Partilhar via

Configurar o Gerenciamento de Privilégios de Ponto de Extremidade do Microsoft Intune para caixas de desenvolvimento

  • Artigo

Neste artigo, você aprenderá a configurar o Microsoft Intune Endpoint Privilege Management (EPM) para caixas de desenvolvimento para que os usuários da caixa de desenvolvimento não precisem de privilégios administrativos locais.

O Gerenciamento de Privilégios de Ponto de Extremidade do Microsoft Intune permite que os usuários da sua organização sejam executados como um usuário padrão (sem direitos de administrador) e concluam tarefas que exigem privilégios elevados. As tarefas que geralmente exigem privilégios administrativos são instalações de aplicativos (como aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinados diagnósticos do Windows.

O Endpoint Privilege Management está incorporado no Microsoft Intune, o que significa que toda a configuração é concluída no Centro de Administração do Microsoft Intune. Para começar a usar o EPM, use o processo de alto nível descrito da seguinte maneira:

  • License Endpoint Privilege Management - Antes de poder usar as políticas do Endpoint Privilege Management, você deve licenciar o EPM em seu locatário como um complemento do Intune. Para obter informações sobre licenciamento, consulte Usar recursos de complemento do Intune Suite.

  • Implantar uma política de configurações de elevação - Uma política de configurações de elevação ativa o EPM no dispositivo cliente. Essa política também permite que você defina configurações que são específicas para o cliente, mas não estão necessariamente relacionadas à elevação de aplicativos ou tarefas individuais.

Pré-requisitos

  • Um centro de desenvolvimento com um projeto de caixa de desenvolvimento.
  • Subscrição do Microsoft Intune.

Gerenciamento de privilégios de ponto de extremidade de licença

O Endpoint Privilege Management requer uma licença autónoma que adicione apenas EPM ou licencie o EPM como parte do Microsoft Intune Suite.

Nesta seção, você configura o licenciamento do EPM e atribui a licença do EPM a um usuário.

  1. Licencie o EPM em seu locatário como um complemento do Intune:

    1. Abra o centro de administração do Microsoft Intune e navegue até Complementos do Intune de administração>do locatário.
    2. Selecione Endpoint Privilege Management.

  2. Configure a função de administrador do Intune para administração do EPM:

    1. No centro de administração do Intune, aceda a Utilizadores e selecione o utilizador ao qual pretende atribuir a função.

    2. Selecione Adicionar atribuições à função de Administrador do Intune.

      Captura de ecrã do centro de administração do Microsoft Intune, mostrando as funções de administrador de inquilino disponíveis.

  3. Aplique a licença EPM no Microsoft 365:

    No Centro de administração do Microsoft 365, aceda a Gestão de Privilégios de Pontos de Extremidade dos serviços>de Faturação>de Compra e, em seguida, selecione a sua licença EPM.

  4. Atribua licenças E5 e EPM ao usuário alvo no Microsoft Entra ID:

    1. No centro de administração do Intune, aceda a Utilizadores e selecione o utilizador ao qual pretende atribuir as licenças E5 e EPM.

    2. Selecione Atribuições e atribua as licenças.

      Captura de ecrã do centro de administração do Microsoft Intune, mostrando as licenças disponíveis.

Implantar uma política de configurações de elevação

Uma caixa de desenvolvimento deve ter uma política de configurações de elevação que permita o suporte ao EPM para processar uma política de regras de elevação ou gerenciar solicitações de elevação. Quando o suporte está habilitado, o EPM Microsoft Agent, que processa as políticas do EPM, é instalado.

Nesta seção, você cria uma caixa de desenvolvimento e um grupo do Intune que usa para testar a configuração da política do EPM. Em seguida, crie uma política de configurações de elevação do EPM e atribua a política ao grupo.

  1. Criar uma definição de caixa de desenvolvimento

    1. No portal do Azure, crie uma definição de caixa de desenvolvimento. Especifique um sistema operacional suportado, como o Windows 11, versão 22H2.

      Nota

      O EPM suporta os seguintes sistemas operativos:

      • Windows 11 (versões 23H2, 22H2 e 21H2)
      • Windows 10 (versões 22H2, 21H2 e 20H2)

    2. Em seu projeto, crie um pool de caixas de desenvolvimento que use a nova definição de caixa de desenvolvimento.

    3. Atribua a função Usuário da Caixa de Desenvolvimento ao usuário de teste.

  2. Criar uma caixa de desenvolvimento para testar a política

    1. Faça login no portal do desenvolvedor.

    2. Crie uma caixa de desenvolvimento usando o pool de caixas de desenvolvimento que você criou na etapa anterior.

    3. Determine o nome do host da caixa de desenvolvimento. Você usará esse nome de host, adicionará a caixa de desenvolvimento e o grupo do Intune na próxima etapa.

  3. Criar um grupo do Intune e adicionar a caixa de desenvolvimento ao grupo

    1. Abra o centro de administração do Microsoft Intune, selecione Novo grupo de grupos>.

    2. Na caixa suspensa Tipo de grupo, selecione Segurança.

    3. No campo Nome do grupo, insira o nome do novo grupo (por exemplo, Testadores Contoso).

    4. Adicione uma descrição de grupo para o grupo.

    5. Defina o tipo de associação como atribuído.

    6. Em Membros, selecione a caixa de desenvolvimento que você criou.

  4. Crie uma política de configurações de elevação do EPM e atribua-a ao grupo.

    1. No centro de administração do Microsoft Intune, selecione Segurança do ponto de extremidade Políticas>de gerenciamento de privilégios de ponto de>>extremidade Criar política.

      Captura de ecrã do centro de administração do Microsoft Intune, a mostrar a segurança do Endpoint | Painel Gerenciamento de Privilégios de Ponto de Extremidade.

    2. No painel Criar um perfil, selecione as seguintes configurações:

      • Plataforma: Windows 10 e posterior
      • Tipo de perfil: política de configurações de elevação

    3. Na guia Noções básicas, insira um nome para a política.

      Captura de ecrã a mostrar o separador Criar noções básicas de perfil com Nome da política realçado.

    4. Na guia Definições de configuração, em Resposta de elevação padrão, selecione Negar todas as solicitações de elevação.

      Captura de ecrã a mostrar o separador Definições de configuração, com o Endpoint Privilege Management ativado e a resposta de elevação predefinida definida como Negar todos os pedidos.

    5. No separador Atribuições, selecione Adicionar grupos, adicione o grupo criado anteriormente e, em seguida, selecione Criar.

      Captura de ecrã a mostrar o separador Criar atribuições de perfil, com Adicionar grupos realçado.

Verificar restrições de privilégios administrativos

Nesta seção, você valida se o Microsoft EPM Agent está instalado e se a política é aplicada à caixa de desenvolvimento.

  1. Verifique se a política é aplicada à caixa de desenvolvimento:

    1. No centro de administração do Microsoft Intune, selecione Dispositivos> a caixa de desenvolvimento que criou anteriormente >Configuração> do dispositivo a política que criou anteriormente.

      Captura de ecrã a mostrar o centro de administração do Microsoft Intune, com o painel Dispositivos e a Configuração do dispositivo realçados.

    2. Aguarde até que todas as configurações sejam relatadas como Bem-sucedidas.

      Captura de ecrã a mostrar as Definições de Perfil, com o estado Definições realçado.

  2. Verifique se o Microsoft EPM Agent está instalado na caixa de desenvolvimento:

    1. Entre na caixa de desenvolvimento que você criou anteriormente.
    2. Navegue até c:\Arquivos de Programas e verifique se existe uma pasta chamada Microsoft EPM Agent .

  3. Tente executar um aplicativo com privilégios administrativos.

    Na caixa de desenvolvimento, clique com o botão direito do mouse em um aplicativo e selecione Executar com acesso elevado. Você recebe uma mensagem informando que a instalação está bloqueada.

Conteúdos relacionados