Condividi tramite

Configurare la gestione privilegi endpoint Microsoft Intune per macchine di sviluppo

  • Articolo

Questo articolo illustra come configurare la gestione privilegi endpoint Microsoft Intune (EMP) per macchine di sviluppo in modo che gli utenti di macchine di sviluppo non necessitino di privilegi amministrativi locali.

Gestione privilegi endpoint Microsoft Intune consente agli utenti dell'organizzazione di operare come utente standard (senza diritti di amministratore) e di completare attività che richiedono privilegi elevati. Le attività che in genere richiedono privilegi amministrativi sono installazioni di applicazioni (ad esempio Applicazioni di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica Windows.

La gestione privilegi endpoint è integrata in Microsoft Intune, il che significa che tutte le configurazioni vengono completate nell'interfaccia di amministrazione di Microsoft Intune. Per iniziare a usare EPM, seguire il processo di alto livello descritto di seguito:

  • Gestione privilegi endpoint di licenza: prima di poter usare i criteri di gestione privilegi endpoint, è necessario concedere una licenza a EPM nel tenant come componente aggiuntivo di Intune. Per informazioni sulle licenze, vedere Usare le funzionalità dei componenti aggiuntivi di Intune Suite.

  • Distribuire un criterio delle impostazioni di elevazione dei privilegi: i criteri delle impostazioni di elevazione dei privilegi attivano EPM nel dispositivo client. Questo criterio consente anche di configurare le impostazioni specifiche del client ma non necessariamente correlate all'elevazione di singole applicazioni o attività.

Prerequisiti

  • Un centro di sviluppo con un progetto di macchine di sviluppo.
  • Sottoscrizione di Microsoft Intune.

Gestione dei privilegi endpoint licenze

Gestione dei privilegi endpoint richiede una licenza autonoma che aggiunge solo EPM o EPM come parte di Microsoft Intune Suite.

In questa sezione si configureranno le licenze EPM e si assegnerà la licenza EPM a un utente.

  1. Licenza EPM nel tenant come componente aggiuntivo di Intune:

    1. Aprire l'interfaccia di amministrazione di Microsoft Intune e passare ai componenti aggiuntivi di Intune> Amministratore tenant.
    2. Selezionare Gestione dei privilegi endpoint.

  2. Configurare il ruolo di amministratore di Intune per l'amministrazione EPM:

    1. Nell'interfaccia di amministrazione di Intune, passare a Utenti e selezionare l'utente a cui si vuole assegnare il ruolo.

    2. Selezionare Aggiungi assegnazioni e il ruolo di Amministratore di Intune.

      Screenshot dell'interfaccia di amministrazione di Microsoft Intune, che mostra i ruoli di amministratore tenant disponibili.

  3. Applicare la licenza EPM in Microsoft 365:

    Nell'interfaccia di amministrazione di Microsoft 365, passare a Fatturazione>Servizi di acquisto>Gestione privilegi endpoint e quindi selezionare la licenza EPM.

  4. Assegnare licenze E5 ed EPM all'utente di destinazione in Microsoft Entra ID:

    1. Nell'interfaccia di amministrazione di Intune, passare a Utenti e selezionare l'utente a cui assegnare le licenze E5 ed EPM.

    2. Selezionare Assegnazioni e assegnare le licenze.

      Screenshot dell'interfaccia di amministrazione di Microsoft Intune che mostra le licenze disponibili.

Distribuire un criterio delle impostazioni di elevazione dei privilegi

Una macchina di sviluppo deve avere un criterio di impostazioni di elevazione dei privilegi che consenta EPM di elaborare criteri di elevazione dei privilegi o gestire le richieste di elevazione dei privilegi. Quando il supporto è abilitato, viene installato EPM Microsoft Agent, che elabora criteri EPM.

In questa sezione verranno creati una macchina di sviluppo e un gruppo di Intune usati per testare la configurazione dei criteri EPM. Quindi, si creeranno criteri di elevazione dei privilegi EPM e si assegneranno i criteri al gruppo.

  1. Creare una definizione di macchina di sviluppo

    1. Nel portale di Azure, creare una definizione di macchina di sviluppo. Specificare un sistema operativo supportato, ad esempio Windows 11, versione 22H2.

      Nota

      EPM supporta i sistemi operativi seguenti:

      • Windows 11 (versioni 23H2, 22H2 e 21H2)
      • Windows 10 (versioni 22H2, 21H2 e 20H2)

    2. Nel progetto, creare un pool di macchine di sviluppo che usa la nuova definizione di macchina di sviluppo.

    3. Assegnare il ruolo Utente Dev Box all'utente di test.

  2. Creare una macchina di sviluppo per testare i criteri

    1. Accedere al portale per sviluppatori.

    2. Creare una macchina di sviluppo usando il pool di sviluppo creato nel passaggio precedente.

    3. Determinare il nome host della macchina di sviluppo. Questo nome host aggiungerà la macchina di sviluppo a un gruppo di Intune nel passaggio successivo.

  3. Creare un gruppo di Intune e aggiungervi la macchina di sviluppo

    1. Aprire l'interfaccia di amministrazione di Microsoft Intune, quindi selezionare Gruppi>Nuovo gruppo.

    2. Nell'elenco a discesa Tipo di gruppo, selezionare Sicurezza.

    3. Nel campo Nome gruppo, immettere il nome del nuovo gruppo (ad esempio, Contoso Testers).

    4. Aggiungere una descrizione gruppo per il gruppo.

    5. Impostare il Tipo di appartenenza come Assegnato.

    6. In Membri, selezionare la casella di sviluppo creata.

  4. Creare un criterio di elevazione dei privilegi EPM e assegnarlo al gruppo.

    1. Nell'interfaccia di amministrazione di Microsoft Intune, selezionare Sicurezza endpoint>Gestione privilegi endpoint>Criteri>Crea criterio.

      Screenshot dell'interfaccia di amministrazione di Microsoft Intune che mostra Sicurezza endpoint | Riquadro Gestione privilegi endpoint.

    2. Nel riquadro Crea un profilo, selezionare le impostazioni seguenti:

      • Piattaforma: Windows 10 e versioni successive
      • Tipo di profilo: Criterio delle impostazioni di elevazione dei privilegi

    3. Nella scheda Informazioni di base, immettere un nome per il criterio.

      Screenshot che mostra la scheda Crea informazioni di base del profilo con il nome dei criteri evidenziato.

    4. Nella scheda Impostazioni di configurazione, in Risposta elevazione predefinita, selezionare Nega tutte le richieste di elevazione dei privilegi.

      Screenshot che mostra la scheda Impostazioni di configurazione con Gestione privilegi endpoint abilitata e Risposta di elevazione predefinita impostata su Nega tutte le richieste.

    5. Nella scheda Assegnazioni, selezionare Aggiungi gruppi, aggiungere il gruppo creato in precedenza e quindi selezionare Crea.

      Screenshot che mostra la scheda Assegnazioni di Crea profilo con l'opzione Aggiungi gruppi evidenziata.

Verificare le restrizioni relative ai privilegi amministrativi

In questa sezione si verificherà che Microsoft EPM Agent sia installato e che il criterio venga applicato alla macchina di sviluppo.

  1. Verificare che il criterio venga applicato alla macchina di sviluppo:

    1. Nell'interfaccia di amministrazione di Microsoft Intune, selezionare Dispositivi>, la casella di sviluppo creata in precedenza, >Configurazione>, il dispositivo il criterio creato in precedenza.

      Screenshot che mostra l'interfaccia di amministrazione di Microsoft Intune con il riquadro Dispositivi e la Configurazione dispositivo evidenziati.

    2. Attendere fino a quando non verrà visualizzato il report delle impostazioni come Riuscito.

      Screenshot che mostra le impostazioni del profilo, con stato Impostazione evidenziato.

  2. Verificare che Microsoft EPM Agent sia installato nella macchina di sviluppo:

    1. Accedere alla macchina di sviluppo creata in precedenza.
    2. Passare a c:\Programmi e verificare che esista una cartella denominata Microsoft EPM Agent.

  3. Tentare di eseguire un'applicazione con privilegi amministrativi.

    Nella casella di sviluppo, fare clic con il pulsante destro del mouse su un'applicazione e scegliere Esegui con accesso con privilegi elevati. Viene visualizzato un messaggio che informa che l'installazione è bloccata.

Contenuto correlato