Dela via

Konfigurera Microsoft Intune hantering av slutpunktsprivilegier för dev-rutor

  • Artikel

I den här artikeln får du lära dig hur du konfigurerar Microsoft Intune hantering av slutpunktsprivilegier (EPM) för dev-rutor så att dev box-användare inte behöver lokala administrativa privilegier.

Microsoft Intune hantering av slutpunktsprivilegier gör att organisationens användare kan köras som standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av vissa Windows-diagnostik.

Endpoint Privilege Management är inbyggt i Microsoft Intune, vilket innebär att all konfiguration har slutförts i administrationscentret för Microsoft Intune. Kom igång med EPM genom att använda den övergripande process som beskrivs på följande sätt:

  • Licensslutpunktsprivilegier – Innan du kan använda principer för hantering av slutpunktsprivilegier måste du licensiera EPM i din klientorganisation som ett Intune-tillägg. Information om licensiering finns i Använda Intune Suite-tilläggsfunktioner.

  • Distribuera en princip för utökade inställningar – En princip för utökade inställningar aktiverar EPM på klientenheten. Med den här principen kan du också konfigurera inställningar som är specifika för klienten, men som inte nödvändigtvis är relaterade till utökade enskilda program eller uppgifter.

Förutsättningar

  • Ett utvecklingscenter med ett dev box-projekt.
  • Microsoft Intune-prenumeration.

Behörighetshantering för licensslutpunkt

Endpoint Privilege Management kräver antingen en fristående licens som endast lägger till EPM eller licensierar EPM som en del av Microsoft Intune Suite.

I det här avsnittet konfigurerar du EPM-licensiering och tilldelar EPM-licensen till en användare.

  1. Licensiera EPM i din klientorganisation som ett Intune-tillägg:

    1. Öppna administrationscentret för Microsoft Intune och gå till Intune-tillägg för klientadministratör.>
    2. Välj Hantering av slutpunktsprivilegier.

  2. Konfigurera Intune-administratörsrollen för EPM-administration:

    1. I administrationscentret för Intune går du till Användare och väljer den användare som du vill tilldela rollen till.

    2. Välj Lägg till tilldelningar i intune-administratörsrollen .

      Skärmbild av administrationscentret för Microsoft Intune som visar de tillgängliga innehavaradministratörsrollerna.

  3. Tillämpa EPM-licensen i Microsoft 365:

    I Administrationscenter för Microsoft 365 går du till Faktureringsköpstjänster>>Endpoint Privilege Management och väljer sedan din EPM-licens.

  4. Tilldela E5- och EPM-licenser till målanvändare i Microsoft Entra-ID:

    1. I administrationscentret för Intune går du till Användare och väljer den användare som du vill tilldela E5- och EPM-licenserna till.

    2. Välj Tilldelningar och tilldela licenserna.

      Skärmbild av administrationscentret för Microsoft Intune som visar tillgängliga licenser.

Distribuera en princip för utökade inställningar

En utvecklingsruta måste ha en princip för höjningsinställningar som gör att stöd för EPM kan bearbeta en princip för utökade privilegier eller hantera begäranden om utökade privilegier. När supporten är aktiverad installeras EPM Microsoft Agent, som bearbetar EPM-principerna.

I det här avsnittet skapar du en utvecklingsruta och en Intune-grupp som du använder för att testa EPM-principkonfigurationen. Sedan skapar du en princip för EPM-höjningsinställningar och tilldelar principen till gruppen.

  1. Skapa en dev box-definition

    1. I Azure Portal skapar du en dev box-definition. Ange ett operativsystem som stöds, till exempel Windows 11, version 22H2.

      Kommentar

      EPM stöder följande operativsystem:

      • Windows 11 (versionerna 23H2, 22H2 och 21H2)
      • Windows 10 (versionerna 22H2, 21H2 och 20H2)

    2. I projektet skapar du en dev box-pool som använder den nya dev box-definitionen.

    3. Tilldela Dev Box-användarrollen till testanvändaren.

  2. Skapa en utvecklingsruta för att testa principen

    1. Logga in på utvecklarportalen.

    2. Skapa en utvecklingsruta med den dev box-pool som du skapade i föregående steg.

    3. Fastställa värdnamnet för dev box. Du använder det här värdnamnet för att lägga till utvecklingsrutan i och Intune-gruppen i nästa steg.

  3. Skapa en Intune-grupp och lägg till utvecklingsrutan i gruppen

    1. Öppna administrationscentret för Microsoft Intune och välj Grupper>Ny grupp.

    2. I listrutan Grupptyp väljer du Säkerhet.

    3. I fältet Gruppnamn anger du namnet på den nya gruppen (till exempel Contoso-testare).

    4. Lägg till en gruppbeskrivning för gruppen.

    5. Ange Medlemskapstyp till Tilldelad.

    6. Under Medlemmar väljer du den utvecklingsruta som du skapade.

  4. Skapa en princip för EPM-utökade inställningar och tilldela den till gruppen.

    1. I administrationscentret för Microsoft Intune väljer du Endpoint Security>Endpoint Privilege Management Policies>Create Policy (Principer för hantering av>slutpunktsprivilegier) Skapa princip.

      Skärmbild av administrationscentret för Microsoft Intune som visar slutpunktssäkerheten | Fönstret Behörighetshantering för slutpunkt.

    2. I fönstret Skapa en profil väljer du följande inställningar:

      • Plattform: Windows 10 och senare
      • Profiltyp: Princip för utökade inställningar

    3. På fliken Grundläggande anger du ett namn för principen.

      Skärmbild som visar fliken Skapa grunderna för profil med principnamnet markerat.

    4. På fliken Konfigurationsinställningar går du till Standardhöjningssvar och väljer Neka alla begäranden om utökade privilegier.

      Skärmbild som visar fliken Konfigurationsinställningar med Endpoint Privilege Management aktiverat och Standardhöjningssvar inställt på Neka alla begäranden.

    5. På fliken Tilldelningar väljer du Lägg till grupper, lägger till den grupp som du skapade tidigare och väljer sedan Skapa.

      Skärmbild som visar fliken Skapa profiltilldelningar med Lägg till grupper markerat.

Verifiera begränsningar för administratörsbehörighet

I det här avsnittet kontrollerar du att Microsoft EPM-agenten är installerad och att principen tillämpas på utvecklingsrutan.

  1. Kontrollera att principen tillämpas på utvecklingsrutan:

    1. I administrationscentret för Microsoft Intune väljer du Enheter> den utvecklingsruta som du skapade tidigare> Enhetskonfiguration> den princip som du skapade tidigare.

      Skärmbild som visar administrationscentret för Microsoft Intune med fönstret Enheter och Enhetskonfiguration markerad.

    2. Vänta tills alla inställningsrapporter har slutförts.

      Skärmbild som visar profilinställningarna med Inställningens status markerad.

  2. Kontrollera att Microsoft EPM-agenten är installerad i utvecklingsrutan:

    1. Logga in på utvecklingsrutan som du skapade tidigare.
    2. Navigera till c:\Program Files och kontrollera att det finns en mapp med namnet Microsoft EPM Agent .

  3. Försök att köra ett program med administratörsbehörighet.

    Högerklicka på ett program i utvecklingsrutan och välj Kör med förhöjd åtkomst. Du får ett meddelande om att installationen är blockerad.

Relaterat innehåll