開発ボックス用の Microsoft Intune エンドポイント特権管理を構成する

この記事では、開発ボックス用の Microsoft Intune エンドポイント特権管理 (EPM) を構成して、開発ボックス ユーザーにローカル管理者特権が必要なくなるようにする方法について説明します。

Microsoft Intune エンドポイント特権管理を使用すると、組織のユーザーが (管理者特権のない) 標準ユーザーとして実行しながら、昇格された特権を必要とするタスクを完了できるようになります。 一般的に管理者特権が必要なタスクには、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行などがあります。

エンドポイント特権管理は Microsoft Intune に組み込まれているため、すべての構成は Microsoft Intune 管理センター内で完了します。 EPM の使用を開始するには、次のようなプロセスの概要を使用します。

• エンドポイント特権管理のライセンス付与 - エンドポイント特権管理ポリシーを使用する前に、Intune アドオンとしてテナントで EPM のライセンスを取得する必要があります。 ライセンス情報については、「Intune Suite アドオン機能を使用する」を参照してください。

• 昇格設定ポリシーをデプロイする - 昇格設定ポリシーは、クライアント デバイスで EPM をアクティブ化します。 このポリシーでは、クライアントに固有の設定を構成することもできますが、必ずしも個々のアプリケーションやタスクの昇格に関連しているわけではありません。

前提条件

• 開発ボックス プロジェクトがある開発センター。
• Microsoft Intune サブスクリプション。

エンドポイント特権管理のライセンス付与

エンドポイント特権管理には、EPM のみを追加するスタンドアロン ライセンス、または Microsoft Intune Suite の一部として EPM へのライセンス付与が必要です。

このセクションでは、EPM ライセンスを構成し、EPM ライセンスをユーザーに割り当てます。

1. テナントで Intune アドオンとして EPM にライセンス付与する:

   1. Microsoft Intune 管理センターを開き、[テナント管理]>[Intune アドオン] に移動します。
   2. [エンドポイント特権管理] を選択します。

2. EPM 管理用の Intune 管理者ロールを構成する:

   1. Intune 管理センターで、[ユーザー] に移動し、ロールを割り当てるユーザーを選択します。

   2. [割り当ての追加] で [Intune 管理者] ロールを選択します。

      

3. Microsoft 365 で EPM ライセンスを適用する:

   Microsoft 365 管理センターで、[課金]>[サービスの購入]>[エンドポイント特権管理] に移動し、EPM ライセンスを選択します。

4. Microsoft Entra ID のターゲット ユーザーに E5 と EPM ライセンスを割り当てる:

   1. Intune 管理センターで、[ユーザー] に移動し、E5 ライセンスと EPM ライセンスを割り当てるユーザーを選択します。

   2. [割り当て] を選択し、ライセンスを割り当てます。

      

昇格設定ポリシーをデプロイする

開発ボックスには、昇格ルール ポリシーの処理または昇格要求の管理を行う EPM のサポートを有効にする昇格設定ポリシーが必要です。 サポートを有効にすると、EPM ポリシーを処理する EPM Microsoft Agent がインストールされます。

このセクションでは、EPM ポリシー構成をテストするために使用する開発ボックスと Intune グループを作成します。 次に、EPM 昇格設定ポリシーを作成し、そのポリシーをグループに割り当てます。

1. 開発ボックス定義を作成する

   1. Azure portal で、開発ボックスの定義を作成します。 Windows11 バージョン 22H2のように、サポートされている OS を指定します。

      Note

      EPM では、次のオペレーティング システムがサポートされています。

      • Windows 11 (バージョン 23H2、22H2、21H2)
      • Windows 10 (バージョン 22H2、21H2、20H2)

   2. プロジェクトで、新しい開発ボックスの定義を使用する開発ボックス プールを作成します。

   3. テスト ユーザーに [開発ボックス ユーザー] ロールを割り当てます。

2. ポリシーのテスト用に開発ボックスを作成する

   1. 開発者ポータルにサインインします。

   2. 前のステップで作成した開発ボックス プールを使用して開発ボックスを作成します。

   3. 開発ボックスのホスト名を決定します。 このホスト名を使用して、次のステップで Intune グループに開発ボックスを追加します。

3. Intune グループを作成し、開発ボックスをグループに追加する

   1. [Microsoft Intune 管理センター] を開き、[グループ]>[新しいグループ] を選択します。

   2. [グループの種類] ドロップダウン ボックスで [セキュリティ] を選択します。

   3. [グループ名] フィールドに、新しいグループの名前を入力します (例: Contoso Testers)。

   4. グループに [グループの説明] を追加します。

   5. [メンバーシップの種類] を [割り当て済み] に設定します。

   6. [メンバー] で、作成した開発ボックスを選択します。

4. EPM 昇格設定ポリシーを作成し、そのポリシーをグループに割り当てます。

   1. Microsoft Intune 管理センターで、[エンドポイント セキュリティ]>[エンドポイント特権管理]>[ポリシー]>[ポリシーの作成] を選択します。

      

   2. [プロファイルの作成] ペインで、次の設定を選択します:

      • プラットフォーム: Windows 10 以降
      • プロファイルの種類: 昇格設定ポリシー

   3. [基本] タブで、ポリシーの名前を入力します。

      

   4. [構成設定] タブの [既定の昇格の応答] で、[すべての昇格要求を拒否する] を選択します。

      

   5. [割り当て] タブで、[グループの追加] を選択し、先ほど作成したグループを追加して、[作成] を選択します。

      

管理者特権の制限を確認する

このセクションでは、Microsoft EPM エージェントがインストールされ、ポリシーが開発ボックスに適用されていることを検証します。

1. ポリシーが開発ボックスに適用されていることを確認します。

   1. Microsoft Intune 管理センターで、先ほど作成した開発ボックスの [デバイス]> を選択し、先ほど作成したポリシーの >[デバイス構成]> を選択します。

      

   2. すべての設定が [成功] と報告されるまで待機します。

      

2. Microsoft EPM エージェントが開発ボックスにインストールされていることを確認する:

   1. 先ほど作成した開発ボックスにサインインします。
   2. c:\Program Files に移動し、[Microsoft EPM エージェント] というフォルダーが存在することを確認します。

3. 管理特権でアプリケーションの実行を試みます。

   開発ボックスで、アプリケーションを右クリックし、[昇格されたアクセス権を実行する] を選択します。 インストールがブロックされたことを示すメッセージが表示されます。

関連するコンテンツ

• Intune Suite アドオン機能を使用します。
• Microsoft Intune でエンドポイント特権管理を使用します。