通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为开发箱配置 Microsoft Intune 终结点特权管理

  • 项目

本文介绍如何为开发箱配置 Microsoft Intune 终结点特权管理 (EPM),使开发箱用户不需要本地管理权限。

Microsoft Intune Endpoint Privilege Management 允许组织的用户以标准用户身份(没有管理员权限)运行并完成需要提升的权限的任务。 需要管理权限的任务通常是应用程序安装(如 Microsoft 365 应用程序)、更新设备驱动程序和运行某些 Windows 诊断。

终结点特权管理内置于 Microsoft Intune 中,这意味着所有配置都在 Microsoft Intune 管理中心内完成。 若要开始使用 EPM,请使用概述的概要过程,如下所示:

  • 许可终结点特权管理 - 在使用终结点特权管理策略之前,必须将租户中的 EPM 许可为 Intune 加载项。 有关许可信息,请参阅“使用 Intune Suite 加载项功能”。

  • 部署提升设置策略 - 提升设置策略激活客户端设备上的 EPM。 此策略还允许你配置特定于客户端但不一定与单个应用程序或任务提升相关的设置。

先决条件

  • 具有开发箱项目的开发人员中心。
  • Microsoft Intune 订阅。

许可终结点特权管理

终结点特权管理需要一个仅添加 EPM 的独立许可证,或许可 EPM 作为 Microsoft Intune Suite 的一部分。

在本部分中,将配置 EPM 许可并将 EPM 许可证分配给用户。

  1. 在租户中以 Intune 加载项的形式许可 EPM:

    1. 打开 Microsoft Intune 管理中心,并导航到“租户管理”>“Intune 加载项”
    2. 选择“终结点特权管理”

  2. 为 EPM 管理配置 Intune 管理员角色:

    1. 在 Intune 管理中心,转到“用户”,然后选择要向其分配角色的用户

    2. 选择“添加分配”,然后选中“Intune 管理员”角色。

      Microsoft Intune 管理中心的屏幕截图,其中显示了可用的租户管理员角色。

  3. 在 Microsoft 365 中应用 EPM 许可证:

    Microsoft 365 管理中心中,转到“计费”>“购买服务”>“终结点特权管理”,然后选择 EPM 许可证

  4. 将 E5 和 EPM 许可证分配给 Microsoft Entra ID 中的目标用户:

    1. 在 Intune 管理中心,转到“用户”,然后选择要向其分配 E5 和 EPM 许可证的用户

    2. 选择“分配”并分配许可证

      Microsoft Intune 管理中心的屏幕截图,其中显示了可用的许可证。

部署提升设置策略

开发箱必须具有提升设置策略,支持 EPM 处理提升规则策略或管理提升请求。 启用支持后,将安装处理 EPM 策略的 EPM Microsoft 代理。

在本部分中,将创建一个开发箱和一个用于测试 EPM 策略配置的 Intune 组。 然后,创建 EPM 提升设置策略并将策略分配给组。

  1. 创建开发箱定义

    1. 在 Azure 门户中,创建“开发箱定义”。 指定受支持的 OS,例如“Windows 11 版本 22H2”

      注意

      EPM 支持以下操作系统:

      • Windows 11(版本 23H2、22H2 和 21H2)
      • Windows 10(版本 22H2、21H2 和 20H2)

    2. 在项目中,创建使用新开发箱定义的“开发箱池”

    3. 将“开发箱用户”角色分配给测试用户

  2. 创建用于测试策略的开发箱

    1. 登录到开发者门户

    2. 使用在上一步中创建的开发箱池创建开发箱。

    3. 确定开发箱主机名。 在下一步中,将使用此主机名将开发箱添加到 Intune 组中。

  3. 创建 Intune 组并将开发箱添加到该组

    1. Microsoft Intune 管理中心中,选择“组”>“新组”

    2. 在“组类型”下拉框中,选择“安全”

    3. 在“组名称”字段中,输入新组的名称(例如 Contoso Testers)

    4. 为组添加“组描述”

    5. 将“成员身份类型”设置为“已分配”

    6. 在“成员”下,选择创建的开发箱

  4. 创建 EPM 提升设置策略并将其分配给组。

    1. 在 Microsoft Intune 管理中心中,选择“终结点安全性”>“终结点特权管理”>“策略”>“创建策略”

      Microsoft Intune 管理中心的屏幕截图,其中显示了“终结点安全性”|“Endpoint Privilege Management”窗格。

    2. 在“创建配置文件”窗格中,选择以下设置

      • 平台:Windows 10 及更高版本
      • 配置文件类型:提升设置策略

    3. 在“基础信息”选项卡上,输入策略的名称

      显示“创建配置文件”窗格中的“基本信息”选项卡的屏幕截图,其中突出显示了“策略名称”。

    4. 在“配置设置”选项卡上的“默认提升响应”中,选择“拒绝所有提升请求”

      显示“配置设置”选项卡的屏幕截图,其中 Endpoint Privilege Management 处于启用状态,并且“默认提升响应”设置为“拒绝所有请求”。

    5. 在“分配”选项卡上,选择“添加组”,添加之前创建的组,然后选择“创建”

      显示“创建配置文件”窗格中的“分配”选项卡的屏幕截图,其中突出显示了“添加组”。

验证管理权限限制

在本部分中,将验证是否已安装 Microsoft EPM 代理,并验证策略是否已应用于开发箱。

  1. 验证策略是否已应用于开发箱:

    1. 在 Microsoft Intune 管理中心中,选择“设备”> 之前创建的开发箱 >“设备配置”> 之前创建的策略

      显示 Microsoft Intune 管理中心的屏幕截图,其中突出显示了“设备”窗格和“设备配置”。

    2. 等待所有设置报告为“成功”

      显示“配置文件设置”的屏幕截图,其中突出显示了“设置状态”。

  2. 验证是否已在开发箱中安装 Microsoft EPM 代理:

    1. 登录到之前创建的开发箱。
    2. 导航到 c:\Program Files,验证是否存在名为“Microsoft EPM Agent”的文件夹

  3. 尝试使用管理权限运行应用程序。

    在开发箱中,右键单击应用程序并选择“以提升的权限运行”。 将收到一条消息,指出安装被阻止。

相关内容