploitation suivants :

      • Windows 11 (versions 23H2, 22H2 et 21H2)
      • Windows 10 (versions 22H2, 21H2 et 20H2)

    2. Dans votre projet, créez un Pool de dev box qui utilise la nouvelle définition de dev box.

    3. Affectez le rôle utilisateur de Dev Box à l’utilisateur de test.

  2. Créer une dev box pour le test de stratégie

    1. Connectez-vous au portail des développeurs.

    2. Créez une dev box à l’aide du pool de dev box créé lors de l’étape précédente.

    3. Déterminez le nom d’hôte de la dev box. Vous allez utiliser ce nom d’hôte pour ajouter la dev box au groupe Intune à l’étape suivante.

  3. Créer un groupe Intune et ajouter la dev box à ce groupe

    1. Ouvrez le Centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveaux groupes.

    2. Dans la zone déroulante Type de groupe, sélectionnez Sécurité.

    3. Dans le champ Nom du groupe, entrez le nom du nouveau groupe (par exemple Testeurs Contoso).

    4. Ajoutez une Description de groupe au groupe.

    5. Définissez le Type d’appartenance sur Attribué.

    6. Sous Membres, sélectionnez la dev box créée.

  4. Créez une stratégie de paramètres d’élévation EPM et affectez-la au groupe.

    1. Dans le Centre d’administration Microsoft Intune, sélectionnez Sécurité du point de terminaison>Gestion des privilèges de points de terminaison>Stratégies>Créer une stratégie.

      Capture d’écran du Centre d’administration Microsoft Intune montrant le volet Sécurité des points de terminaison | Gestion des privilèges de points de terminaison.

    2. Dans le volet Créer un profil, sélectionnez les paramètres suivants :

      • Plateforme : Windows 10 et ultérieur
      • Type de profil : stratégie de paramètres d’élévation

    3. Sous l’onglet Paramètres de base, entrez un nom pour la stratégie.

      Capture d’écran montrant l’onglet Informations de base sous Créer un profil, avec le nom de la stratégie mis en évidence.

    4. Sous l’onglet Paramètres de configuration, dans Réponse d’élévation par défaut, sélectionnez Refuser toutes les demandes d’élévation.

      Capture d’écran montrant l’onglet Paramètres de configuration, avec le paramètre Gestion des privilèges de points de terminaison activé et le paramètre Réponse d’élévation par défaut défini sur Refuser toutes les requêtes.

    5. Sous l’onglet Affectations, sélectionnez Ajouter des groupes, ajoutez le groupe créé précédemment et sélectionnez Créer.

      Capture d’écran montrant l’onglet Attributions sous Créer un profil, avec l’option Ajouter des groupes mise en évidence.

Vérifier les restrictions relatives aux privilèges Administrateur

Dans cette section, vous vous assurez de l’installation de l’agent Microsoft EPM et de l’application de la stratégie à la dev box.

  1. Assurez-vous de l’application de la stratégie à la dev box :

    1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils> la dev box créée précédemment, >Configuration de l’appareil> la stratégie créée précédemment.

      Capture d’écran montrant le Centre d’administration Microsoft Intune, avec le volet Appareils et le paramètre Configuration de l’appareil mis en évidence.

    2. Attendez que tous les paramètres indiquent Réussi.

      Capture d’écran montrant les Paramètres du profil, avec État du paramètre mis en évidence.

  2. Assurez-vous de l’installation de l’agent Microsoft EPM sur la dev box :

    1. Connectez-vous à la dev box créée précédemment.
    2. Accédez à c:\Program Files et assurez-vous de l’existence d’un dossier nommé Agent Microsoft EPM.

  3. Essayez d’exécuter une application avec des privilèges Administrateur.

    Dans votre dev box, cliquez avec le bouton droit sur une application et sélectionnez Exécuter avec une élévation de privilèges. Vous recevez un message indiquant un blocage de l’installation.

Contenu connexe