Udostępnij przez

Konfigurowanie usługi Intune Endpoint Privilege Management dla pól deweloperskich

W tym artykule pokazano, jak skonfigurować usługę Microsoft Intune Endpoint Privilege Management, aby użytkownicy usługi Dev Box nie potrzebowali podniesionych uprawnień do wykonywania typowych zadań w swoich polach deweloperskich. Zadania, które zwykle wymagają podwyższonego poziomu uprawnień, obejmują instalowanie aplikacji, aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows. Usługa Intune Endpoint Privilege Management umożliwia użytkownikom maszyn deweloperskich w organizacji wykonywanie tych zadań jako standardowych, nieadministracyjnych użytkowników.

Rozwiązanie Endpoint Privilege Management to dodatek do usługi Microsoft Intune. Aby można było korzystać z usługi Endpoint Privilege Management, musisz mieć licencję dodatku w dzierżawie autonomicznej lub w ramach pakietu Intune. Po licencji użyjesz centrum administracyjnego usługi Microsoft Intune, aby skonfigurować zarządzanie uprawnieniami punktu końcowego i wdrożyć zasady ustawień podniesienia uprawnień w polach deweloperskich w projekcie.

Wymagania wstępne

Kategoria Wymaganie
Authentication Microsoft Entra ID na potrzeby zarządzania tożsamościami i dostępem.
Licencje Jedna licencja usługi Microsoft Intune dla każdego użytkownika usługi Microsoft Dev Box.
Role i uprawnienia — Aby administrować usługą Endpoint Privilege Management, potrzebna jest rola Administratora Intune.
— Aby utworzyć i zarządzać centrum deweloperskim, potrzebujesz roli Właściciel lub Współtwórca w subskrypcji platformy Azure lub centrum deweloperskim.
— Aby tworzyć i używać dev boksów, rola DevCenter Dev Box User jest wymagana.
Tools Subskrypcja platformy Azure połączona z dzierżawą Microsoft Entra i licencją Microsoft Intune.
Tools Pole deweloperskie utworzone przy użyciu obsługiwanego systemu operacyjnego, systemu Windows 11 w wersji 21H2 lub nowszej. Określ nazwę hosta pola deweloperskiego na potrzeby dodawania do grupy usługi Intune.

Konfigurowanie licencji i ról

Aby uzyskać licencję i skonfigurować dodatek Microsoft Intune Endpoint Privilege Management, musisz:

  1. Przypisz sobie rolę administratora usługi Intune .
  2. Licencjonowanie Endpoint Privilege Management w dzierżawie jako dodatek do usługi Intune.
  3. Przypisz licencje usługi Endpoint Privilege Management sobie i innym użytkownikom.

Przypisywanie roli administratora usługi Intune

  1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Użytkownicy i wybierz siebie jako użytkownika.

  2. Wybierz pozycję Przypisane role w menu nawigacji po lewej stronie, wybierz pozycję Dodaj przypisania, a następnie wybierz i przypisz rolę Administratora usługi Intune .

    Zrzut ekranu przedstawiający przypisywanie roli administratora usługi Microsoft Intune.

  3. Powtórz ten proces dla wszystkich innych użytkowników, którym chcesz przypisać rolę administratora usługi Intune .

Licencjonowanie dodatku Endpoint Privilege Management

  1. W centrum administracyjnym usługi Intune przejdź do Administracja dzierżawcą>Dodatki usługi Intune i wybierz link Wyświetl szczegóły obok pozycji Zarządzanie uprawnieniami punktu końcowego.
  2. Na ekranie szczegółów wybierz link do centrum administracyjnego platformy Microsoft 365.
  3. W centrum administracyjnym platformy Microsoft 365 przejdź do Rozliczenia>Licencje, wybierz Microsoft Intune Endpoint Privilege Management i kup wymaganą liczbę licencji.

Przypisywanie licencji zarządzania uprawnieniami punktu końcowego do użytkowników

  1. W centrum administracyjnym platformy Microsoft 365 przejdź do pozycji Rozliczenia>Twoje produkty i wybierz pozycję Zarządzanie uprawnieniami punktu końcowego usługi Microsoft Intune.

  2. Na stronie Zarządzanie uprawnieniami punktu końcowego usługi Microsoft Intune wybierz pozycję Przypisz licencje. Możesz również kupić więcej licencji tutaj, wybierając pozycję Kup licencje.

  3. Na karcie Użytkownicy wybierz pozycję Przypisz licencje.

  4. Na ekranie Przypisywanie licencji do użytkowników wybierz maksymalnie 20 użytkowników naraz, a następnie wybierz pozycję Przypisz licencje.

    Zrzut ekranu przedstawiający przypisywanie licencji zarządzania uprawnieniami punktu końcowego usługi Microsoft Intune.

Wdrażanie zasad ustawień podniesienia uprawnień

Aby przetwarzać reguły podnoszenia uprawnień lub żądania, maszyna deweloperska musi mieć politykę ustawień podnoszenia uprawnień, które umożliwiają zarządzanie uprawnieniami punktu końcowego. Włączenie tej obsługi powoduje zainstalowanie agenta zarządzania uprawnieniami punktu końcowego, który przetwarza zasady na urządzeniu. Zasady ustawień podniesienia uprawnień umożliwiają konfigurowanie ustawień specyficznych dla klienta, ale niekoniecznie są związane z podniesieniem uprawnień poszczególnych aplikacji lub zadań.

Następujące procedury:

  1. Utwórz grupę usługi Intune do testowania konfiguracji zasad i dodaj swoje środowisko deweloperskie do grupy.
  2. Utwórz zasady podniesienia uprawnień usługi Endpoint Privilege Management.
  3. Przypisz politykę do grupy.

Utwórz grupę usługi Intune i dodaj dev box.

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Grupy>Nowa grupa.
  2. W formularzu Nowa grupa wypełnij następujące pola:
    • Typ grupy: wybierz pozycję Security.
    • Nazwa grupy: wprowadź nazwę grupy, na przykład testerzy usługi Intune.
    • Typ członkostwa: wybierz pozycję Przypisano.
    • Członkowie: wybierz nazwę hosta środowiska deweloperskiego.
  3. Wybierz Utwórz.

Utwórz politykę ustawień podwyższania uprawnień i przypisz ją do grupy

  1. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Zabezpieczenia punktu końcowego>Zarządzanie uprawnieniami punktu końcowego, a następnie na karcie Zasady wybierz pozycję Utwórz politykę.

    Zrzut ekranu przedstawiający centrum administracyjne usługi Microsoft Intune z okienkem Zarządzanie uprawnieniami punktu końcowego.

  2. Na ekranie Tworzenie profilu wybierz następujące opcje:

    • Platforma: wybierz pozycję Windows 10 i nowsze.
    • Typ profilu: wybierz pozycję Zasady ustawień podniesienia uprawnień.

  3. Wybierz Utwórz.

  4. Na karcie Podstawy okienka Tworzenie profilu wprowadź nazwę zasad, a następnie wybierz pozycję Dalej.

  5. Na karcie Ustawienia konfiguracji rozwiń pozycję Ustawienia podnoszenia uprawnień klienta zarządzania.

  6. Ustaw opcję Zarządzanie uprawnieniami punktu końcowego na włączoną.

  7. W obszarze Domyślna odpowiedź na podniesienie uprawnień wybierz pozycję Odmów wszystkich żądań.

  8. Wybierz pozycję Dalej dwa razy lub wybierz kartę Przypisania .

    Zrzut ekranu przedstawiający kartę Ustawienia konfiguracji z włączonym zarządzaniem uprawnieniami punktu końcowego i domyślną odpowiedzią na podniesienie uprawnień ustawioną na Odmów wszystkich żądań.

  9. Na karcie Przypisania wybierz Dodaj grupy i dodaj grupę Intune, którą utworzyłeś.

    Zrzut ekranu przedstawiający kartę Tworzenie przypisań profilu z wyróżnioną pozycją Dodaj grupy.

  10. Wybierz pozycję Dalej, a następnie wybierz pozycję Utwórz.

Utworzenie i wdrożenie zasad może potrwać do 20 minut. Następnie zasady są wyświetlane w obszarzeKonfiguracja> w centrum administracyjnym usługi Intune.

Weryfikowanie ograniczeń uprawnień administracyjnych

Upewnij się, że polityka zarządzania uprawnieniami punktu końcowego została zastosowana, a agent jest zainstalowany i działa na komputerach deweloperskich.

Sprawdź, czy polityka jest stosowana do środowiska deweloperskiego

  1. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Urządzenia , a następnie wybierz pozycję Konfiguracja w obszarze Zarządzanie urządzeniami.

  2. Na ekranie Konfiguracja wybierz utworzone zasady.

    Zrzut ekranu przedstawiający centrum administracyjne usługi Microsoft Intune z wyróżnionym okienkiem Urządzenia i konfiguracją urządzenia.

  3. Na stronie zasad wybierz kafelek Status według ustawienia.

  4. Upewnij się, że wszystkie ustawienia mają raport Powodzenie dla wszystkich urządzeń w grupie.

    Zrzut ekranu przedstawiający ustawienia profilu z wyróżnionym statusem ustawień.

Sprawdź, czy agent jest zainstalowany i działa na urządzeniu deweloperskim

Na urządzeniu deweloperskim:

  • Sprawdź, czy w folderze c:\Program Files istnieje folder o nazwie Microsoft Endpoint Privilege Management Agent lub Microsoft EPM Agent.

  • Kliknij prawym przyciskiem myszy aplikację i wybierz polecenie Uruchom z podwyższonym poziomem uprawnień dostępu. Sprawdź, czy otrzymasz komunikat z usługi Endpoint Privilege Management, że nie można uruchomić tej aplikacji jako administrator.

Powiązana zawartość

  • Last updated on