共用方式為

為開發箱設定「Microsoft Intune 端點權限管理」

  • 發行項

在本文中,您將了解如何為開發箱設定「Microsoft Intune 端點權限管理 (EPM)」,以便開發箱使用者不需要本機系統管理權限。

「Microsoft Intune 端點權限管理」可讓您的組織的使用者以標準使用者身分執行 (沒有系統管理員權限),並完成需要提高權限的工作。 通常需要系統管理權限的工作包含應用程式安裝 (例如 Microsoft 365 應用程式)、更新裝置驅動程式,以及執行特定 Windows 診斷。

「端點權限管理」內建於 Microsoft Intune 中,這表示所有組態都是在「Microsoft Intune 系統管理中心」內完成的。 若要開始使用 EPM,請使用如下概述的高階流程:

  • 授權端點權限管理 - 在可以使用「端點權限管理」原則之前,您必須在您的租用戶中將 EPM 作為 Intune 附加元件來進行授權。 如需授權資訊,請參閱「使用 Intune Suite 附加元件功能」。

  • 部署提高權限設定原則 - 提高權限設定原則會在用戶端裝置上啟用 EPM。 此原則也可讓您設定用戶端特有的設定,但這些設定不一定與提升個別應用程式或工作的權限有關。

必要條件

  • 具有開發箱專案的開發人員中心。
  • Microsoft Intune 訂閱。

授權端點權限管理

「端點權限管理」需要僅新增 EPM 的獨立授權,或將 EPM 作為 Microsoft Intune Suite 的一部分來進行授權。

在本節中,您將設定 EPM 授權並將 EPM 授權指派給使用者。

  1. 在您的租用戶中將 EPM 作為 Intune 附加元件來進行授權:

    1. 開啟 [Microsoft Intune 系統管理中心],然後瀏覽至 [租用戶系統管理員]>[Intune 附加元件]
    2. 選取 [端點權限管理]

  2. 設定 EPM 管理的 Intune 系統管理員角色:

    1. 在 [Intune 系統管理中心] 中,移至 [使用者],然後選取您要將角色指派給他的使用者。

    2. 選取 [新增指派]、[Intune 系統管理員] 角色。

      [Microsoft Intune 系統管理中心] 的螢幕擷取畫面,其中顯示可用的租用戶系統管理員角色。

  3. 在 Microsoft 365 中套用 EPM 授權:

    在 [Microsoft 365 系統管理中心]中,移至 [計費]>[購買服務]>[端點權限管理],然後選取您的 EPM 授權。

  4. 將 E5 和 EPM 授權指派給 Microsoft Entra ID 中的目標使用者:

    1. 在 [Intune 系統管理中心] 中,移至 [使用者],然後選取您要將 E5 和 EPM 授權指派給他的使用者。

    2. 選取 [指派] 並指派授權。

      [Microsoft Intune 系統管理中心] 的螢幕擷取畫面,其中顯示可用的授權。

部署提高權限設定原則

開發箱必須具有提高權限設定原則,以便能夠支援 EPM 處理提高權限規則原則或管理提高權限要求。 啟用支援時,會安裝處理 EPM 原則的 EPM Microsoft 代理程式。

在本節中,您將建立一個開發箱和一個 Intune 群組,以用於測試 EPM 原則組態。 然後,您將建立一個 EPM 提高權限設定原則,並將該原則指派給該群組。

  1. 建立開發箱定義

    1. 在 Azure 入口網站中,建立一個開發箱定義。 指定支援的作業系統 (例如 Windows 11 版本 22H2)。

      注意

      EPM 支援以下作業系統:

      • Windows 11 (版本 23H2、22H2 和 21H2)
      • Windows 10 (版本 22H2、21H2 和 20H2)

    2. 在您的專案中,建立一個使用新開發箱定義的開發箱集區

    3. 開發箱使用者角色指派給測試使用者。

  2. 建立一個用於測試原則的開發箱

    1. 登入開發人員入口網站

    2. 使用您在上一個步驟中建立的開發箱集區來建立一個開發箱。

    3. 確定開發箱主機名稱。 在下一個步驟中,您將使用此主機名稱並將開發箱新增至 Intune 群組中。

  3. 建立一個 Intune 群組並將開發箱新增至該群組

    1. 開啟 [Microsoft Intune 系統管理中心],選取 [群組]>[新增群組]

    2. 在 [群組類型] 下拉式方塊中,選取 [安全性]

    3. 在 [群組名稱] 欄位中,輸入新群組的名稱 (例如 Contoso Testers)。

    4. 為該群組新增 [群組描述]

    5. 將 [成員資格類型] 設定為 [已指派]

    6. 在 [成員] 下,選取您已建立的開發箱。

  4. 建立一個 EPM 提高權限設定原則,並將它指派給該群組。

    1. 在 [Microsoft Intune 系統管理中心] 中,選取 [端點安全性]>[端點權限管理]>[原則]>[建立原則]

      [Microsoft Intune 系統管理中心] 的螢幕擷取畫面,其中顯示 [端點安全性 | 端點權限管理] 窗格。

    2. 在 [建立設定檔] 窗格中,選取下列設定:

      • [平台]:Windows 10 和更新版本
      • [設定檔類型]:提高權限設定原則

    3. 在 [基本資料] 索引標籤上,輸入原則的名稱。

      顯示 [建立設定檔基本資料] 索引標籤的螢幕擷取畫面,其中反白顯示了 [原則名稱]。

    4. 在 [組態設定] 索引標籤上,於 [預設提高權限回應] 中,選取 [拒絕所有提高權限要求]

      顯示 [組態設定] 索引標籤的螢幕擷取畫面,其中啟用了 [端點權限管理] 並將 [預設提高權限回應] 設定為 [拒絕所有要求]。

    5. 在 [指派] 索引標籤上,選取 [新增群組]、新增您稍早所建立的群組,然後選取 [建立]

      顯示 [建立設定檔指派] 索引標籤的螢幕擷取畫面,其中反白顯示了 [新增群組]。

驗證系統管理權限限制

在本節中,您將驗證 Microsoft EPM 代理程式是否已安裝以及原則是否已套用至開發箱。

  1. 驗證原則是否已套用至開發箱:

    1. 在 [Microsoft Intune 系統管理中心] 中,選取 [裝置] > 您稍早所建立的開發箱 > [裝置組態] > 您稍早所建立的原則。

      顯示 [Microsoft Intune 系統管理中心] 的螢幕擷取畫面,其中反白顯示了 [裝置] 窗格和 [裝置組態]。

    2. 等待所有設定報告為 [成功] 為止。

      顯示 [設定檔設定] 的螢幕擷取畫面,其中反白顯示了 [設定狀態]。

  2. 驗證 Microsoft EPM 代理程式是否已安裝在開發箱上:

    1. 登入您稍早所建立的開發箱。
    2. 瀏覽至 c:\Program Files,並驗證名為 Microsoft EPM Agent 的資料夾是否存在。

  3. 嘗試以系統管理權限執行應用程式。

    在您的開發箱中,以滑鼠右鍵按一下應用程式,然後選取 [以提高權限的存取權來執行]。 您會收到一則訊息,指出安裝遭到封鎖。

相關內容