Configurar o Gerenciamento de Privilégios do Ponto de Extremidade do Microsoft Intune para computadores de desenvolvimento

Neste artigo, você aprenderá a configurar o EPM (Gerenciamento de Privilégios do Ponto de Extremidade do Microsoft Intune) para computadores de desenvolvimento, de modo que os usuários do computador de desenvolvimento não precisem de privilégios administrativos locais.

O Gerenciamento de Privilégios de Ponto de Extremidade do Microsoft Intune permite que os usuários da sua organização sejam executados como um usuário padrão (sem direitos de administrador) e concluam tarefas que exigem privilégios elevados. As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como os Aplicativos Microsoft 365), atualização de drivers de dispositivos e execução de determinados diagnósticos do Windows.

O Gerenciamento de Privilégios do Ponto de Extremidade é incorporado ao Microsoft Intune, o que significa que toda a configuração é concluída no Centro de Administração do Microsoft Intune. Para começar a usar o EPM, use o processo de alto nível descrito a seguir:

• Licença do Gerenciamento de Privilégios do Ponto de Extremidade: antes de poder usar as políticas do Gerenciamento de Privilégios do Ponto de Extremidade, você deve licenciar o EPM em seu locatário como um complemento do Intune. Para obter informações sobre licenciamento, consulte Usar funcionalidades complementares do Intune Suite.

• Implantar uma política de configurações de elevação: uma política de configurações de elevação ativa o EPM no dispositivo cliente. Essa política também permite definir configurações específicas para o cliente, mas não necessariamente relacionadas à elevação de aplicativos ou tarefas individuais.

Pré-requisitos

• Um centro de desenvolvimento com um projeto de computador de desenvolvimento.
• Assinatura do Microsoft Intune.

Licença do Gerenciamento de Privilégios do Ponto de Extremidade

O Gerenciamento de Privilégios do Ponto de Extremidade requer uma licença autônoma que adicione apenas o EPM ou uma licença do EPM como parte do Microsoft Intune Suite.

Nesta seção, configure o licenciamento do EPM e atribua a licença do EPM a um usuário.

1. Licencie o EPM em seu locatário como um complemento do Intune:

   1. Abra o Centro de administração do Microsoft Intune e navegue até Administração do locatário>Complementos do Intune.
   2. Selecione Gerenciamento de Privilégios do Ponto de Extremidade.

2. Configure a função de administrador do Intune para administração do EPM:

   1. No centro de administração do Intune, vá para Usuários e selecione o usuário ao qual deseja atribuir a função.

   2. Selecione Adicionar atribuições a função de Administrador do Intune.

      

3. Aplique a licença do EPM no Microsoft 365:

   No centro de administração do Microsoft 365, acesse Cobrança>Comprar Serviços>Gerenciamento de Privilégios do Ponto de Extremidade e selecione sua licença EPM.

4. Atribua as licenças E5 e EPM ao usuário de destino no Microsoft Entra ID:

   1. No centro de administração do Intune, vá para Usuários e selecione o usuário ao qual deseja atribuir as licenças do E5 e do EPM.

   2. Selecione Atribuições e atribua as licenças.

      

Implantar uma política de configurações de elevação

Um computador de desenvolvimento deve ter uma política de configurações de elevação que habilite o suporte ao EPM para processar uma política de regras de elevação ou gerenciar solicitações de elevação. Quando o suporte é habilitado, o EPM Microsoft Agent, que processa as políticas do EPM, é instalado.

Nesta seção, crie um computador de desenvolvimento e um grupo do Intune que você usará para testar a configuração da política do EPM. Em seguida, crie uma política de configurações de elevação do EPM e atribua a política ao grupo.

1. Criar uma definição de computador de desenvolvimento

   1. No portal do Microsoft Azure, crie uma definição de computador de desenvolvimento. Especifique um sistema operacional com suporte, como o Windows 11, versão 22H2.

      Observação

      O EPM é dá suporte aos seguintes sistemas operacionais:

      • Windows 11 (versões 23H2, 22H2 e 21H2)
      • Windows 10 (versões 22H2, 21H2 e 20H2)

   2. Em seu projeto, crie um pool de computadores de desenvolvimento que use a nova definição de computador de desenvolvimento.

   3. Atribua a função Usuário do Computador de Desenvolvimento ao usuário de teste.

2. Criar um computador de desenvolvimento para testar a política

   1. Entre no portal do desenvolvedor.

   2. Crie um computador de desenvolvimento usando o pool de computadores de desenvolvimento que você criou na etapa anterior.

   3. Determine o nome do host do computador de desenvolvimento. Você usará esse nome de host para adicionar o computador de desenvolvimento e o grupo do Intune na próxima etapa.

3. Crie um grupo do Intune e adicione o computador de desenvolvimento ao grupo

   1. Abra o Centro de administração do Microsoft Intune, selecione Grupos>Novo grupo.

   2. Na caixa suspensa Tipo de grupo, selecione Segurança.

   3. No campo Nome do grupo, insira o nome do novo grupo (por exemplo, Testadores da Contoso).

   4. Adicione uma Descrição do Grupo para o grupo.

   5. Defina Tipo de associação como Atribuído.

   6. Em Membros, selecione o computador de desenvolvimento que você criou.

4. Crie uma política de configurações de elevação do EPM e atribua-a ao grupo.

   1. No centro de administração do Microsoft Intune, selecione Segurança do ponto de extremidade>Gerenciamento de Privilégios de Ponto de Extremidade>Políticas>Criar Política.

      

   2. No painel Criar um perfil, selecione as configurações a seguir:

      • Plataforma: Windows 10 e posterior
      • Tipo de perfil: política de configurações de elevação

   3. Na guia Básico, insira um nome para a política.

      

   4. Na guia Definições de configuração, em Resposta padrão de elevação, selecione Negar todas as solicitações de elevação.

      

   5. Na guia Atribuições, selecione Adicionar grupos, adicione o grupo criado anteriormente e selecione Criar.

      

Verificar restrições de privilégios administrativos

Nesta seção, valide se o Agente Microsoft EPM está instalado e se a política está aplicada ao computador de desenvolvimento.

1. Verifique se a política está aplicada ao computador de desenvolvimento:

   1. No centro de administração do Microsoft Intune, selecione Dispositivos> o computador de desenvolvimento que você criou anteriormente >Configuração do dispositivo> a política que você criou anteriormente.

      

   2. Aguarde até que todas as configurações sejam reportadas como Bem-sucedidas.

      

2. Verifique se o Microsoft EPM Agent está instalado no computador de desenvolvimento:

   1. Entre no computador de desenvolvimento que você criou anteriormente.
   2. Navegue até c:\Program Files e verifique se existe uma pasta chamada Microsoft EPM Agent.

3. Tente executar um aplicativo com privilégios administrativos.

   Em seu computador de desenvolvimento, clique com o botão direito do mouse em um aplicativo e selecione Executar com acesso elevado. Você recebe uma mensagem informando que a instalação está bloqueada.

Conteúdo relacionado

• Usar os recursos complementares do Intune Suite.
• Use o Gerenciamento de Privilégios do Ponto de Extremidade com o Microsoft Intune.