通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为开发盒配置 Intune Endpoint Privilege Management

本文介绍如何配置 Microsoft Intune Endpoint Privilege Management,以便开发框用户不需要提升的权限即可在其开发框中执行常见任务。 通常需要提升权限的任务包括安装应用程序、更新设备驱动程序和运行某些 Windows 诊断。 Intune Endpoint Privilege Management 可以让组织的开发框用户以标准的非管理员用户身份完成这些任务。

Endpoint Privilege Management 是 Microsoft Intune 的加载项。 在使用终端权限管理之前,您必须在租户中为该插件单独授权或作为 Intune 套件的一部分授权。 获得许可后,可以使用 Microsoft Intune 管理中心配置 Endpoint Privilege Management,并将 提升设置策略 部署到项目中的开发框。

Prerequisites

类别 Requirement
Authentication Microsoft Entra ID 用于身份和访问管理。
Licenses 每个 Microsoft Dev Box 用户拥有一份 Microsoft Intune 许可证。
角色和权限 - 若要管理终端特权管理,请使用Intune 管理员角色。
- 若要在 Azure 订阅或开发人员中心中创建和管理开发中心,需要拥有 所有者参与者 角色。
- 要创建和使用开发者环境,需要具有 DevCenter Dev Box 用户 角色。
Tools 链接到 Microsoft Entra 租户和 Microsoft Intune 许可证的 Azure 订阅。
Tools 使用受支持的 OS、Windows 11 版本 21H2 或更高版本创建的开发箱。 确定开发环境的主机名,以便将其添加到 Intune 组中。

配置许可证和角色

若要许可和配置 Microsoft Intune Endpoint Privilege Management 加载项,必须:

  1. Intune 管理员 角色分配给自己。
  2. 在租户中将 终端特权管理 作为 Intune 附加组件进行授权。
  3. Endpoint Privilege Management 许可证分配给自己和其他用户。

分配 Intune 管理员角色

  1. Microsoft Intune 管理中心,转到 “用户 ”并选择自己作为用户。

  2. 在左侧导航菜单中选择 “分配的角色 ”,选择“ 添加分配”,然后选择并分配 Intune 管理员 角色。

    显示分配 Microsoft Intune 管理员角色的屏幕截图。

  3. 对要分配 Intune 管理员 角色的任何其他用户重复此过程。

授权 Endpoint Privilege Management 附加组件

  1. Intune 管理中心,转到租户管理>Intune 加载项,然后选择 Endpoint Privilege Management 旁边的“查看详细信息”链接。
  2. 在详细信息屏幕上,选择 指向 Microsoft 365 管理中心的链接。
  3. 在 Microsoft 365 管理中心,转到 “计费>许可证”,选择 Microsoft Intune Endpoint Privilege Management,然后购买所需的许可证数。

向用户分配 Endpoint Privilege Management 许可证

  1. 在 Microsoft 365 管理中心,转到 “计费>你的产品”,然后选择 Microsoft Intune Endpoint Privilege Management

  2. “Microsoft Intune Endpoint Privilege Management ”页上,选择“ 分配许可证”。 还可以通过选择“ 购买许可证”在此处购买更多许可证。

  3. 在“ 用户 ”选项卡上,选择“ 分配许可证”。

  4. 在“ 向用户分配许可证 ”屏幕上,一次最多选择 20 个用户,然后选择“ 分配许可证”。

    显示分配 Microsoft Intune Endpoint Privilege Management 许可证的屏幕截图。

部署提升设置策略

若要处理提升策略规则或请求,开发框必须具有启用 Endpoint Privilege Management 的提升设置策略。 启用此支持会安装 Endpoint Privilege Management 代理,该代理处理设备上的策略。 通过提升设置策略,可以配置特定于客户端但不一定与单个应用程序或任务的提升相关的设置。

以下过程:

  1. 创建用于测试策略配置的 Intune 组,并将开发框添加到该组。
  2. 创建终端特权管理提升设置策略。
  3. 将策略指定给组。

创建 Intune 组并添加开发框

  1. Microsoft Intune管理中心中,选择>新建组
  2. “新建组” 窗体中,完成以下字段:
    • “组类型”:选择“安全性”。
    • 组名称:输入组的名称,例如 Intune 测试人员
    • 成员身份类型: 选择“分配”。
    • 成员:选择开发环境主机名。
  3. 选择 创建

创建提升设置策略并将其分配给组

  1. 在 Microsoft Intune 管理中心,选择 “终结点安全>终结点特权管理”,然后在“ 策略 ”选项卡上选择“ 创建策略”。

    以下屏幕截图显示了 Microsoft Intune 管理中心,其中展示了“终结点特权管理”窗格。

  2. “创建配置文件 ”屏幕上,选择以下选项:

    • 平台:选择 Windows 10 及更高版本
    • 配置文件类型:选择“提升设置策略”

  3. 选择 创建

  4. 在“创建配置文件”窗格的“基本信息”选项卡上,输入策略的名称,然后选择“下一步”。

  5. “配置设置 ”选项卡上,展开 “特权管理提升客户端设置”。

  6. Endpoint Privilege Management 设置为 “已启用”。

  7. “默认提升响应”下,选择“ 拒绝所有请求”。

  8. 选择 “下一步 ”两次,或选择“ 分配 ”选项卡。

    显示“配置设置”选项卡的屏幕截图,其中启用了 Endpoint Privilege Management,默认提升响应设置为“拒绝所有请求”。

  9. 在“ 分配 ”选项卡上,选择“ 添加组 ”并添加创建的 Intune 组。

    显示“创建配置文件分配”选项卡并突出显示“添加组”的屏幕截图。

  10. 依次选择“下一步”、“创建”。

创建和部署策略最多可能需要 20 分钟。 然后,策略会显示在 Intune 管理中心 的设备>配置 下。

验证管理权限限制

确认已应用 Endpoint Privilege Management 策略,并且代理程序已安装在开发设备上并能正常工作。

验证策略是否已应用于开发环境

  1. Microsoft Intune 管理中心,选择“设备”,然后在“管理设备”下选择“配置”。

  2. “配置” 屏幕上,选择创建的策略。

    显示 Microsoft Intune 管理中心的屏幕截图,其中突出显示了“设备”窗格和“设备配置”。

  3. 在策略页上,选择“按设置状态”磁贴。

  4. 确保所有组设备的所有设置都报告成功

    一张显示“个人资料设置”的屏幕截图,突出显示“设置状态”。

验证代理是否已安装并在开发环境中运行

在开发箱中:

  • 验证 名为 Microsoft Endpoint Privilege Management AgentMicrosoft EPM 代理 的文件夹是否存在 于 c:\Program Files 中。

  • 右键单击某个应用程序,然后选择“ 使用提升的访问权限运行”。 验证是否从 Endpoint Privilege Management 收到一条消息,指出 无法以管理员身份运行此应用

相关内容

  • Last updated on