Поделиться через

Настройка управления привилегиями конечной точки Intune для полей разработки

В этой статье показано, как настроить Microsoft Intune Endpoint Privilege Management, чтобы пользователи поля разработки не нуждались в повышенных привилегиях для выполнения распространенных задач в своих полях разработки. Задачи, которые обычно требуют повышенных привилегий, включают установку приложений, обновление драйверов устройств и выполнение некоторых диагностики Windows. Управление привилегиями конечной точки Intune позволяет пользователям dev box вашей организации выполнять эти задачи как стандартные пользователи без административных прав.

Управление привилегиями конечной точки — это дополнение для Microsoft Intune. Прежде чем использовать Управление привилегиями на конечной точке, необходимо лицензировать надстройку в учетной записи либо автономно, либо как часть пакета Intune. После получения лицензии вы используете Центр администрирования Microsoft Intune для настройки Управления привилегиями конечных точек и развертывания политики повышения прав на устройства для разработки в вашем проекте.

Необходимые компоненты

Категория Требование
Authentication Идентификатор Microsoft Entra для управления удостоверениями и доступом.
Licenses Одна лицензия Microsoft Intune для каждого пользователя Microsoft Dev Box.
Роли и разрешения — Для администрирования привилегиями конечной точки, роль администратора Intune.
— Создание и управление центром разработки, ролью владельца или участника в подписке Azure или центре разработки.
— Чтобы создать и использовать dev boxes, требуется роль DevCenter Dev Box User.
Tools Подписка Azure, связанная с клиентом Microsoft Entra и лицензией Microsoft Intune.
Tools Поле разработки, созданное с поддерживаемой ОС, Windows 11 версии 21H2 или более поздней. Определите имя узла разработческой среды для добавления в группу Intune.

Настройка лицензий и ролей

Чтобы лицензировать и настроить надстройку Microsoft Intune Endpoint Privilege Management, необходимо:

  1. Назначьте себе роль администратора Intune .
  2. Лицензируйте Управление привилегиями конечной точки в вашем арендаторе в качестве надстройки для Intune.
  3. Назначьте лицензии Endpoint Privilege Management для себя и других пользователей.

Назначение роли администратора Intune

  1. В Центре администрирования Microsoft Intune перейдите к пользователям и выберите себя в качестве пользователя.

  2. Выберите назначенные роли в меню навигации слева, выберите " Добавить назначения", а затем выберите и назначьте роль администратора Intune .

    Снимок экрана: назначение роли администратора Microsoft Intune.

  3. Повторите процесс для всех других пользователей, которым требуется назначить роль администратора Intune .

Лицензирование дополнения Endpoint Privilege Management

  1. В Центре администрирования Intune перейдите к администрированию клиента>надстройкам Intune и выберите ссылку "Просмотр сведений" рядом с Endpoint Privilege Management.
  2. На экране сведений выберите ссылку на Центр администрирования Microsoft 365.
  3. В Центре администрирования Microsoft 365 перейдите к Оплате>Лицензии, выберите Microsoft Intune Endpoint Privilege Management и приобретите необходимые лицензии.

Назначение лицензий Endpoint Privilege Management пользователям

  1. В Центре администрирования Microsoft 365 перейдите в раздел Выставление счетов>Ваши продукты и выберите Microsoft Intune Endpoint Privilege Management.

  2. На странице Управления привилегиями конечной точки Microsoft Intune выберите Назначить лицензии. Вы также можете приобрести дополнительные лицензии здесь, выбрав "Купить лицензии".

  3. На вкладке "Пользователи" выберите "Назначить лицензии".

  4. На экране "Назначение лицензий пользователям " выберите до 20 пользователей за раз, а затем выберите "Назначить лицензии".

    Снимок экрана, который показывает назначение лицензии Microsoft Intune Endpoint Privilege Management.

Развертывание политики настроек увеличения привилегий доступа

Чтобы обработать правила или запросы политики повышения прав, коробка для разработки должна иметь политику настроек повышения прав, которая включает управление привилегиями на конечных точках. Активирование этой поддержки устанавливает агент Endpoint Privilege Management, который осуществляет обработку политики на устройстве. Политика параметров повышения прав позволяет настроить параметры, относящиеся к клиенту, но не обязательно связаны с повышением прав отдельных приложений или задач.

Следующие процедуры:

  1. Создайте группу Intune для использования для настройки политики тестирования и добавьте поле разработки в группу.
  2. Создайте политику параметров повышения привилегий управления узлом.
  3. Назначьте политику группе.

Создание группы Intune и добавление поля разработки

  1. В Центре администрирования Microsoft Intune выберите Группы>Новая группа.
  2. В форме "Создать группу " заполните следующие поля:
    • Тип группы: Выберите безопасность .
    • Имя группы: введите имя группы, например тестировщики Intune.
    • Тип членства: выберите Назначено.
    • Участники: выберите имя узла виртуальной машины разработки.
  3. Нажмите кнопку "Создать".

Создайте политику настроек доступа и присвойте ее группе

  1. В Центре администрирования Microsoft Intune выберите "Управлениепривилегиями конечной> и на вкладке "Политики" выберите "Создать политику".

    Снимок экрана: Центр администрирования Microsoft Intune, на котором показана панель управления привилегиями конечной точки.

  2. На экране "Создание профиля" выберите следующие параметры:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите политику настроек повышения.

  3. Нажмите кнопку "Создать".

  4. На вкладке "Основы " области "Создание профиля " введите имя политики и нажмите кнопку "Далее".

  5. На вкладке "Параметры конфигурации" разверните параметры клиента управления привилегиями.

  6. Установите для параметра "Управление привилегиями конечной точки " значение "Включено".

  7. В разделе "Ответ на повышение прав по умолчанию" выберите "Запретить все запросы".

  8. Дважды нажмите кнопку " Далее " или перейдите на вкладку "Назначения ".

    Снимок экрана, на котором показана вкладка

  9. На вкладке "Назначения" выберите "Добавить группы " и добавьте созданную группу Intune.

    Снимок экрана: вкладка

  10. Выберите Далее, а затем выберите Создать.

Для создания и развертывания политики может потребоваться до 20 минут. Затем политика отображается в разделе"Конфигурация>" в Центре администрирования Intune.

Проверка ограничений прав администратора

Убедитесь, что политика управления привилегиями конечной точки применена, а агент установлен и работает на рабочих станциях разработчиков.

Убедитесь, что политика безопасности применяется к контейнеру разработки.

  1. В Центре администрирования Microsoft Intune выберите "Устройства" , а затем выберите "Конфигурация " в разделе "Управление устройствами".

  2. На экране "Конфигурация" выберите созданную политику.

    Снимок экрана: Центр администрирования Microsoft Intune с выделенной областью

  3. На странице политики выберите плитку статуса настройки.

  4. Убедитесь, что все параметры показывают успех для всех устройств группы.

    Снимок экрана: параметры профиля с выделенным состоянием

Убедитесь, что агент установлен и работает в поле разработки

На вашей среде разработки:

  • Убедитесь, что папка с именем Microsoft Endpoint Privilege Management Agent или Microsoft EPM Agent существует в c:\Program Files.

  • Щелкните правой кнопкой мыши приложение и выберите "Выполнить с повышенными привилегиями". Убедитесь, что вы получаете сообщение из Endpoint Privilege Management, которое невозможно запустить это приложение от имени администратора.

Связанный контент

  • Last updated on