Partilhar via

Configurar a Gestão de Privilégios dos Endpoints do Intune para ambientes de desenvolvimento

Este artigo mostra-lhe como configurar o Microsoft Intune Endpoint Privilege Management para que os utilizadores de dev boxes não precisem de privilégios elevados para realizar tarefas comuns nas suas dev boxes. Tarefas que normalmente exigem privilégios elevados incluem instalar aplicações, atualizar drivers de dispositivos e executar alguns diagnósticos do Windows. O Intune Endpoint Privilege Management permite que os utilizadores da dev box da sua organização completem estas tarefas como utilizadores normais, não administrativos.

A Gestão de Privilégios de Endpoint é um complemento para o Microsoft Intune. Antes de poder usar a Gestão de Privilégios de Endpoint, deve licenciar o add-in no seu tenant de forma autónoma ou como parte da Intune Suite. Uma vez licenciado, você usa o centro de administração Microsoft Intune para configurar a Gestão de Privilégios de Pontos Finais e implementar uma política de definições de elevação nas caixas de desenvolvimento do seu projeto.

Pré-requisitos

Categoria Requisito
Authentication Microsoft Entra ID para gestão de identidade e acessos.
Licenças Uma licença Microsoft Intune para cada utilizador da Microsoft Dev Box.
Funções e permissões - Administrar a Gestão de Privilégios de Endpoint, função de Administrador Intune .
- Criar e gerir um centro de desenvolvimento, papel de Proprietário ou Contribuidor na subscrição Azure ou centro de desenvolvimento.
- Para criar e usar dev boxes, DevCenter Dev Box Papel de Utilizador .
Tools Uma subscrição Azure ligada ao seu tenant Microsoft Entra e à licença Microsoft Intune.
Tools Uma dev box criada com um sistema operativo suportado, Windows 11 versões 21H2 ou posteriores. Determina o nome anfitrião da caixa de desenvolvimento para adicionar ao grupo Intune.

Configurar licenças e funções

Para licenciar e configurar o complemento Microsoft Intune Endpoint Privilege Management, deve:

  1. Atribui a ti próprio o papel de Administrador do Intune .
  2. Licencia a Gestão de Privilégios de Endpoint no teu tenant como um complemento do Intune.
  3. Atribui licenças de Gestão de Privilégios de Endpoint a ti próprio e a outros utilizadores.

Atribuir o papel de administrador do Intune

  1. No centro de administração do Microsoft Intune, vai a Utilizadores e seleciona-te como utilizador.

  2. Selecione Papéis Atribuídos no menu de navegação à esquerda, selecione Adicionar atribuições e depois selecione e atribua o papel de Administrador do Intune.

    Captura de ecrã que mostra a atribuição do papel de Administrador Microsoft Intune.

  3. Repita o processo para quaisquer outros utilizadores a quem queira atribuir o papel de Administrador do Intune .

Licencie a extensão de Gestão de Privilégios de Endpoint

  1. No centro de administração do Intune, vá a Administração do Inquilino>complementos do Intune e selecione o link Ver detalhes ao lado de Gestão de Privilégios de Endpoint.
  2. No ecrã de detalhes, selecione o link para o centro de administração do Microsoft 365.
  3. No centro de administração do Microsoft 365, vá a Faturação>Licenças, selecione Gestão de Privilégios de Endpoint Microsoft Intune e adquira o número de licenças de que necessita.

Atribuir licenças de Gestão de Privilégios de Endpoint aos utilizadores

  1. No centro de administração do Microsoft 365, vá a Faturação>Os seus produtos e selecione Gestão de Privilégios de Endpoint do Microsoft Intune.

  2. Na página Microsoft Intune Endpoint Privilege Management , selecione Atribuir licenças. Também pode comprar mais licenças aqui selecionando Comprar licenças.

  3. No separador Utilizadores , selecione Atribuir licenças.

  4. No ecrã Atribuir licenças aos utilizadores , selecione até 20 utilizadores de cada vez e depois selecione Atribuir licenças.

    Captura de ecrã que mostra a atribuição de uma licença de Gestão de Privilégios de Endpoint Microsoft Intune.

Implantar uma política de configurações de elevação

Para processar regras ou pedidos de política de elevação, uma dev box deve ter uma política de configurações de elevação que permita a Gestão de Privilégios de Endpoint. Ao ativar este suporte, instala-se o agente de Gestão de Privilégios de Endpoint, que processa a política no dispositivo. Uma política de definições de elevação permite-lhe configurar definições específicas para o cliente, mas que não estão necessariamente relacionadas com a elevação de aplicações ou tarefas individuais.

Os seguintes procedimentos:

  1. Cria um grupo Intune para usar na configuração da política de testes, e adiciona a tua dev box ao grupo.
  2. Crie uma política de definições de elevação de privilégios para a Gestão de Privilégios do Endpoint.
  3. Atribuir a política ao grupo.

Cria um grupo Intune e adiciona a dev box

  1. No centro de administração do Microsoft Intune, selecione Grupos>Novos grupos.
  2. No formulário Novo grupo , preencha os seguintes campos:
    • Tipo de grupo: Selecione Segurança.
    • Nome do grupo: Introduza um nome para o grupo, por exemplo , testadores do Intune.
    • Tipo de membro: Selecionar Atribuída.
    • Membros: Selecionem o nome do anfitrião da vossa caixa de desenvolvimento.
  3. Selecione Criar.

Crie uma política de definições de elevação e atribua-a ao grupo

  1. No centro de administração Microsoft Intune, selecione Segurança de Endpoint>Gestão de Privilégios de Endpoint e, no separador Políticas, selecione Criar Política.

    Captura de ecrã que mostra o centro de administração do Microsoft Intune, mostrando o painel de Gestão de Privilégios de Endpoint.

  2. No ecrã Criar um perfil , selecione as seguintes opções:

    • Plataforma: Selecione Windows 10 e posterior.
    • Tipo de perfil: Selecione Política de configurações de elevação.

  3. Selecione Criar.

  4. No separador Basics do painel Criar perfil , introduza um nome para a política e depois selecione Próximo.

  5. No separador Definições de Configuração, expanda as configurações de cliente para elevação de gestão de privilégios.

  6. Defina Gestão de Privilégios de Endpoint para Ativado.

  7. Na Resposta de elevação predefinida, selecione Negar todos os pedidos.

  8. Selecione Seguinte duas vezes ou selecione o separador de atribuições.

    Captura de ecrã que mostra o separador de definições de configuração, com a Gestão de Privilégios do Endpoint ativada e a resposta de elevação padrão definida para Negar todos os pedidos.

  9. No separador Atribuições , selecione Adicionar grupos e adicione o grupo Intune que criou.

    Captura de ecrã que mostra o separador Criar Atribuições de perfil com Adicionar grupos destacado.

  10. Selecione Avançar e, em seguida, selecione Criar.

Pode demorar até 20 minutos até que a política seja criada e implementada. A política aparece então emConfiguração de > no centro de administração do Intune.

Verificar restrições de privilégios administrativos

Confirma que a política de Gestão de Privilégios de Endpoint está aplicada e que o agente está instalado e a funcionar nas dev boxes.

Verifica se a política está aplicada à dev box

  1. No centro de administração Microsoft Intune, selecione Dispositivos e depois selecione Configuração em Gerir dispositivos.

  2. No ecrã de Configuração , selecione a política que criou.

    Captura de ecrã que mostra o centro de administração Microsoft Intune com o painel de Dispositivos e a configuração de Dispositivos destacados.

  3. Na página da política, selecione o bloco Estado por definição.

  4. Certifique-se de que todas as definições reportam Sucesso para todos os dispositivos do grupo.

    Captura de ecrã que mostra as Definições do Perfil com o estado das Definições destacado.

Verifica se o agente está instalado e a funcionar na dev box

No seu ambiente de desenvolvimento:

  • Verifique se existe uma pasta chamada Microsoft Endpoint Privilege Management Agent ou Microsoft EPM Agent em c:\Program Files.

  • Clique com o botão direito numa aplicação e selecione Executar com acesso elevado. Verifica se recebeste uma mensagem do Endpoint Privilege Management a dizer que não podes correr esta aplicação como administrador.

Conteúdos relacionados

  • Last updated on