Creación de reglas de elevación con Administración con privilegios para puntos de conexión

Con Microsoft Intune Administración con privilegios para puntos de conexión (EPM), los usuarios de la organización pueden ejecutarse como usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Para obtener más información, consulte Introducción a EPM.

Se aplica a:

• Windows

Las directivas de reglas de elevación permiten Administración con privilegios para puntos de conexión (EPM) identificar archivos y scripts específicos y realizar la acción de elevación asociada. Para que las reglas de elevación surtan efecto, los dispositivos deben tener una directiva de configuración de elevación dirigida que habilite EPM. Para obtener más información, consulte Configuración de elevación de EPM.

Además de la información de este artículo, tenga en cuenta las recomendaciones de seguridad importantes al administrar las reglas de elevación.

Acerca de la directiva de reglas de elevación

Se usa una directiva de reglas de elevación para administrar la identificación de archivos específicos y cómo se controlan las solicitudes de elevación para esos archivos. Cada directiva de regla de elevación incluye una o varias reglas de elevación. Con las reglas de elevación se configuran detalles sobre el archivo que se está administrando y los requisitos para que se puedan elevar.

Se admiten los siguientes tipos de archivos:

• Archivos ejecutables con la .exe extensión o .msi .
• Scripts de PowerShell con la .ps1 extensión .

Cada regla de elevación indica a EPM cómo:

• Identifique el archivo mediante:

  • Nombre de archivo (incluida la extensión). La regla también admite condiciones opcionales como una versión de compilación mínima, un nombre de producto o un nombre interno. Las condiciones opcionales se usan para validar aún más el archivo cuando se intenta la elevación. El nombre de archivo (excluyendo las extensiones) puede incluir el uso de variables para caracteres únicos mediante el uso de un signo de interrogación ? o cadenas mediante el uso de un asterisco *.
  • Certificado. Los certificados se pueden agregar directamente a una regla o mediante un grupo de configuración reutilizable. Los certificados deben ser de confianza y válidos. Se recomienda el uso de grupos de configuración reutilizables, ya que pueden ser más eficaces y simplificar un cambio futuro en el certificado. Para obtener más información, vea Grupos de configuración reutilizables.

• Valide el archivo:

  • Hash de archivo. Se requiere un hash de archivo para las reglas automáticas. Para las reglas con un tipo de elevación User confirmed (Usuario confirmado ) o Elevate as current user (Elevar como usuario actual), puede optar por usar un certificado o un hash de archivo, en cuyo caso el hash de archivo se convierte en opcional.
  • Certificado. Las propiedades de archivo se pueden validar junto con el certificado del publicador que se usa para firmar el archivo. Los certificados se validan mediante las API de Windows que comprueban atributos como la confianza, la expiración del certificado y el estado de revocación.
  • Propiedades de archivo. Cualquier otra propiedad especificada en las reglas debe coincidir.

• Configure el tipo de elevación de archivos. El tipo de elevación identifica lo que ocurre cuando se realiza una solicitud de elevación para el archivo. De forma predeterminada, esta opción se establece en Usuario confirmado. Con la excepción de Elevate como usuario actual, EPM usa una cuenta virtual para elevar los procesos. Esto aísla las acciones con privilegios elevados del perfil del usuario, lo que reduce la exposición a datos específicos del usuario y reduce el riesgo de elevación de privilegios.

  • Denegar: las reglas de denegación impiden que el archivo identificado se ejecute en un contexto con privilegios elevados.

  • Compatibilidad aprobada: un administrador debe aprobar la solicitud de elevación necesaria para el soporte técnico antes de que la aplicación pueda ejecutarse con privilegios elevados.

  • Confirmación del usuario: una elevación confirmada por el usuario siempre requiere que el usuario seleccione en un mensaje de confirmación para ejecutar el archivo. La confirmación solo se puede configurar para requerir una autenticación de usuario, una justificación empresarial (visible en los informes) o ambas.

  • Elevar como usuario actual: este tipo de elevación ejecuta el proceso con privilegios elevados en la propia cuenta del usuario que ha iniciado sesión, conservando la compatibilidad con herramientas e instaladores que dependen del perfil de usuario activo. Esto requiere que el usuario escriba sus credenciales para la autenticación de Windows. Esto conserva las rutas de acceso del perfil del usuario, las variables de entorno y la configuración personalizada. Dado que el proceso con privilegios elevados mantiene la misma identidad de usuario antes y después de la elevación, los seguimientos de auditoría siguen siendo coherentes y precisos.

    Sin embargo, dado que el proceso con privilegios elevados hereda el contexto completo del usuario, este modo presenta una superficie de ataque más amplia y reduce el aislamiento de los datos del usuario.

    Consideraciones principales:

    • Necesidad de compatibilidad: use este modo solo cuando la elevación de la cuenta virtual provoque errores de aplicación.
    • Ámbito estricto: limite las reglas de elevación a archivos binarios y rutas de acceso de confianza para reducir el riesgo.
    • Contrapartida de seguridad: comprenda que este modo aumenta la exposición a datos específicos del usuario.

    Sugerencia

    Cuando la compatibilidad no es un problema, prefiere un método que use la elevación de la cuenta virtual para una mayor seguridad.

  • Automático: una elevación automática se produce de forma invisible para el usuario. No hay ningún mensaje ni indicación de que el archivo se está ejecutando en un contexto con privilegios elevados.

• Administrar el comportamiento de los procesos secundarios. Puede establecer el comportamiento de elevación que se aplica a los procesos secundarios que crea el proceso con privilegios elevados.

  • Requerir que la regla se eleve : configure los procesos secundarios para que requieran su propia regla antes de que ese proceso secundario se pueda ejecutar en un contexto con privilegios elevados.
  • Denegar todo : todos los procesos secundarios se inician sin contexto elevado.
  • Permitir que los procesos secundarios se ejecuten con privilegios elevados : configure un proceso secundario para que siempre se ejecute con privilegios elevados.

Definición de reglas para su uso con Administración con privilegios para puntos de conexión

Administración con privilegios para puntos de conexión reglas constan de dos elementos fundamentales: una detección y una acción de elevación.

Las detecciones se definen como el conjunto de atributos que se usan para identificar una aplicación o un archivo binario. Estos atributos incluyen el nombre de archivo, la versión del archivo y las propiedades de firma.

Las acciones de elevación son la elevación resultante que se produce después de detectar una aplicación o binario.

Es importante al definir las detecciones que se definan para que sean lo más descriptivos posible. Para ser descriptivo, use atributos seguros o varios atributos para aumentar la intensidad de la detección. El objetivo al definir detecciones debe ser eliminar la capacidad de que varios archivos entren en la misma regla, a menos que sea explícitamente la intención.

Reglas hash de archivo

Las reglas hash de archivo son las reglas más seguras que se pueden crear con Administración con privilegios para puntos de conexión. Estas reglas son muy recomendables para asegurarse de que el archivo que se va a elevar sea el archivo con privilegios elevados.

El hash de archivo se puede recopilar del binario directo mediante el método De PowerShell Get-Filehash o directamente desde los informes de Administración con privilegios para puntos de conexión.

Reglas de certificado

Las reglas de certificado son un tipo seguro de atributo y deben emparejarse con otros atributos. Emparejar un certificado con atributos como el nombre del producto, el nombre interno y la descripción, mejora drásticamente la seguridad de la regla. Estos atributos están protegidos por una firma de archivos y a menudo indican detalles sobre el archivo firmado.

Reglas que contienen el nombre de archivo

El nombre de archivo es un atributo que se puede usar para detectar una aplicación que debe tener privilegios elevados. Sin embargo, los nombres de archivo se cambian fácilmente y no forman parte del hash o atributos firmados por el certificado del publicador.

Esto significa que los nombres de archivo son muy susceptibles a cambios. Los archivos que no tiene como destino intencionadamente firmados por un certificado en el que confía se pueden cambiar de nombre para detectarse y elevarse.

Reglas basadas en atributos recopilados por PowerShell

Para ayudarle a crear reglas de detección de archivos más precisas, puede usar el cmdlet De PowerShell Get-FileAttributes . Disponible en el módulo de PowerShell EpmTools, Get-FileAttributes puede recuperar atributos de archivo y el material de la cadena de certificados para un archivo y puede usar la salida para rellenar las propiedades de regla de elevación de una aplicación determinada.

Los pasos de importación de módulos de ejemplo y la salida de Get-FileAttributes se ejecutan en msinfo32.exe en Windows 11 versión 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Para obtener más información, vea Módulo de PowerShell EpmTools.

Controlar el comportamiento del proceso secundario

El comportamiento del proceso secundario permite controlar el contexto cuando un proceso elevado con EPM crea un proceso secundario. Este comportamiento permite controlar los procesos que se delegarían automáticamente en el contexto de su proceso primario.

Windows delega automáticamente el contexto de un elemento primario a un elemento secundario, por lo que debe tener especial cuidado al controlar el comportamiento de las aplicaciones permitidas. Asegúrese de evaluar lo que se necesita al crear reglas de elevación e implementar el principio de privilegios mínimos.

Implementación de reglas creadas con Administración con privilegios para puntos de conexión

Administración con privilegios para puntos de conexión reglas se implementan como cualquier otra directiva en Microsoft Intune. Esto significa que las reglas se pueden implementar en usuarios o dispositivos, y las reglas se combinan en el lado cliente y se seleccionan en tiempo de ejecución. Los conflictos se resuelven en función del comportamiento del conflicto de directiva.

Las reglas implementadas en un dispositivo se aplican a todos los usuarios que usan ese dispositivo. Las reglas que se implementan en un usuario solo se aplican a ese usuario en cada dispositivo que utilicen. Cuando se produce una acción de elevación, las reglas implementadas en el usuario tienen prioridad a las reglas implementadas en un dispositivo. Este comportamiento le permite implementar un conjunto de reglas para todos los usuarios de un dispositivo y un conjunto más permisivo de reglas para un usuario específico (por ejemplo, un administrador de soporte técnico). Esto permitiría al administrador de soporte técnico elevar un conjunto más amplio de aplicaciones al iniciar sesión en el dispositivo.

El comportamiento de elevación predeterminado solo se usa cuando no se puede encontrar ninguna coincidencia de regla. El comportamiento de elevación predeterminado solo se aplica cuando se desencadena una elevación con el menú Ejecutar con acceso con privilegios elevados .

Creación de una directiva de reglas de elevación

Implemente una directiva de reglas de elevación en usuarios o dispositivos para implementar una o varias reglas para los archivos administrados para la elevación por Administración con privilegios para puntos de conexión. Cada regla que agregue a esta directiva:

• Identifica un archivo por nombre de archivo y extensión de archivo para el que desea administrar las solicitudes de elevación.
• Puede incluir un certificado para ayudar a validar la integridad del archivo. También puede agregar un grupo reutilizable que contenga un certificado que luego use con una o varias reglas o directivas.
• Puede incluir uno o varios argumentos de archivo agregados manualmente o modificadores de línea de comandos. Cuando se agregan argumentos de archivo a una regla, EPM solo permite la elevación de archivos de solicitudes que incluyen una de las líneas de comandos definidas. Si una línea de comandos definida no forma parte de la solicitud de elevación de archivos, EPM deniega esa solicitud.
• Especifica si el tipo de elevación del archivo es automático (silenciosamente) o si requiere confirmación del usuario. Con la confirmación del usuario, puede requerir la validación con una solicitud de credencial, una justificación empresarial o ambas.

Use cualquiera de los métodos siguientes para crear nuevas reglas de elevación, que se agregan a la directiva de reglas de elevación:

• Configurar automáticamente las reglas de elevación : use este método para ahorrar tiempo al crear una regla de elevación agregando los detalles de los archivos de los informes. Las reglas se pueden crear mediante el informe Elevación o desde un registro de solicitudes de elevación aprobadas de soporte técnico .

  Con este método, usted:

  • Seleccione el archivo para el que desea crear una regla de elevación a partir del informe elevación o admita la solicitud de elevación aprobada .
  • Elija agregar la nueva regla de elevación a una directiva de reglas de elevación existente o crear una nueva directiva de reglas de elevación que incluya la nueva regla.
    • Cuando se agrega a una directiva existente, la nueva regla está disponible inmediatamente para esa lista de directivas de grupos asignados.
    • Cuando se crea una nueva directiva, debe editarla para asignar grupos antes de que esté disponible para su uso.

• Configurar manualmente las reglas de elevación : este método requiere que identifique los detalles del archivo que desea usar para la detección y que las escriba manualmente como parte del flujo de trabajo de creación de reglas. Para obtener información sobre los criterios de detección, consulte Definición de reglas para su uso con Administración con privilegios para puntos de conexión.

  Con este método, usted:

  • Determine manualmente los detalles del archivo que se van a usar y agréguelos a la regla de elevación para la identificación de archivos.
  • Configure todos los aspectos de la directiva durante la creación de la directiva, incluida la asignación de la directiva a grupos para su uso.
  • Puede agregar uno o varios argumentos de archivo que deben formar parte de la solicitud de elevación antes de que EPM permita la elevación del archivo.

Configuración automática de reglas de elevación para la directiva de reglas de elevación de Windows

1. Inicie sesión en el Centro de administración de Microsoft Intune y vaya a Seguridad> del punto de conexión Administración con privilegios para puntos de conexión. Para seleccionar un archivo que se va a usar para una regla de elevación, elija una de las siguientes rutas de acceso iniciales:

   Comience desde un informe:

   1. Seleccione la pestaña Informes y, a continuación, el icono Informe de elevación . Busque el archivo para el que desea crear una regla en la columna Archivo .
   2. Seleccione el nombre vinculado del archivo para abrir el panel Detalles de elevación de archivos.

   Comience desde una solicitud de elevación aprobada por soporte técnico:

   1. Seleccione la pestaña Solicitud de elevación .

   2. En la columna Archivo , seleccione el archivo que desea usar para la regla de elevación, que abre el panel Detalles de elevación de archivos.

      El estado de la solicitud de elevación no importa. Puede usar una solicitud pendiente o una que se haya aprobado o denegado anteriormente.

2. En el panel Detalles de elevación , revise los detalles del archivo. Esta información la usa la regla de elevación para identificar el archivo correcto. Cuando esté listo, seleccione Crear una regla con estos detalles de archivo.

   

3. Seleccione una opción de directiva para la nueva regla de elevación que va a crear:

   Cree una nueva directiva: Esta opción crea una nueva directiva que incluye una regla de elevación para el archivo seleccionado.

   1. Para la regla, configure el comportamiento del procesoTipo y Secundario y, a continuación, seleccione Aceptar para crear la directiva.
   2. Cuando se le solicite, proporcione un nombre de directiva para la nueva directiva y confirme su creación.
   3. Una vez creada la directiva, puede editarla para asignarla y realizar cualquier otro cambio.

   Agregue a una directiva existente: Con esta opción, use la lista desplegable y seleccione una directiva de elevación existente a la que se agregue la nueva regla de elevación.

   1. Para la regla, configure el comportamiento del procesotipo de elevación y secundario y, a continuación, seleccione Aceptar. La directiva se actualiza con la nueva regla.
   2. Una vez agregada la regla a la directiva, puede editarla para obtener acceso a la regla y, a continuación, modificarla para realizar configuraciones adicionales si es necesario.

   Requerir la misma ruta de acceso de archivo que esta elevación: Al activar esta casilla, el campo Ruta de acceso de archivo de la regla se establece en la ruta de acceso del archivo, tal como se muestra en el informe. Si la casilla no está seleccionada, la ruta de acceso permanece vacía.

   Sugerencia

   Aunque es opcional, se recomienda usar una ruta de acceso de archivo que apunte a una ubicación que los usuarios estándar no puedan modificar.

   

Configuración manual de reglas de elevación para la directiva de reglas de elevación de Windows

1. Inicie sesión en el Centro de administración de Microsoft Intune y vaya a Seguridad> del punto de conexión Administración con privilegios para puntos de conexión> seleccione la pestaña Directivas> y, a continuación, seleccione Crear directiva. Establezca la directiva Plataforma en Windows, Perfil en Reglas de elevación de Windows y, a continuación, seleccione Crear.

2. En Conceptos básicos, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que pueda identificarlos fácilmente más adelante.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.

3. En Configuración, agregue una regla para cada archivo que administre esta directiva. Al crear una nueva directiva, la directiva se inicia incluye una regla en blanco con un tipo de elevación De usuario confirmado y sin nombre de regla. Para empezar, configure esta regla y, más adelante, puede seleccionar Agregar para agregar más reglas a esta directiva. Cada nueva regla que agregue tiene un tipo de elevación De usuario confirmado, que se puede cambiar al configurar la regla.

   

   Para configurar una regla, seleccione Editar instancia para abrir su página Propiedades de regla y, a continuación, configure lo siguiente:

   

   • Nombre de regla: especifique un nombre descriptivo para la regla. Asigne un nombre a las reglas para que pueda identificarlas fácilmente más adelante.
   • Descripción (opcional): escriba una descripción para el perfil.

   Las condiciones de elevación son condiciones que definen cómo se ejecuta un archivo y las validaciones de usuario que deben cumplirse antes de que se pueda ejecutar el archivo al que se aplica esta regla.

   • Tipo de elevación: de forma predeterminada, esta opción se establece en User confirmed (Confirmado por el usuario), que es el tipo de elevación más comúnmente utilizado, ya que permite la elevación, pero requiere la confirmación del usuario.

     • Denegar: una regla de denegación impide que el archivo identificado se ejecute en un contexto con privilegios elevados. Se aplican los siguientes comportamientos:

       • Las reglas de denegación admiten las mismas opciones de configuración que otros tipos de elevación, excepto las opciones de proceso secundario. Las opciones de proceso secundario no se usan desde esta regla aunque estén configuradas.
       • Cuando un usuario intenta elevar un archivo que coincide con una regla de denegación, se produce un error en la elevación. EPM muestra un mensaje que indica que la aplicación no se puede ejecutar como administrador. Si a ese usuario también se le asigna una regla que permita la elevación de ese mismo archivo, la regla de denegación tiene prioridad.
       • Las elevaciones denegadas aparecen en el informe de elevación como denegadas, de forma similar a una solicitud aprobada de soporte técnico rechazada.
       • EPM no admite actualmente la configuración automática de una regla de denegación del informe de evaluación.

     • Compatibilidad aprobada: este tipo de elevación requiere que un administrador apruebe una solicitud de elevación. Para obtener más información, consulte Compatibilidad con solicitudes de elevación aprobadas.

       Importante

       El uso de la elevación aprobada de soporte técnico para los archivos requiere que los administradores con permisos adicionales revisen y aprueben cada solicitud de elevación de archivos antes de ese archivo en el dispositivo con permisos de administrador. Para obtener información sobre cómo usar el tipo de elevación aprobada de soporte técnico, consulte Compatibilidad con elevaciones de archivos aprobadas para Administración con privilegios para puntos de conexión.

     • Confirmado por el usuario: se usa más comúnmente para archivos con reglas que requieren elevación porque permite la elevación, pero requiere confirmación del usuario. Cuando se ejecuta un archivo, el usuario recibe un sencillo mensaje para confirmar su intención de ejecutar el archivo. La regla también puede incluir otros mensajes que están disponibles en la lista desplegable Validación :

       • Justificación empresarial: exija al usuario que escriba una justificación para ejecutar el archivo. No hay ningún formato necesario para la entrada. La entrada del usuario se guarda y se puede revisar a través de registros si el ámbito De informes incluye la recopilación de elevaciones de punto de conexión.
       • autenticación de Windows: esta opción requiere que el usuario se autentique con sus credenciales de organización.

     • Automático: este tipo de elevación ejecuta automáticamente el archivo con permisos elevados. La elevación automática es transparente para el usuario, sin solicitar confirmación ni requerir justificación o autenticación por parte del usuario.

       Precaución

       Use solo la elevación automática por excepción y para los archivos de confianza. Estos archivos se elevarán automáticamente sin interacción del usuario. Las reglas que no están bien definidas podrían permitir que las aplicaciones no aprobadas eleve. Para obtener más información sobre cómo crear reglas seguras, consulte las instrucciones para crear reglas.

   • Comportamiento del proceso secundario: de forma predeterminada, esta opción se establece en Requerir regla para elevar, lo que requiere que el proceso secundario coincida con la misma regla que el proceso que lo crea. Otras opciones disponibles son:

     • Permitir que todos los procesos secundarios se ejecuten con privilegios elevados: esta opción debe usarse con precaución, ya que permite a las aplicaciones crear procesos secundarios de forma incondicional.
     • Denegar todo: esta configuración impide que se cree cualquier proceso secundario.

   La información de archivo es donde se especifican los detalles que identifican un archivo al que se aplica esta regla.

   • Nombre de archivo: especifique el nombre de archivo y su extensión. Por ejemplo: myapplication.exe. También puede usar una variable en el nombre de archivo.

   • Ruta de acceso del archivo (opcional): especifique la ubicación del archivo. Si el archivo se puede ejecutar desde cualquier ubicación o es desconocido, puede dejarlo en blanco. También puede usar una variable.

     Sugerencia

     Aunque es opcional, se recomienda usar una ruta de acceso de archivo que apunte a una ubicación que los usuarios estándar no puedan modificar.

   • Origen de firma: elija una de las siguientes opciones:

     • Usar un archivo de certificado en la configuración reutilizable (valor predeterminado): esta opción usa un archivo de certificado que se agregó anteriormente a un grupo de configuración reutilizable para Administración con privilegios para puntos de conexión. Debe crear un grupo de configuración reutilizable para poder usar esta opción.

       Para identificar el certificado, seleccione Agregar o quitar un certificado y, a continuación, seleccione el grupo reutilizable que contiene el certificado correcto. A continuación, especifique el tipo de certificadopublicador o entidad de certificación.

     • Cargar un archivo de certificado: agregue un archivo de certificado directamente a la regla de elevación. En Carga de archivos, especifique un archivo .cer que pueda validar la integridad del archivo al que se aplica esta regla. A continuación, especifique el tipo de certificadopublicador o entidad de certificación.

     • No configurado: use esta opción cuando no desee usar un certificado para validar la integridad del archivo. Cuando no se usa ningún certificado, debe proporcionar un hash de archivo.

   • Hash de archivo: el hash de archivo es necesario cuando el origen de firma está establecido en No configurado y opcional cuando se establece para usar un certificado.

   • Versión mínima: (Opcional) Use el formato x.x.x.x para especificar una versión mínima del archivo compatible con esta regla.

   • Descripción del archivo: (opcional) Proporcione una descripción del archivo.

   • Nombre del producto: (Opcional) Especifique el nombre del producto del que procede el archivo.

   • Nombre interno: (Opcional) Especifique el nombre interno del archivo.

   Seleccione Guardar para guardar la configuración de la regla. A continuación, puede agregar más reglas. Después de agregar todas las reglas que requiere esta directiva, seleccione Siguiente para continuar.

4. En la página Etiquetas de ámbito, seleccione las etiquetas de ámbito que desee aplicar y, a continuación, seleccione Siguiente.

5. En Asignaciones, seleccione los grupos que reciben la directiva. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

6. En Revisar y crear, revise la configuración y, a continuación, seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de directivas.

Uso de variables en reglas de elevación

Al configurar manualmente las reglas de elevación de archivos, puede usar caracteres comodín para las siguientes configuraciones que están disponibles en la página Propiedades de regla de una directiva de regla de elevación:

• Nombre de archivo: los caracteres comodín se admiten como parte de un nombre de archivo al configurar el campo Nombre de archivo.
• Ruta de acceso de carpeta: los caracteres comodín se admiten como parte de una ruta de acceso de carpeta al configurar el campo Ruta de acceso de carpeta.

El uso de caracteres comodín proporciona flexibilidad en las reglas para admitir archivos de confianza que tienen nombres que pueden cambiar con frecuencia con revisiones posteriores o para los que la ruta de acceso del archivo también puede cambiar.

Se admiten los siguientes caracteres comodín:

• Signo de interrogación ? : los signos de interrogación reemplazan caracteres individuales en un nombre de archivo.
• Asterisco * : asterisco reemplaza una cadena de caracteres en un nombre de archivo.

A continuación se muestran ejemplos de uso de caracteres comodín admitidos:

• Nombre de archivo de un archivo de instalación de Visual Studio denominado VSCodeSetup-arm64-1.99.2.exe:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Ruta de acceso del archivo para el mismo archivo, que normalmente se encuentra en C:\Users\<username>\Downloads\:

  • C:\Users\*\Downloads\

Uso de argumentos de archivo para reglas de elevación

Las reglas de elevación de archivos también se pueden limitar para permitir la elevación con argumentos específicos.

Por ejemplo, dsregcmd puede ser útil para investigar el estado de un dispositivo en Microsoft Entra identificador, pero requiere elevación. Para ayudar a admitir este uso de archivos para la investigación, puede configurar la regla con una lista de argumentos para dsregcmd que incluya los modificadores para /status, /listaccounts, etc. Sin embargo, para evitar una acción destructiva como anular el registro de un dispositivo, excluya argumentos como /leave. Con esta configuración, la regla solo permite la elevación si se usan los argumentos /status o /listaccounts . dsregcmd con el modificador /leave, que quita el dispositivo de Microsoft Entra identificador, se denegaría.

Para agregar uno o varios argumentos a una regla de elevación, establezca Restrict arguments (Restringir argumentos ) en Allow list (Permitir lista). Seleccione Agregar y configure las opciones de línea de comandos permitidas. Al agregar varios argumentos, se proporcionan varias líneas de comandos compatibles con las solicitudes de elevación.

Grupos de configuración reutilizables

Administración con privilegios para puntos de conexión usa grupos de configuración reutilizables para administrar los certificados que validan los archivos que administra con Administración con privilegios para puntos de conexión reglas de elevación. Al igual que todos los grupos de configuración reutilizables para Intune, los cambios en un grupo reutilizable se pasan automáticamente a las directivas que hacen referencia al grupo. Si debe actualizar el certificado que usa para la validación de archivos, solo tendrá que actualizarlo en el grupo de configuración reutilizable una sola vez. Intune aplica el certificado actualizado a todas las reglas de elevación que usan ese grupo.

Para crear el grupo de configuración reutilizable para Administración con privilegios para puntos de conexión:

1. Inicie sesión en el Centro de administración de Microsoft Intune y vaya a Seguridad> del punto de conexión Administración con privilegios para puntos de conexión> seleccione la pestaña >Configuración reutilizable (versión preliminar) y, a continuación, seleccione Agregar.

   

2. En Conceptos básicos, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el grupo reutilizable. Asigne nombres a grupos para que pueda identificar fácilmente cada uno más adelante.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.

3. En Configuración, seleccione el icono de carpeta para Archivo de certificado y vaya a . CER para agregarlo a este grupo reutilizable. El campo Valor base 64 se rellena en función del certificado seleccionado.

   

4. En Revisar y crear, revise la configuración y, a continuación, seleccione Agregar. Al seleccionar Agregar, la configuración se guarda y el grupo se muestra en la lista de grupos de configuración reutilizable para Administración con privilegios para puntos de conexión.

Pasos siguientes