Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestra cómo configurar Microsoft Intune Endpoint Privilege Management para que los usuarios del cuadro de desarrollo no necesiten privilegios elevados para realizar tareas comunes en sus cuadros de desarrollo. Las tareas que normalmente requieren privilegios elevados incluyen la instalación de aplicaciones, la actualización de controladores de dispositivos y la ejecución de algunos diagnósticos de Windows. Intune Endpoint Privilege Management puede permitir que los usuarios de la caja de desarrollo de su organización completen estas tareas como usuarios estándar y no administrativos.
Endpoint Privilege Management es un complemento para Microsoft Intune. Para poder usar Endpoint Privilege Management, debe conceder una licencia al complemento en su entorno, ya sea de forma independiente o como parte de la Suite de Intune. Una vez que tengas la licencia, usa Microsoft Intune admin center para configurar Endpoint Privilege Management e implementar una directiva de ajustes de elevación en los equipos de desarrollo de tu proyecto.
Requisitos previos
| Categoría | Requirement |
|---|---|
| Autenticación | ID de Microsoft Entra para la gestión de identidades y accesos. |
| Licencias | Una licencia de Microsoft Intune para cada usuario de Microsoft Dev Box. |
| Roles y permisos | - Para administrar la administración de privilegios de punto de conexión, el rol Administrador de Intune. - Para crear y administrar un centro de desarrollo, el rol Propietario o Colaborador en la suscripción o el Centro de desarrollo de Azure. - Para crear y usar dev boxes, el rol Usuario de Dev Box de DevCenter. |
| Tools | Una suscripción de Azure vinculada a su inquilino de Microsoft Entra y una licencia de Microsoft Intune. |
| Tools | Una sandbox de desarrollo creada con un sistema operativo compatible, versiones de Windows 11 a partir de la 21H2. Determine el nombre de host del dev box para agregar al grupo de Intune. |
Configuración de licencias y roles
Para conceder licencias y configurar el complemento Administración de privilegios de puntos de conexión de Microsoft Intune, debe:
- Asígnese el rol Administrador de Intune .
- Licencie la administración de privilegios de punto de conexión en su inquilino como complemento de Intune.
- Asigne licencias de Administración de privilegios de punto de conexión a sí mismo y a otros usuarios.
Asignación del rol de administrador de Intune
En el Centro de administración de Microsoft Intune, vaya a Usuarios y selecciónelo como usuario.
Seleccione Roles asignados en el menú de navegación izquierdo, seleccione Agregar asignaciones y, a continuación, seleccione y asigne el rol Administrador de Intune .
Repita el proceso para cualquier otro usuario que quiera asignar el rol Administrador de Intune .
Licencia del complemento Endpoint Privilege Management
- En el Centro de administración de Intune, vaya a Administración de inquilinos>Complementos de Intune y seleccione el vínculo Ver detalles junto a Endpoint Privilege Management.
- En la pantalla de detalles, seleccione el vínculo al Centro de administración de Microsoft 365.
- En el Centro de administración de Microsoft 365, vaya a Facturación>Licencias, seleccione Administración de Privilegios de Puntos de Conexión de Microsoft Intune y compre el número de licencias que necesita.
Asignación de licencias de Administración de privilegios de punto de conexión a los usuarios
En el Centro de administración de Microsoft 365, vaya a Facturación>Sus productos y seleccione Administración de privilegios de puntos de conexión de Microsoft Intune.
En la página Administración de privilegios de puntos de conexión de Microsoft Intune , seleccione Asignar licencias. También puede comprar más licencias aquí seleccionando Comprar licencias.
En la pestaña Usuarios , seleccione Asignar licencias.
En la pantalla Asignar licencias a los usuarios , seleccione hasta 20 usuarios a la vez y, a continuación, seleccione Asignar licencias.
Implementación de una directiva de configuración de elevación
Para procesar las solicitudes o reglas de directiva de elevación, un dev box debe tener una directiva de configuración de elevación que habilite la administración de privilegios de punto de conexión. Al habilitar esta compatibilidad, se instala el agente de Gestión de Privilegios de Endpoint, que procesa la directiva en el dispositivo. Una directiva de elevación le permite configurar configuraciones específicas del cliente, pero que no están necesariamente relacionadas con la elevación de aplicaciones o tareas individuales.
Los procedimientos siguientes:
- Cree un grupo de Intune para usarlo para probar la configuración de directivas y agregue el cuadro de desarrollo al grupo.
- Cree una directiva de configuración de elevación de la administración de privilegios de punto de conexión.
- Asigne la directiva al grupo.
Crear un grupo de Intune y agregar la caja de desarrollo
- En el Centro de administración de Microsoft Intune, seleccione Grupos>Nuevo grupo.
- En el formulario Nuevo grupo , complete los campos siguientes:
- Tipo de grupo: seleccione Seguridad.
- Nombre del grupo: escriba un nombre para el grupo, por ejemplo, evaluadores de Intune.
- Tipo de pertenencia: seleccione Asignado.
- Miembros: seleccione el nombre de host de la máquina de desarrollo.
- Selecciona Crear.
Crear una directiva de configuración de elevación y asignarla al grupo
En el Centro de administración de Microsoft Intune, seleccione Endpoint security>Endpoint Privilege Management y, en la pestaña Directivas , seleccione Crear directiva.
En la pantalla Crear un perfil , seleccione las siguientes opciones:
- Plataforma: seleccione Windows 10 y posteriores.
- Tipo de perfil: seleccione Directiva de configuración de elevación.
Selecciona Crear.
En la pestaña Aspectos básicos del panel Crear perfil , escriba un nombre para la directiva y, a continuación, seleccione Siguiente.
En la pestaña Ajustes de configuración, expanda Ajustes del cliente de elevación de gestión de privilegios.
Establezca Endpoint Privilege Management en Habilitado.
En Respuesta de elevación predeterminada, seleccione Denegar todas las solicitudes.
Seleccione Siguiente dos veces o seleccione la pestaña Asignaciones .
En la pestaña Asignaciones , seleccione Agregar grupos y agregue el grupo de Intune que creó.
Seleccione Siguiente y, después, Crear.
La directiva puede tardar hasta 20 minutos en crearse e implementarse. A continuación, la directiva aparece enConfiguración> en el Centro de administración de Intune.
Comprobación de las restricciones de privilegios administrativos
Confirme que se aplica la directiva de Administración de privilegios de punto de conexión y que el agente está instalado y funcionando en las máquinas de desarrollo.
Verifique que la política se aplique al entorno de desarrollo
En el Centro de administración de Microsoft Intune, seleccione Dispositivos y, a continuación, seleccione Configuración en Administrar dispositivos.
En la pantalla Configuración , seleccione la directiva que creó.
En la página de directiva, seleccione el mosaico Estado por valor.
Asegúrese de que todos los ajustes informen de resultado Correcto para todos los dispositivos del grupo.
Compruebe que el agente está instalado y funcionando en la máquina de desarrollo
En tu entorno de desarrollo:
Compruebe que existe una carpeta denominada Microsoft Endpoint Privilege Management Agent o Microsoft EPM Agent en c:\Archivos de programa.
Haga clic con el botón derecho en una aplicación y seleccione Ejecutar con acceso elevado. Compruebe que recibe un mensaje de Endpoint Privilege Management que no puede ejecutar esta aplicación como administrador.