Compartir a través de

Administración de la configuración de elevación con La administración de privilegios de punto de conexión

Con La administración de privilegios de punto de conexión (EPM) de Microsoft Intune, los usuarios de su organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Para obtener más información, consulte Introducción a EPM.

Se aplica a:

  • Windows

Para configurar La administración de privilegios de punto de conexión (EPM) en los dispositivos, implemente la directiva de configuración de elevación de Windows en usuarios o dispositivos:

  • Habilite o deshabilite EPM en un dispositivo.
  • Establezca reglas predeterminadas para las solicitudes de elevación para los archivos que no coincidan con una regla de elevación.
  • Configure qué información devuelve EPM a Intune.

Cuando EPM está habilitado, la C:\Program Files\Microsoft EPM Agent carpeta se crea junto con el servicio "Microsoft EPM Agent Service", que es responsable de procesar las directivas de EPM.

Acerca de la directiva de configuración de elevación de Windows

Use la directiva de configuración de elevación de Windows cuando desee:

  • Habilite o deshabilite la administración de privilegios de punto de conexión en los dispositivos. Cuando se habilita por primera vez para EPM, se instalan los componentes de EPM.

    Si un dispositivo tiene EPM deshabilitado, los componentes de cliente se desactivan en la siguiente sincronización de directivas. Hay un retraso de siete días antes de que se quiten los componentes de EPM. El retraso ayuda a reducir el tiempo necesario para restaurar EPM si un dispositivo tiene EPM deshabilitado accidentalmente o su directiva de configuración de elevación sin asignar.

  • Establecer una respuesta de elevación predeterminada : establezca una respuesta predeterminada para una solicitud de elevación de cualquier archivo que no esté administrado por una directiva de regla de elevación de Windows. Para que esta configuración tenga un efecto, no puede existir ninguna regla para la aplicación Y un usuario final debe solicitar explícitamente la elevación a través del menú Ejecutar con acceso con privilegios elevados haga clic con el botón derecho. De forma predeterminada, esta opción se establece en No configurado. Si no se configura ninguna configuración, los componentes de EPM vuelven a su valor predeterminado integrado, que es denegar todas las solicitudes.

    Sugerencia

    Se recomienda usar Requerir aprobación de soporte técnico o Denegar todas las solicitudes como respuesta de elevación predeterminada.

    Entre las opciones se incluyen:

    • Denegar todas las solicitudes (recomendado): esta opción bloquea la acción de elevación de la solicitud para los archivos que no están definidos en una directiva de reglas de elevación de Windows.

    • Requerir aprobación de soporte técnico (recomendado): cuando se requiere la aprobación de soporte técnico, un administrador debe revisar las solicitudes de elevación antes de permitir la elevación.

    • Requerir confirmación de usuario : cuando se requiere confirmación de usuario, puede elegir entre las mismas opciones de validación que se encuentran para la directiva de reglas de elevación de Windows.

      • Opciones de validación : establezca las opciones de validación cuando la respuesta de elevación predeterminada se define como Requerir confirmación del usuario. Entre las opciones se incluyen:

        • Justificación empresarial : esta opción requiere que el usuario final proporcione una justificación antes de completar una elevación que se facilita mediante la respuesta de elevación predeterminada.
        • autenticación de Windows: esta opción requiere que el usuario final se autentique antes de completar una elevación que se facilita mediante la respuesta de elevación predeterminada.

        Nota:

        Se pueden seleccionar varias opciones de validación para satisfacer las necesidades de la organización. Si no se selecciona ninguna opción, solo es necesario que el usuario seleccione continuar para completar la elevación.

    Precaución

    La respuesta de elevación predeterminada se aplica a todos los archivos que no coinciden con una regla de elevación, como resultado, la configuración Requerir confirmación del usuario permite que todos los archivos se con privilegios elevados de forma predeterminada. Si no busca justificaciones empresariales ni solicitudes de credencial para elevaciones, se recomienda usar Denegar todas las solicitudes o Requerir aprobación de soporte técnico.

  • Enviar datos de elevación para informes : esta configuración controla si el dispositivo comparte datos de diagnóstico y uso con Microsoft. Use la configuración Ámbito de informes para controlar los datos recopilados.

    Microsoft usa los datos de diagnóstico para medir el estado de los componentes de cliente de EPM. Los datos de uso se usan para mostrar las elevaciones que se producen dentro del inquilino. Para obtener más información sobre los tipos de datos y cómo se almacenan, consulte Recopilación de datos y privacidad de Endpoint Privilege Management.

    Entre las opciones se incluyen:

    • : esta opción envía datos a Microsoft en función de la configuración Ámbito de informes .
    • No : esta opción no envía datos a Microsoft.

  • Ámbito de informes : esta configuración controla la cantidad de datos que se envían a Microsoft cuando Enviar datos de elevación para informes está establecido en . De forma predeterminada, se seleccionan *Datos de diagnóstico y todas las elevaciones de puntos de conexión.

    Entre las opciones se incluyen:

    • Solo datos de diagnóstico y elevaciones administradas : esta opción envía datos de diagnóstico a Microsoft sobre el estado de los componentes de cliente Y los datos sobre las elevaciones que facilita Endpoint Privilege Management.
    • Datos de diagnóstico y todas las elevaciones de puntos de conexión : esta opción envía datos de diagnóstico a Microsoft sobre el estado de los componentes del cliente Y los datos sobre todas las elevaciones que se producen en el punto de conexión.
    • Solo datos de diagnóstico : esta opción envía solo los datos de diagnóstico a Microsoft sobre el estado de los componentes del cliente.

Creación de una directiva de configuración de elevación de Windows

  1. Inicie sesión en el Centro de administración de Microsoft Intune y vaya a Administración > deprivilegios de punto de conexión de seguridad> de punto de conexión, seleccione la pestaña Directivas> y, a continuación, seleccione Crear directiva. Establezca plataforma enWindows, perfil en la directiva de configuración de elevación de Windows y, a continuación, seleccione Crear.

  2. En Conceptos básicos, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que pueda identificarlos fácilmente más adelante.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.

  3. En Configuración, configure lo siguiente para definir los comportamientos predeterminados de las solicitudes de elevación en un dispositivo:

    Imagen de la página de configuración de la configuración de evaluación.

    • Administración de privilegios de punto de conexión: se establece en Habilitado (valor predeterminado). Cuando está habilitado, un dispositivo usa La administración de privilegios de punto de conexión. Cuando se establece en Deshabilitado, el dispositivo no usa la administración de privilegios de punto de conexión y deshabilita inmediatamente EPM si se ha habilitado anteriormente. Después de siete días, el dispositivo desaprovisionará los componentes de Endpoint Privilege Management.

    • Respuesta de elevación predeterminada: configure cómo este dispositivo administra las solicitudes de elevación para los archivos que no coinciden con una regla:

      • No configurado: esta opción funciona igual que Denegar todas las solicitudes.

      • Denegar todas las solicitudes: EPM no facilita la elevación de los archivos y se muestra al usuario una ventana emergente con información sobre la denegación. Esta configuración no impide que los usuarios con permisos administrativos usen Ejecutar como administrador para ejecutar archivos no administrados.

      • Requerir aprobación de soporte técnico: este comportamiento indica a EPM que pida al usuario que envíe una solicitud aprobada de soporte técnico.

      • Requerir confirmación del usuario: el usuario recibe un mensaje sencillo para confirmar su intención de ejecutar el archivo. También puede requerir más mensajes que estén disponibles en la lista desplegable Validación :

        • Justificación empresarial: exija al usuario que escriba una justificación para ejecutar el archivo. No hay ningún formato necesario para esta justificación. La entrada del usuario se guarda y se puede revisar a través de registros si el ámbito De informes incluye la recopilación de elevaciones de puntos de conexión.
        • autenticación de Windows: esta opción requiere que el usuario se autentique con sus credenciales de organización.

        Precaución

        La respuesta de elevación predeterminada se aplica a todos los archivos que no coinciden con una regla de elevación, como resultado, la configuración Requerir confirmación del usuario permite que todos los archivos se con privilegios elevados de forma predeterminada. Si no busca solicitudes de auditoría o credenciales adicionales, se recomienda usar Denegar todas las solicitudes o Requerir aprobación de soporte técnico.

    • Enviar datos de elevación para informes: de forma predeterminada, este comportamiento se establece en . Cuando se establece en sí, puede configurar un ámbito de informes. Cuando se establece en No, un dispositivo no notifica datos de diagnóstico ni información sobre elevaciones de archivos a Intune.

    • Ámbito de informes: elija qué tipo de información notifica un dispositivo a Intune:

      • Datos de diagnóstico y todas las elevaciones de puntos de conexión (valor predeterminado): el dispositivo notifica datos de diagnóstico y detalles sobre todas las elevaciones de archivos que facilita EPM.

        Este nivel de información puede ayudarle a identificar otros archivos que aún no están administrados por una regla de elevación que los usuarios buscan ejecutar en un contexto con privilegios elevados.

      • Solo datos de diagnóstico y elevaciones administradas: el dispositivo notifica datos de diagnóstico y detalles sobre las elevaciones de archivos controladas por EPM. Las elevaciones de EPM incluyen elevaciones que coinciden con una regla de elevación o que se inician mediante el menú contextual Ejecutar con acceso con privilegios elevados . Las solicitudes de archivos no administrados y los archivos con privilegios elevados mediante la acción predeterminada de Windows Ejecutar como administrador no se notifican como elevaciones administradas.

      • Solo datos de diagnóstico: solo se recopilan los datos de diagnóstico para el funcionamiento de Endpoint Privilege Management. La información sobre las elevaciones de archivos no se notifica a Intune.

    Cuando esté listo, seleccione Siguiente para continuar.

  4. En la página Etiquetas de ámbito, seleccione las etiquetas de ámbito que desee aplicar y, a continuación, seleccione Siguiente.

  5. En Asignaciones, seleccione los grupos que reciben la directiva. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

  6. En Revisar y crear, revise la configuración y, a continuación, seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de directivas.

Pasos siguientes

Siguiente: Crear una directiva de reglas de elevación >

  • Last updated on