Freigeben über

Konfigurieren Sie die Intune Endpunktberechtigungsverwaltung für Entwicklungsumgebungen

In diesem Artikel erfahren Sie, wie Sie Microsoft Intune Endpoint Privilege Management konfigurieren, damit Entwicklerfeldbenutzer keine erhöhten Berechtigungen benötigen, um allgemeine Aufgaben in ihren Entwicklungsfeldern auszuführen. Aufgaben, die normalerweise erhöhte Berechtigungen erfordern, umfassen das Installieren von Anwendungen, das Aktualisieren von Gerätetreibern und das Ausführen einiger Windows-Diagnosen. Mit Intune Endpoint Privilege Management können Benutzer der Entwicklerumgebung Ihrer Organisation diese Aufgaben ohne administrative Berechtigungen ausführen.

Endpoint Privilege Management ist ein Add-On zu Microsoft Intune. Bevor Sie Endpoint Privilege Management verwenden können, müssen Sie das Add-In in Ihrem Mandanten entweder eigenständig oder als Teil der Intune-Suite lizenzieren. Nach Erwerben der Lizenz können Sie Endpoint Privilege Management über das Microsoft Intune Admin Center konfigurieren und auf Dev-Boxen in Ihrem Projekt eine Richtlinie für die Einstellung von Rechteerweiterungen bereitstellen.

Voraussetzungen

Kategorie Anforderung
Authentifizierung Microsoft Entra-ID für Identitäts- und Zugriffsverwaltung.
Licenses Eine Microsoft Intune-Lizenz für jeden Microsoft Dev Box-Benutzer.
Rollen und Berechtigungen - Verwalten des Endpoint Privilege Management: die Rolle Intune-Administrator.
– Zum Erstellen und Verwalten einer Dev Center-, Besitzer - oder Mitwirkendenrolle im Azure-Abonnement oder Dev Center.
– Um Entwicklerboxen zu erstellen und zu verwenden, benötigen Sie die DevCenter Dev Box-Benutzerrolle.
Tools Ein Azure-Abonnement, das mit Ihrem Microsoft Entra-Mandanten und Ihrer Microsoft Intune-Lizenz verknüpft ist.
Tools Ein Entwicklerfeld, das mit einem unterstützten Betriebssystem erstellt wurde, Windows 11, Version 21H2 oder höher. Bestimmen Sie den Hostnamen der Dev-Box, um diese der Intune-Gruppe hinzuzufügen.

Konfigurieren von Lizenzen und Rollen

Um das Microsoft Intune Endpoint Privilege Management-Add-On zu lizenzieren und zu konfigurieren, müssen Sie:

  1. Weisen Sie sich selbst die Rolle "Intune-Administrator " zu.
  2. Lizenzieren Sie Endpoint Privilege Management in Ihrem Mandanten als Intune-Add-on.
  3. Weisen Sie Selbst und anderen Benutzern Endpunktberechtigungsverwaltungslizenzen zu.

Weisen Sie die Intune-Administratorrolle zu

  1. Wechseln Sie im Microsoft Intune Admin Center zu "Benutzer ", und wählen Sie sich als Benutzer aus.

  2. Wählen Sie im linken Navigationsmenü "Zugewiesene Rollen " aus, wählen Sie " Aufgaben hinzufügen" und dann die Rolle "Intune-Administrator " aus, und weisen Sie sie zu.

    Screenshot, der zeigt, wie die Rolle

  3. Wiederholen Sie den Vorgang für alle anderen Benutzer, die Sie der Intune-Administratorrolle zuweisen möchten.

Lizenzieren des Endpoint Privilege Management-Add-Ons

  1. Wechseln Sie im Intune Admin Center zuIntune-Add-Ons für die >, und wählen Sie den Link "Details anzeigen" neben Endpoint Privilege Management aus.
  2. Wählen Sie auf dem Detailbildschirm den Link zum Microsoft 365 Admin Center aus.
  3. Wechseln Sie im Microsoft 365 Admin Center zu Abrechnungslizenzen>, wählen SieMicrosoft Intune Endpoint Privilege Management aus, und kaufen Sie die Anzahl der benötigten Lizenzen.

Zuweisen von Lizenzen für privilegierte Endpunktverwaltung an Benutzer

  1. Wechseln Sie im Microsoft 365 Admin Center zu "Abrechnung>Ihrer Produkte", und wählen Sie "Microsoft Intune Endpoint Privilege Management" aus.

  2. Wählen Sie auf der Seite "Microsoft Intune Endpoint Privilege Management " die Option "Lizenzen zuweisen" aus. Sie können hier auch weitere Lizenzen kaufen, indem Sie "Lizenzen kaufen" auswählen.

  3. Wählen Sie auf der Registerkarte " Benutzer " die Option "Lizenzen zuweisen" aus.

  4. Wählen Sie auf dem Bildschirm "Lizenzen für Benutzer zuweisen " jeweils bis zu 20 Benutzer aus, und wählen Sie dann " Lizenzen zuweisen" aus.

    Screenshot, der das Zuweisen einer Microsoft Intune Endpoint Privilege Management-Lizenz zeigt.

Bereitstellen einer Richtlinie für die Rechteerweiterungseinstellungen

Damit eine Dev-Box die Regeln oder Anforderungen für eine Richtlinie für erhöhte Rechte verarbeiten kann, muss sie über eine Richtlinie für die Einstellung von Rechteerweiterungen verfügen, die Endpoint Privilege Management ermöglicht. Wenn Sie diese Unterstützung aktivieren, wird der Endpoint Privilege Management-Agent installiert, der die Richtlinie auf dem Gerät verarbeitet. Mit einer Richtlinie für Einstellungen der Berechtigungshöhe können Sie Einstellungen konfigurieren, die für den Client spezifisch sind, aber nicht notwendigerweise mit der Erhöhung einzelner Anwendungen oder Aufgaben zusammenhängen.

Die folgenden Verfahren:

  1. Erstellen Sie eine Intune-Gruppe, die zum Testen der Richtlinienkonfiguration verwendet werden soll, und fügen Sie der Gruppe Ihr Dev-Feld hinzu.
  2. Erstellen Sie eine Richtlinie für die Einstellung von Rechteerweiterungen für Endpoint Privilege Management.
  3. Weisen Sie die Richtlinie der Gruppe zu.

Erstellen einer Intune-Gruppe und Hinzufügen des Entwicklerfelds

  1. Wählen Sie im Microsoft Intune Admin CenterGruppen>Neue Gruppe aus.
  2. Füllen Sie im Formular "Neue Gruppe " die folgenden Felder aus:
    • Gruppentyp: Wählen Sie Sicherheits-aus.
    • Gruppenname: Geben Sie einen Namen für die Gruppe ein, z. B. Intune-Tester.
    • Mitgliedschaftstyp: Wählen Sie Zugewiesen aus.
    • Mitglieder: Wählen Sie den Hostnamen Ihrer Dev-Box aus.
  3. Wählen Sie "Erstellen" aus.

Erstellen einer Richtlinie für die Einstellung von Rechteerweiterungen und Zuweisen der Richtlinie zur Gruppe

  1. Wählen Sie im Microsoft Intune Admin Center die Option Endpoint Security>Endpoint Privilege Management aus, und wählen Sie auf der Registerkarte "Richtlinien " die Option "Richtlinie erstellen" aus.

    Screenshot des Microsoft Intune Admin Centers mit dem Bereich

  2. Wählen Sie auf dem Bildschirm " Profil erstellen " die folgenden Optionen aus:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie die Richtlinie für Hebe-Einstellungen aus.

  3. Wählen Sie "Erstellen" aus.

  4. Geben Sie auf der Registerkarte "Grundlagen" des Bereichs " Profil erstellen " einen Namen für die Richtlinie ein, und wählen Sie dann "Weiter" aus.

  5. Erweitern Sie auf der Registerkarte Konfigurationseinstellungen die Option Clienteinstellungen für erhöhte Rechte für Privilege Management.

  6. Legen Sie die Endpunktberechtigungsverwaltung auf "Aktiviert" fest.

  7. Wählen Sie unter "Standarderweiterungsantwort" die Option "Alle Anforderungen verweigern" aus.

  8. Wählen Sie zweimal "Weiter " aus, oder wählen Sie die Registerkarte " Aufgaben " aus.

    Ein Screenshot der Registerkarte "Konfigurationseinstellungen", auf dem die Endpunktberechtigungsverwaltung aktiviert ist und die Standardreaktion auf Erhöhungen auf "Alle Anforderungen verweigern" festgelegt ist.

  9. Wählen Sie auf der Registerkarte " Aufgaben " die Option " Gruppen hinzufügen " aus, und fügen Sie die von Ihnen erstellte Intune-Gruppe hinzu.

    Screenshot der Registerkarte

  10. Wählen Sie Weiter und anschließend Erstellen aus.

Es kann bis zu 20 Minuten dauern, bis die Richtlinie erstellt und bereitgestellt wird. Die Richtlinie wird dann unter "Gerätekonfiguration>" im Intune Admin Center angezeigt.

Überprüfen der Einschränkungen von Administratorrechten

Vergewissern Sie sich, dass die Richtlinie für die Endpunktberechtigungsverwaltung angewendet wird und der Agent auf den Entwicklergeräten installiert ist und funktioniert.

Vergewissern Sie sich, dass die Richtlinie auf die Entwicklungsbox angewendet wird.

  1. Wählen Sie im Microsoft Intune Admin Center"Geräte" und dann unter "Geräte verwalten" die Option "Konfiguration" aus.

  2. Wählen Sie auf dem Bildschirm "Konfiguration " die von Ihnen erstellte Richtlinie aus.

    Screenshot des Microsoft Intune Admin Centers mit hervorgehobenen Gerätebereich und Gerätkonfiguration.

  3. Wählen Sie auf der Seite mit der Richtlinie die Kachel Status pro Einstellung aus.

  4. Stellen Sie sicher, dass alle Einstellungen Erfolg für alle Gruppengeräte anzeigen.

    Screenshot, der die Profileinstellungen mit hervorgehobenem Einstellungsstatus zeigt.

Vergewissern Sie sich, dass der Agent auf der Entwicklungsumgebung installiert ist und funktioniert.

Auf deinem Entwicklungsrechner:

  • Stellen Sie sicher, dass ein Ordner namens Microsoft Endpoint Privilege Management Agent oder Microsoft EPM-Agent unter "c:\Program Files" vorhanden ist.

  • Klicken Sie mit der rechten Maustaste auf eine Anwendung, und wählen Sie "Ausführen" mit erhöhten Rechten aus. Vergewissern Sie sich, dass Sie eine Meldung von Endpoint Privilege Management erhalten, dass Sie diese App nicht als Administrator ausführen können.

Verwandte Inhalte

  • Last updated on