Udostępnij za pośrednictwem

Konfigurowanie Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune dla pól deweloperskich

  • Artykuł

Z tego artykułu dowiesz się, jak skonfigurować Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune (EPM) dla pól deweloperskich, aby użytkownicy usługi Dev Box nie potrzebowali lokalnych uprawnień administracyjnych.

Zarządzanie Uprawnieniami Punktów Końcowych w Microsoft Intune umożliwia użytkownikom organizacji uruchamianie jako użytkownik standardowy (bez uprawnień administratora) i wykonywanie zadań wymagających podniesionych uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie określonej diagnostyki systemu Windows.

Usługa Endpoint Privilege Management jest wbudowana w usługę Microsoft Intune, co oznacza, że cała konfiguracja została ukończona w centrum administracyjnym usługi Microsoft Intune. Aby rozpocząć pracę z EPM, użyj procesu wysokiego poziomu opisanego w następujący sposób:

  • Zarządzanie uprawnieniami punktu końcowego licencji — aby można było korzystać z zasad zarządzania uprawnieniami punktu końcowego, musisz licencjonować rozwiązanie EPM w dzierżawie jako dodatek usługi Intune. Aby uzyskać informacje o licencjonowaniu, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune).

  • Wdrażanie zasad ustawień podniesienia uprawnień — zasady ustawień podniesienia uprawnień aktywują aplikację EPM na urządzeniu klienckim. Te zasady umożliwiają również konfigurowanie ustawień specyficznych dla klienta, ale niekoniecznie są związane z podniesieniem uprawnień poszczególnych aplikacji lub zadań.

Wymagania wstępne

  • Centrum deweloperskie z projektem dev box.
  • Subskrypcja usługi Microsoft Intune.

Zarządzanie uprawnieniami punktu końcowego licencji

Usługa Endpoint Privilege Management wymaga autonomicznej licencji, która dodaje tylko epm lub licencję EPM w ramach pakietu Microsoft Intune Suite.

W tej sekcji skonfigurujesz licencjonowanie epm i przypiszesz licencję EPM do użytkownika.

  1. Licencja EPM w dzierżawie jako dodatek usługi Intune:

    1. Otwórz centrum administracyjne usługi Microsoft Intune i przejdź do pozycji Dodatki administratora dzierżawy> usługi Intune.
    2. Wybierz pozycję Zarządzanie uprawnieniami punktu końcowego.

  2. Konfigurowanie roli administratora usługi Intune na potrzeby administrowania EPM:

    1. W centrum administracyjnym usługi Intune przejdź do pozycji Użytkownicy i wybierz użytkownika, do którego chcesz przypisać rolę.

    2. Wybierz pozycję Dodaj przypisania roli Administrator usługi Intune.

      Zrzut ekranu centrum administracyjnego usługi Microsoft Intune przedstawiający dostępne role administratora dzierżawy.

  3. Zastosuj licencję EPM na platformie Microsoft 365:

    W Centrum administracyjne platformy Microsoft 365 przejdź do pozycji Rozliczenia>Zakup usług>Endpoint Privilege Management, a następnie wybierz licencję EPM.

  4. Przypisz licencje E5 i EPM do użytkownika docelowego w usłudze Microsoft Entra ID:

    1. W centrum administracyjnym usługi Intune przejdź do pozycji Użytkownicy i wybierz użytkownika, do którego chcesz przypisać licencje E5 i EPM.

    2. Wybierz pozycję Przypisania i przypisz licencje .

      Zrzut ekranu przedstawiający centrum administracyjne usługi Microsoft Intune z dostępnymi licencjami.

Wdrażanie zasad ustawień podniesienia uprawnień

Pole deweloperskie musi mieć zasady ustawień podniesienia uprawnień, które umożliwiają obsługę programu EPM w celu przetwarzania zasad reguł podniesienia uprawnień lub zarządzania żądaniami podniesienia uprawnień. Po włączeniu obsługi program Microsoft Agent EPM, który przetwarza zasady EPM, jest instalowany.

W tej sekcji utworzysz pole deweloperskie i grupę usługi Intune używaną do testowania konfiguracji zasad EPM. Następnie utworzysz zasady ustawień podniesienia uprawnień epm i przypiszesz zasady do grupy.

  1. Tworzenie definicji pola deweloperskiego

    1. W witrynie Azure Portal utwórz definicję pola deweloperskiego. Określ obsługiwany system operacyjny, taki jak Windows 11, wersja 22H2.

      Uwaga

      Rozwiązanie EPM obsługuje następujące systemy operacyjne:

      • Windows 11 (wersje 23H2, 22H2 i 21H2)
      • Windows 10 (wersje 22H2, 21H2 i 20H2)

    2. W projekcie utwórz pulę deweloperów, która używa nowej definicji pola deweloperskiego.

    3. Przypisz użytkownikowi testowemu rolę użytkownika usługi Dev Box.

  2. Tworzenie pola deweloperskiego na potrzeby testowania zasad

    1. Zaloguj się do portalu deweloperów.

    2. Utwórz pole deweloperskie przy użyciu puli deweloperów utworzonej w poprzednim kroku.

    3. Określ nazwę hosta pola deweloperskiego. Użyjesz tej nazwy hosta, aby dodać pole deweloperskie do grupy i grupę usługi Intune w następnym kroku.

  3. Tworzenie grupy usługi Intune i dodawanie pola deweloperskiego do grupy

    1. Otwórz centrum administracyjne usługi Microsoft Intune, wybierz pozycję Grupy>Nowa grupa.

    2. W polu listy rozwijanej Typ grupy wybierz pozycję Zabezpieczenia.

    3. W polu Nazwa grupy wprowadź nazwę nowej grupy (na przykład Testerzy Contoso).

    4. Dodaj opis grupy.

    5. Ustaw wartość Typ członkostwa na Przypisano.

    6. W obszarze Członkowie wybierz utworzone pole deweloperskie.

  4. Utwórz zasady ustawień podniesienia uprawnień EPM i przypisz je do grupy.

    1. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Zasady>zarządzania uprawnieniami>punktu końcowego zabezpieczeń>punktu końcowego.

      Zrzut ekranu centrum administracyjnego usługi Microsoft Intune przedstawiający zabezpieczenia punktu końcowego | Okienko Zarządzanie uprawnieniami punktu końcowego.

    2. W okienku Tworzenie profilu wybierz następujące ustawienia:

      • Platforma: Windows 10 lub nowszy
      • Typ profilu: zasady ustawień podniesienia uprawnień

    3. Na karcie Podstawy wprowadź nazwę zasad.

      Zrzut ekranu przedstawiający kartę Tworzenie podstaw profilu z wyróżnioną nazwą zasad.

    4. Na karcie Ustawienia konfiguracji w obszarze Domyślna odpowiedź na podniesienie uprawnień wybierz pozycję Odmów wszystkich żądań podniesienia uprawnień.

      Zrzut ekranu przedstawiający kartę Ustawienia konfiguracji z włączoną funkcją Zarządzanie uprawnieniami punktu końcowego i domyślną odpowiedzią na podniesienie uprawnień ustawioną na Odmów wszystkich żądań.

    5. Na karcie Przypisania wybierz pozycję Dodaj grupy, dodaj utworzoną wcześniej grupę, a następnie wybierz pozycję Utwórz.

      Zrzut ekranu przedstawiający kartę Tworzenie przypisań profilu z wyróżnioną pozycją Dodaj grupy.

Weryfikowanie ograniczeń uprawnień administracyjnych

W tej sekcji sprawdzisz, czy program Microsoft EPM Agent jest zainstalowany, a zasady są stosowane do pola deweloperskiego.

  1. Sprawdź, czy zasady są stosowane do pola deweloperskiego:

    1. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Urządzenia> utworzone wcześniej> pole deweloperskie Konfiguracja> urządzenia utworzone wcześniej.

      Zrzut ekranu przedstawiający centrum administracyjne usługi Microsoft Intune z wyróżnionym okienkiem Urządzenia i konfiguracją urządzenia.

    2. Poczekaj, aż wszystkie ustawienia raportu mają wartość Powodzenie.

      Zrzut ekranu przedstawiający ustawienia profilu z wyróżnionym stanem ustawienia.

  2. Sprawdź, czy program Microsoft EPM Agent jest zainstalowany w polu deweloperskim:

    1. Zaloguj się do utworzonego wcześniej pola deweloperskiego.
    2. Przejdź do folderu c:\Program Files i sprawdź, czy istnieje folder o nazwie Microsoft EPM Agent .

  3. Spróbuj uruchomić aplikację z uprawnieniami administracyjnymi.

    W polu deweloperskim kliknij prawym przyciskiem myszy aplikację i wybierz polecenie Uruchom z podwyższonym poziomem uprawnień. Zostanie wyświetlony komunikat o zablokowaniu instalacji.

Powiązana zawartość