Delen via

Microsoft Intune Endpoint Privilege Management configureren voor dev-vakken

  • Artikel

In dit artikel leert u hoe u Microsoft Intune Endpoint Privilege Management (EPM) configureert voor ontwikkelvakken, zodat gebruikers van dev boxs geen lokale beheerdersbevoegdheden nodig hebben.

Met Microsoft Intune Endpoint Privilege Management kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor vaak beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.

Endpoint Privilege Management is ingebouwd in Microsoft Intune, wat betekent dat alle configuratie is voltooid in het Microsoft Intune-beheercentrum. Als u aan de slag wilt met EPM, gebruikt u het proces op hoog niveau dat als volgt wordt beschreven:

  • License Endpoint Privilege Management : voordat u Endpoint Privilege Management-beleid kunt gebruiken, moet u EPM in uw tenant als Intune-invoegtoepassing licentie gebruiken. Zie De mogelijkheden voor invoegtoepassingen van Intune Suite gebruiken voor licentiegegevens.

  • Een beleid voor uitbreidingsinstellingen implementeren: een beleid voor uitbreidingsinstellingen activeert EPM op het clientapparaat. Met dit beleid kunt u ook instellingen configureren die specifiek zijn voor de client, maar die niet noodzakelijkerwijs te maken hebben met de uitbreiding van afzonderlijke toepassingen of taken.

Vereisten

  • Een ontwikkelaarscentrum met een dev box-project.
  • Microsoft Intune-abonnement.

Licentie-eindpuntprivilegiatiebeheer

Endpoint Privilege Management vereist een zelfstandige licentie waarmee alleen EPM of licentie-EPM wordt toegevoegd als onderdeel van de Microsoft Intune Suite.

In deze sectie configureert u EPM-licenties en wijst u de EPM-licentie toe aan een gebruiker.

  1. Licentie epm in uw tenant als een Intune-invoegtoepassing:

    1. Open het Microsoft Intune-beheercentrum en navigeer naar Intune-invoegtoepassingen voor tenantbeheerder>.
    2. Selecteer Endpoint Privilege Management.

  2. Intune-beheerdersrol configureren voor EPM-beheer:

    1. Ga in het Intune-beheercentrum naar Gebruikers en selecteer de gebruiker waaraan u de rol wilt toewijzen.

    2. Selecteer Toewijzingen toevoegen met de rol Intune-beheerder .

      Schermopname van het Microsoft Intune-beheercentrum met de beschikbare tenantbeheerdersrollen.

  3. Pas de EPM-licentie toe in Microsoft 365:

    Ga in het Microsoft 365-beheercentrum naar Endpoint Privilege Management voor factureringsaankoopservices>>en selecteer vervolgens uw EPM-licentie.

  4. Wijs E5- en EPM-licenties toe aan de doelgebruiker in Microsoft Entra-id:

    1. Ga in het Intune-beheercentrum naar Gebruikers en selecteer de gebruiker waaraan u de E5- en EPM-licenties wilt toewijzen.

    2. Selecteer Toewijzingen en wijs de licenties toe.

      Schermopname van het Microsoft Intune-beheercentrum met de beschikbare licenties.

Beleid voor uitbreidingsinstellingen implementeren

Een ontwikkelvak moet een beleid voor uitbreidingsinstellingen hebben waarmee ondersteuning voor EPM een beleid voor uitbreidingsregels kan verwerken of aanvragen voor benodigde bevoegdheden kan beheren. Wanneer ondersteuning is ingeschakeld, wordt de EPM Microsoft Agent, die het EPM-beleid verwerkt, geïnstalleerd.

In deze sectie maakt u een ontwikkelaarsvak en een Intune-groep die u gebruikt om de EPM-beleidsconfiguratie te testen. Vervolgens maakt u een EPM-beleid voor uitbreidingsinstellingen en wijst u het beleid toe aan de groep.

  1. Een definitie van een dev box maken

    1. Maak in Azure Portal een definitie van een dev box. Geef een ondersteund besturingssysteem op, zoals Windows 11, versie 22H2.

      Notitie

      EPM ondersteunt de volgende besturingssystemen:

      • Windows 11 (versies 23H2, 22H2 en 21H2)
      • Windows 10 (versies 22H2, 21H2 en 20H2)

    2. Maak in uw project een dev box-pool die gebruikmaakt van de nieuwe definitie van het ontwikkelaarsvak.

    3. Wijs de rol Dev Box-gebruiker toe aan de testgebruiker.

  2. Een ontwikkelvak maken voor het testen van het beleid

    1. Meld u aan bij de ontwikkelaarsportal.

    2. Maak een ontwikkelvak met behulp van de dev box-pool die u in de vorige stap hebt gemaakt.

    3. Bepaal de hostnaam van het dev-vak. In de volgende stap gebruikt u deze hostnaam om het ontwikkelaarsvak toe te voegen aan en de Intune-groep.

  3. Een Intune-groep maken en het ontwikkelvak toevoegen aan de groep

    1. Open het Microsoft Intune-beheercentrum en selecteer Nieuwe groep groepen>.

    2. Selecteer Beveiliging in de vervolgkeuzelijst Groepstype.

    3. Voer in het veld Groepsnaam de naam in voor de nieuwe groep (bijvoorbeeld Contoso Testers).

    4. Voeg een groepsbeschrijving voor de groep toe.

    5. Stel het lidmaatschapstype in op Toegewezen.

    6. Selecteer onder Leden het ontwikkelvak dat u hebt gemaakt.

  4. Maak een EPM-beleid voor uitbreidingsinstellingen en wijs dit toe aan de groep.

    1. Selecteer in het Microsoft Intune-beheercentrum eindpuntbeveiligingsbeleid voor eindpuntbeveiliging>>:>beleid maken.

      Schermopname van het Microsoft Intune-beheercentrum met de eindpuntbeveiliging | Deelvenster Endpoint Privilege Management.

    2. Selecteer in het deelvenster Een profiel maken de volgende instellingen:

      • Platform: Windows 10 en hoger
      • Profieltype: Beleid voor uitbreidingsinstellingen

    3. Voer op het tabblad Basisinformatie een naam in voor het beleid.

      Schermopname van het tabblad Basisbeginselen van profiel maken met Beleidsnaam gemarkeerd.

    4. Selecteer op het tabblad Configuratie-instellingen in het antwoord standaardverhoging alle aanvragen voor benodigde bevoegdheden weigeren.

      Schermopname van het tabblad Configuratie-instellingen, waarbij Endpoint Privilege Management is ingeschakeld en het antwoord op standaardverhoging is ingesteld op Alle aanvragen weigeren.

    5. Selecteer groepen toevoegen op het tabblad Toewijzingen, voeg de groep toe die u eerder hebt gemaakt en selecteer vervolgens Maken.

      Schermopname van het tabblad Profieltoewijzingen maken, met Groepen toevoegen gemarkeerd.

Beperkingen voor beheerdersbevoegdheden controleren

In deze sectie valideert u of de Microsoft EPM-agent is geïnstalleerd en het beleid wordt toegepast op het ontwikkelvak.

  1. Controleer of het beleid is toegepast op het ontwikkelvak:

    1. Selecteer in het Microsoft Intune-beheercentrum het dev-vak Apparaten> dat u eerder >hebt gemaakt met de apparaatconfiguratie> , het beleid dat u eerder hebt gemaakt.

      Schermopname van het Microsoft Intune-beheercentrum, met het deelvenster Apparaten en de apparaatconfiguratie gemarkeerd.

    2. Wacht totdat alle instellingen zijn voltooid.

      Schermopname van de profielinstellingen, met de instellingsstatus gemarkeerd.

  2. Controleer of de Microsoft EPM-agent is geïnstalleerd in het ontwikkelvak:

    1. Meld u aan bij het ontwikkelvak dat u eerder hebt gemaakt.
    2. Navigeer naar c:\Program Files en controleer of er een map met de naam Microsoft EPM Agent bestaat.

  3. Probeer een toepassing uit te voeren met beheerdersbevoegdheden.

    Klik in uw ontwikkelvak met de rechtermuisknop op een toepassing en selecteer Uitvoeren met verhoogde toegang. U ontvangt een bericht dat de installatie is geblokkeerd.

Gerelateerde inhoud