Настройка Управление привилегиями на конечных точках Microsoft Intune для полей разработки
Из этой статьи вы узнаете, как настроить Управление привилегиями на конечных точках Microsoft Intune (EPM) для полей разработки, чтобы пользователи не нуждались в локальных административных привилегиях.
Управление привилегиями на конечных точках Microsoft Intune позволяет пользователям вашей организации работать как стандартный пользователь (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, которые обычно требуют прав администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и выполнение определенных диагностика Windows.
Управление привилегиями конечной точки встроено в Microsoft Intune, что означает, что все конфигурации завершены в Центре администрирования Microsoft Intune. Чтобы приступить к работе с EPM, используйте высокоуровневый процесс, описанный ниже.
Управление привилегиями конечной точки лицензии. Прежде чем использовать политики управления привилегиями конечных точек, необходимо лицензировать EPM в клиенте в качестве надстройки Intune. Сведения о лицензировании см. в разделе "Использование возможностей надстройки Intune Suite".
Развертывание политики параметров повышения прав . Политика параметров повышения прав активирует EPM на клиентском устройстве. Эта политика также позволяет настраивать параметры, относящиеся к клиенту, но не обязательно связаны с повышением прав отдельных приложений или задач.
Необходимые компоненты
- Центр разработки с проектом dev box.
- Подписка Microsoft Intune.
Управление привилегиями конечной точки лицензии
Для управления привилегиями конечной точки требуется автономная лицензия, которая добавляет только EPM или лицензирование EPM в составе Microsoft Intune Suite.
В этом разделе описана настройка лицензирования EPM и назначение лицензии EPM пользователю.
Лицензирование EPM в клиенте в качестве надстройки Intune:
- Откройте Центр администрирования Microsoft Intune и перейдите к надстройкам Intune администратора>клиента.
- Выберите "Управление привилегиями конечной точки".
Настройка роли администратора Intune для администрирования EPM:
В Центре администрирования Intune перейдите в раздел "Пользователи" и выберите пользователя, которому нужно назначить роль.
Выберите "Добавить назначения" роль администратора Intune.
Примените лицензию EPM в Microsoft 365:
В Центр администрирования Microsoft 365 перейдите в раздел "Управление привилегиями для приобретения счетов>" и>выберите лицензию EPM.
Назначение лицензий E5 и EPM целевому пользователю в идентификаторе Microsoft Entra:
В Центре администрирования Intune перейдите к пользователям и выберите пользователя, которому нужно назначить лицензии E5 и EPM.
Выберите назначения и назначьте лицензии.
Развертывание политики параметров повышения прав
Поле разработки должно иметь политику параметров повышения прав, которая позволяет поддерживать EPM для обработки политики правил повышения прав или управления запросами на повышение прав. Если поддержка включена, microsoft agent EPM, который обрабатывает политики EPM, устанавливается.
В этом разделе описано, как создать поле разработки и группу Intune, которая используется для тестирования конфигурации политики EPM. Затем вы создадите политику параметров повышения прав EPM и назначьте политику группе.
Создание определения поля разработки
В портал Azure создайте определение поля разработки. Укажите поддерживаемую ОС, например Windows 11 версии 22H2.
Примечание.
EPM поддерживает следующие операционные системы:
- Windows 11 (версии 23H2, 22H2 и 21H2)
- Windows 10 (версии 22H2, 21H2 и 20H2)
В проекте создайте пул полей разработки, использующий новое определение поля разработки.
Назначение роли пользователя Dev Box тестового пользователя.
Создание поля разработки для тестирования политики
Войдите на портал разработчика.
Создайте поле разработки с помощью пула полей разработки, созданного на предыдущем шаге.
Определите имя узла поля разработки. Вы будете использовать это имя узла, добавив поле разработки в группу Intune на следующем шаге.
Создание группы Intune и добавление поля разработки в группу
Откройте Центр администрирования Microsoft Intune, выберите группу>"Создать группу".
В раскрывающемся списке "Тип группы" выберите "Безопасность".
В поле "Имя группы" введите имя новой группы (например, тестировщики Contoso).
Добавьте описание группы для группы.
Задайте для типа "Членство" значение "Назначено".
В разделе "Участники" выберите созданное поле разработки.
Создайте политику параметров повышения прав EPM и назначьте ее группе.
В Центре администрирования Microsoft Intune выберите политики создания политики> управления привилегиями>конечной точки безопасности>конечной точки.
В области "Создание профиля" выберите следующие параметры:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: политика параметров повышения прав
На вкладке "Основы" введите имя политики.
На вкладке "Параметры конфигурации" в ответе на повышение прав по умолчанию выберите "Запретить все запросы на повышение прав".
На вкладке "Назначения" выберите "Добавить группы", добавьте созданную ранее группу и нажмите кнопку "Создать".
Проверка ограничений прав администратора
В этом разделе вы убедитесь, что агент Microsoft EPM установлен и политика применяется к поле разработки.
Убедитесь, что политика применяется к поле разработки:
В Центре администрирования Microsoft Intune выберите "Устройства"> в поле разработки, созданном ранее>>.
Подождите, пока все параметры отчета будут выполнены успешно.
Убедитесь, что агент Microsoft EPM установлен в поле разработки:
- Войдите в созданное ранее поле разработки.
- Перейдите в папку c:\Program Files и убедитесь, что существует папка с именем Microsoft EPM Agent .
Попытайтесь запустить приложение с правами администратора.
В поле разработки щелкните правой кнопкой мыши приложение и выберите "Запустить с повышенным доступом". Вы получаете сообщение о том, что установка заблокирована.
