Freigeben über

Konfigurieren von Microsoft Intune Endpoint Privilege Management für Dev-Boxes

  • Artikel

In diesem Artikel erfahren Sie, wie Sie Microsoft Intune Endpoint Privilege Management (EPM) für Dev-Boxes konfigurieren, sodass Benutzer von Dev-Boxes keine lokalen Administratorrechte benötigen.

Microsoft Intune Endpoint Privilege Management ermöglicht es den Benutzern Ihrer Organisation, als Standardbenutzer (ohne Administratorrechte) Aufgaben auszuführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnosen.

Endpoint Privilege Management ist in Microsoft Intune integriert. Dies bedeutet, dass alle Konfigurationen im Microsoft Intune Admin Center abgeschlossen sind. Um mit EPM zu beginnen, verwenden Sie den wie folgt beschriebenen allgemeinen Prozess:

  • License Endpoint Privilege Management – Bevor Sie Endpoint Privilege Management-Richtlinien verwenden können, müssen Sie EPM in Ihrem Mandanten als Intune-Add-On lizenzieren. Informationen zur Lizenzierung finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

  • Bereitstellen einer Richtlinie für Rechteerweiterungseinstellungen – Eine Richtlinie für Rechteerweiterungseinstellungen aktiviert EPM auf dem Clientgerät. Mit dieser Richtlinie können Sie auch Einstellungen konfigurieren, die für den Client spezifisch sind, aber nicht unbedingt mit der Erhöhung einzelner Anwendungen oder Aufgaben zusammenhängen.

Voraussetzungen

  • Ein Dev Center mit einem Dev Box-Projekt.
  • Microsoft Intune-Abonnement.

License Endpoint Privilege Management

Endpoint Privilege Management erfordert entweder eine eigenständige Lizenz, die nur EPM hinzufügt, oder Lizenz-EPM als Teil der Microsoft Intune Suite.

In diesem Abschnitt konfigurieren Sie die EPM-Lizenzierung und weisen dem Benutzer die EPM-Lizenz zu.

  1. Lizenzieren Sie EPM in Ihrem Mandanten als Intune-Add-On:

    1. Öffnen Sie das Microsoft Intune Admin Center und navigieren Sie zu Mandantenadministrator>Intune-Add-Ons.
    2. Wählen Sie Endpoint Privilege Management aus.

  2. Konfigurieren der Intune-Administratorrolle für die EPM-Verwaltung:

    1. Wechseln Sie im Intune Admin Center zu Benutzer und wählen Sie den Benutzer aus, dem Sie die Rolle zuweisen möchten.

    2. Wählen Sie die Rolle " Intune-Administrator " aus.

      Screenshot des Microsoft Intune Admin Centers mit den verfügbaren Mandantenadministratorrollen.

  3. Wenden Sie die EPM-Lizenz in Microsoft 365 an:

    Wechseln Sie im Microsoft 365 Admin Center zu Abrechnung>Dienste kaufen>Endpoint Privilege Management und wählen Sie dann Ihre EPM-Lizenz aus.

  4. Weisen Sie dem Zielbenutzer E5- und EPM-Lizenzen in Microsoft Entra ID zu:

    1. Wechseln Sie im Intune Admin Center zu Benutzer und wählen Sie den Benutzer aus, dem Sie die E5- und EPM-Lizenzen zuweisen möchten.

    2. Wählen Sie Aufgaben aus und weisen Sie die Lizenzen zu.

      Screenshot des Microsoft Intune Admin Centers mit den verfügbaren Lizenzen.

Bereitstellen einer Richtlinie für die Rechteerweiterungseinstellungen

Eine Dev-Box muss über eine Richtlinie für Rechteerweiterungseinstellungen verfügen, welche die Unterstützung für EPM zum Verarbeiten einer Richtlinie für Rechteerweiterungsregeln oder zum Verwalten von Rechteerweiterungsanforderungen ermöglicht. Wenn die Unterstützung aktiviert ist, wird der EPM Microsoft-Agent installiert, der die EPM-Richtlinien verarbeitet.

In diesem Abschnitt erstellen Sie eine Dev-Box und eine Intune-Gruppe, die Sie zum Testen der EPM-Richtlinienkonfiguration verwenden. Anschließend erstellen Sie eine EPM-Einstellungsrichtlinie für Rechteerweiterungen und weisen die Richtlinie der Gruppe zu.

  1. Erstellen einer Dev-Box-Definition

    1. Erstellen Sie im Azure-Portal eine Dev Box-Definition. Geben Sie ein unterstütztes Betriebssystem an, z. B. Windows 11, Version 22H2.

      Hinweis

      EPM unterstützt die folgenden Betriebssysteme:

      • Windows 11 (Versionen 23H2, 22H2 und 21H2)
      • Windows 10 (Versionen 22H2, 21H2 und 20H2)

    2. Erstellen Sie in Ihrem Projekt einen Dev Box-Pool, der die neue Dev Box-Definition verwendet.

    3. Weisen Sie die Rolle Dev Box-Benutzer dem Testbenutzer zu.

  2. Erstellen einer Dev-Box zum Testen der Richtlinie

    1. Melden Sie sich beim Entwicklerportal an.

    2. Erstellen Sie eine Dev-Box mit dem Dev Box-Pool, den Sie im vorherigen Schritt erstellt haben.

    3. Bestimmen Sie den Hostnamen der Dev-Box. Sie verwenden diesen Hostnamen, um die Dev-Box und die Intune-Gruppe im nächsten Schritt hinzuzufügen.

  3. Erstellen einer Intune-Gruppe und Hinzufügen der Dev-Box zur Gruppe

    1. Öffnen Sie das Microsoft Intune Admin Center, wählen Sie Gruppen>Neue Gruppe aus.

    2. Wählen Sie im Dropdownfeld Gruppentyp die Option Sicherheit aus.

    3. Geben Sie im Feld Gruppenname den Namen für die neue Gruppe ein (z. B. Contoso Tester).

    4. Fügen Sie eine Gruppenbeschreibung für die Gruppe hinzu.

    5. Legen Sie den Mitgliedschaftstyp auf Zugewiesen fest.

    6. Wählen Sie unter Mitglieder die von Ihnen erstellte Dev-Box aus.

  4. Erstellen Sie eine EPM-Einstellungseinstellungsrichtlinie und weisen Sie sie der Gruppe zu.

    1. Wählen Sie im Microsoft Intune Admin Center Endpunktsicherheit>Endpoint Privilege Management>Richtlinien>Richtlinie erstellen aus.

      Screenshot des Microsoft Intune Admin Centers mit der Endpunktsicherheit | Bereich

    2. Wählen Sie im Bereich Erstellen eines Profils die folgenden Einstellungen aus:

      • Plattform: Windows 10 und höher
      • Profiltyp: Richtlinie für Rechteerweiterungseinstellungen

    3. Geben Sie auf der Registerkarte Grundlagen einen Namen für die Richtlinie ein.

      Screenshot der Registerkarte

    4. Wählen Sie auf der Registerkarte Konfigurationseinstellungen in Standarderweiterungsantwort Alle Rechteerweiterungsanforderungen verweigern aus.

      Screenshot der Registerkarte

    5. Wählen Sie auf der Registerkarte Aufgaben Gruppen hinzufügen aus, fügen Sie die Gruppe hinzu, die Sie zuvor erstellt haben und wählen Sie dann Erstellen aus.

      Screenshot der Registerkarte

Überprüfen der Einschränkungen von Administratorrechten

In diesem Abschnitt überprüfen Sie, ob der Microsoft EPM-Agent installiert ist und die Richtlinie auf die Dev-Box angewendet wird.

  1. Überprüfen Sie, ob die Richtlinie auf die Dev-Box angewendet wird:

    1. Wählen Sie im Microsoft Intune Admin Center in Geräte> die zuvor erstellte Dev-Box und in >Gerätekonfiguration> die zuvor erstellte Richtlinie aus.

      Screenshot des Microsoft Intune Admin Centers mit hervorgehobener Gerätebereich und Gerätekonfiguration.

    2. Warten Sie, bis alle Einstellungen als erfolgreich angezeigt werden.

      Screenshot der Profileinstellungen mit hervorgehobener Einstellungsstatus.

  2. Überprüfen Sie, ob der Microsoft EPM-Agent in der Dev-Box installiert ist:

    1. Melden Sie sich bei der zuvor erstellten Dev-Box an.
    2. Navigieren Sie zu c:\Programme und stellen Sie sicher, dass ein Ordner mit dem Namen Microsoft EPM Agent vorhanden ist.

  3. Versuchen Sie, eine Anwendung mit Administratorrechten auszuführen.

    Klicken Sie in der Dev-Box mit der rechten Maustaste auf eine Anwendung und wählen Sie Mit erhöhten Rechten aus ausführen aus. Sie erhalten eine Meldung, dass die Installation blockiert wird.

Zugehöriger Inhalt