Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use el control de acceso basado en rol en el centro de administración de Microsoft Intune para administrar quién tiene acceso a los recursos de la organización y qué pueden hacer con esos recursos.
Roles integrados
Windows Autopatch permite que el control de acceso basado en rol use el acceso con privilegios mínimos para distribuir y delegar la administración de Windows Update en Microsoft Intune.
Importante
Para administrar correctamente Windows Autopatch como un rol con privilegios inferiores, el usuario debe tener permisos de Administración autopatch y permisos de administrador de directivas y perfiles.
Los permisos definidos en los roles de administrador de revisiones automáticas de Windows o lector de revisiones automáticas de Windows se usan para administrar grupos de revisiones automáticas, solicitudes de soporte técnico, mensajes de revisión automática e informes de revisión automática.
Para administrar las directivas de actualización y los informes de Windows Update, se requiere el permiso Configuración del dispositivo. Este permiso está disponible en roles integrados, como los roles de Administrador de perfiles y directivas.
Roles de Administrador de perfiles y directivas
Los roles de Administrador de perfiles y directivas incluyen permisos de configuración de dispositivos para administrar directivas de Intune, incluidas las siguientes directivas de actualización:
- Actualizar anillos
- Actualizaciones de calidad
- Actualizaciones de características
- Actualizaciones de controladores
Administrador de revisiones automáticas de Windows
El rol Administrador de revisiones automáticas de Windows administra todos los aspectos de Windows Autopatch:
- Grupos de revisiones automáticas
-
Informes de revisión automática
- Estado de actualización de calidad y características e informes de tendencias
- Solicitudes y mensajes de soporte técnico
Lector de revisiones automáticas de Windows
El Lector de revisiones automáticas de Windows puede ver los datos de Windows Autopatch disponibles en Microsoft Intune, pero no puede realizar cambios.
Actualizar roles de directiva
Para administrar la actualización de calidad de Windows, los anillos de actualización, la actualización de características de Windows, la actualización de controladores, Aplicaciones Microsoft 365 y las directivas de Microsoft Edge, el usuario debe tener permisos de configuración de dispositivos completos. La tabla siguiente es la lista completa de roles de administración de actualizaciones:
| rol Intune | Directivas de actualización |
|---|---|
| Administrador de perfiles de & de directivas | Lectura y escritura |
| Operador del departamento de soporte técnico | Leer |
| Operador de solo lectura | Leer |
| Administrador de revisiones automáticas | Sin permiso |
| Lector de revisiones automáticas | Sin permiso |
Para administrar correctamente Windows Autopatch como un rol con privilegios inferiores, el usuario debe tener permisos de Administración autopatch y permisos de administrador de directivas y perfiles.
roles de Microsoft Entra
Los siguientes roles de Microsoft Entra pueden acceder a las características de Windows Autopatch a través del portal de Microsoft Intune.
| rol Microsoft Entra | Todos los datos de revisión automática de Windows | Revisión automática de Windows de administración > de inquilinos |
|---|---|---|
| Administrador global | Lectura y escritura | Lectura y escritura |
| administrador de servicios de Intune | Lectura y escritura | Lectura y escritura |
| Lector global | Leer | Leer |
| Administrador de soporte técnico de servicio | Sin permiso | Leer Administración de inquilinos/Revisión automática de Windows/Todo |
| Administración de seguridad | Sin permiso | Leer Administración de inquilinos/Revisión automática de Windows/Todo |
| Lector de seguridad | Sin permiso | Leer Administración de inquilinos/Revisión automática de Windows/Todo |
| Administrador de facturación | Sin permiso | Leer Administración de inquilinos/Revisión automática de Windows/Todo |
| Administrador del departamento de soporte técnico | Sin permiso | Leer Administración de inquilinos/Revisión automática de Windows/Todo |
Roles personalizados
Puede crear dos roles personalizados que incluyan los permisos necesarios para un rol de trabajo específico.
Para lograr una administración de actualizaciones sin problemas, asegúrese de que los grupos asignados al rol personalizado Despache automático también sean miembros del rol Policy & Profile Manager o un rol personalizado con permisos equivalentes.
Vaya a Roles de administración> deinquilinos>Create Custom roleWindows Autopatch (Creación de un rol > personalizado deWindows Autopatch) para crear un rol personalizado.
| Permiso | Descripción |
|---|---|
| Asignaciones de roles/creación | Cree un rol de revisión automática para las operaciones que se realizan en los recursos de autopatch. |
| Asignaciones o actualizaciones de roles | Actualizar el rol para el autopatch, donde las operaciones de edición se realizan en los recursos de autopatch. |
| Asignaciones o eliminaciones de roles | Eliminar rol para el autopatch, donde las operaciones de eliminación se realizan en los recursos de autopatch. |
| Roles/lectura | Ver permisos, definiciones de roles y asignaciones de roles para el rol de revisión automática. La operación de visualización o las acciones se realizan en los recursos de autopatch. |
| Lectura y grupos de revisiones automáticas | Lea Grupos de autopatch y sus propiedades. |
| Autopatch Groups/Create | Cree grupos de revisiones automáticas, agregue asignaciones de grupos y configure las opciones de versión. |
| Grupos de revisiones automáticas/edición | Edite los grupos de revisiones automáticas, modifique la configuración de versión y administre las asignaciones de grupos. |
| Eliminación o grupos de revisiones automáticas | Eliminar grupos de revisiones automáticas. |
| Informes o lectura | Lea y exporte informes de actualización de características y calidad de autopatch. |
| Reports/DiscoverDevices | Permite que la acción Informe de dispositivos detecte dispositivos. |
| Reports/AssignRing | Permite la asignación de anillos de dispositivo a grupos de autopatch. |
| Reports/ExcludeDevices | Realice la acción excluir dispositivos en los informes de dispositivos. |
| Reports/RestoreExcludedDevices | Realice la acción Restaurar en los informes del dispositivo. |
| Solicitudes de soporte técnico/Lectura | Lea las solicitudes y respuestas de soporte técnico de Autopatch existentes. |
| Mensajes o lectura | Lea los mensajes publicados de Autopatch y Service Health Dashboard. |
Ámbitos
Windows Autopatch admite Intune etiquetas de ámbito y grupos con ámbito que se usarán para la administración de actualizaciones distribuidas. Use Microsoft Intune para crear y administrar etiquetas de ámbito.
- Windows Autopatch admite Intune ámbito para grupos de revisiones automáticas, asignaciones de roles de revisión automática, directivas de actualización e informes.
- Los mensajes de revisión automática, la compatibilidad y los contactos Administración no admiten ámbitos.
- Los grupos de revisiones automáticas creados por administradores con ámbito se asignan a las mismas etiquetas de ámbito que el usuario.
- Solo los administradores con ámbito, con las mismas etiquetas de ámbito asignadas, pueden editar y administrar grupos de autopatch.
- Al crear grupos de autopatch y asignar etiquetas de ámbito, las directivas de actualización creadas heredan las mismas etiquetas de ámbito.
- Los dispositivos asignados a grupos de revisiones automáticas no heredan las etiquetas de ámbito de grupo de revisión automática. Use Intune para asignar la etiqueta de ámbito a los dispositivos.
Permisos para grupos de revisiones automáticas
Los grupos de revisiones automáticas crean grupos Microsoft Entra y actualizan directivas y asignan las directivas al grupo como parte de su flujo de trabajo. Para completar correctamente el flujo de trabajo, se requieren ambos permisos. La opción para crear grupos de autopatch solo está disponible cuando el usuario tiene ambos permisos habilitados.
- Configuración del dispositivo, todos los permisos
- Grupo de revisiones automáticas de Windows, todos los permisos
Los grupos de revisiones automáticas de Windows a los que se asignan etiquetas de ámbito solo son visibles para los usuarios con esas etiquetas de ámbito exactas. Esto garantiza que el administrador de TI pueda administrar las implementaciones basadas en anillos mediante grupos de autopatch y no se vea afectado por discrepancias de ámbito.
Nota
El flujo de trabajo del grupo de revisiones automáticas crea anillos de implementación y les asigna directivas de actualización. Si el rol Autopatch incluye Todos los dispositivos en el ámbito, el rol de administración de directivas debe tener Todos los dispositivos y Todos los usuarios en su ámbito.
La falta de permisos de Microsoft Entra puede impedir que el usuario que ha iniciado sesión cree grupos. El usuario debe tener suficiente permiso para crear grupos. Para obtener más información, consulte Configuración de la administración de grupos de autoservicio o Creación de permisos de grupos.
Cuando al usuario se le asignan grupos con ámbito, solo pueden asignar grupos con ámbito para su distribución en anillos de implementación.
Administradores con ámbito y grupos de revisiones automáticas
En Intune administradores con ámbito, solo un usuario administrador al que se le asignan etiquetas de ámbito específicas y grupos con ámbito, solo puede asignar directivas a grupos con ámbito.
Nota
Intune administradores o administradores de actualización con todos los dispositivos y todos los ámbitos de usuarios no pueden ver el flujo de trabajo de asignación pendiente; esto solo afecta a los roles que tienen ámbitos asignados a través de grupos con ámbito específicos.
Administradores con ámbito y flujo de trabajo de grupo de revisiones automáticas
Como parte del flujo de trabajo de creación de grupos de revisiones automáticas, Windows Autopatch crea grupos de Microsoft Entra y actualiza directivas para la configuración de implementación seleccionada. Para asignar las directivas de actualización a los anillos de implementación recién creados, debe incluir el grupo autopatch como un grupo con ámbito en el rol que contiene los permisos de configuración del dispositivo.
Nota
Un administrador de Intune o un administrador de roles debe asignar el grupo de Windows Autopatch recién creado como un grupo con ámbito antes de que el Administración con ámbito pueda usar el grupo de autopatch.
Una vez que el grupo de autopatch, en estado De asignación pendiente , se agrega como un grupo con ámbito, el administrador con ámbito puede asignar las directivas de actualización que el grupo de autopatch se convierte en Activo.
En la tabla siguiente se explica el flujo de trabajo de alto nivel:
| Paso | Descripción | Quién |
|---|---|---|
| Paso 1: Crear un grupo de revisiones automáticas | Cree un grupo de revisiones automáticas. Los grupos de revisiones automáticas registran dispositivos con el servicio Windows Autopatch al crear o editar un grupo de revisiones automáticas. Se crean el grupo de revisiones automáticas, los anillos de implementación y las directivas de actualización. Puede ver las directivas de actualización en Actualizaciones de Windows. |
Administrador con ámbito |
| Paso 2: Póngase en contacto con el administrador de Intune o el administrador de roles para asignar el grupo primario autopatch como un grupo con ámbito para el rol. | Incluya la siguiente información:
|
Administrador con ámbito |
| Paso 3: Asignar el grupo primario Autopatch como grupo con ámbito para el rol con permiso de configuración de dispositivo | Agregue el elemento primario autopatch como grupo con ámbito mediante Asignar grupo con ámbito. | Administrador de Intune o administrador de roles de Intune |
| Paso 4: Completar las asignaciones de directivas para que los grupos de autopatch estén listos para su uso | Seleccione Completar asignaciones de grupo si el grupo Autopatch permanece en Estado de asignación pendiente y el paso Asignar grupo con ámbito aún no se ha completado. Una vez que la asignación de directivas se realiza correctamente, el grupo autopatch se establece en Activo y listo para su uso. Es posible que la asignación de grupo con ámbito no esté disponible inmediatamente. Puede tardar hasta 10 minutos en surtir efecto. |
Administrador con ámbito |
Asignación de etiquetas de ámbito a grupos de revisiones automáticas
Nota
Si va a asignar etiquetas de ámbito a grupos de autopatch existentes, el administrador de ámbito debe incluirse como un grupo con ámbito en su rol con permisos de configuración de dispositivos para administrar el grupo de revisiones automáticas.
Windows Autopatch crea un grupo primario que anida el grupo de revisiones automáticas y los anillos de implementación que se pueden agregar como grupo con ámbito. Puede encontrar el nombre del grupo primario en las propiedades del grupo Autopatch.
- En el centro de administración de Microsoft Intune, vaya a Gruposde revisiones automáticasde administración> de inquilinos >y seleccione un grupo. Todos los anillos y directivas del grupo autopatch tienen el mismo ámbito.
- En la opción Agregar grupo a anillo, seleccione los grupos de Microsoft Entra que se asignarán al grupo Autopatch. Solo los grupos con objetos de ámbito están disponibles para la selección.
- Vaya a Ámbito de propiedades>(etiquetas)>Editar>Seleccione etiquetas> de ámbito y seleccione las etiquetas que desea agregar al perfil. Puede asignar un máximo de 100 etiquetas de ámbito a un objeto.
- La sección Grupo de ámbito se muestra cuando el servicio detecta los grupos de autopatch creados antes de los controles de acceso basados en rol. Esto indica que se crea un grupo de Microsoft Entra, que se puede agregar como un grupo con ámbito. Un administrador con ámbito puede administrar este grupo de autopatch si se incluye en su ámbito.
- Siga los pasos descritos en la sección Flujo de trabajo Administradores con ámbito y grupo de revisiones automáticas para asignar grupos con ámbito.
- Seleccione Revisar y guardar.
Problemas conocidos
Windows 365 Enterprise ofrece a los administradores de TI la opción de registrar dispositivos con Windows Autopatch como parte de la creación de la directiva de aprovisionamiento de Windows 365. Debe ser un administrador de servicios Intune para completar esta acción.
Solución de problemas general
| Escenario | Mensaje | Causa | Solución |
|---|---|---|---|
| Recibirá un mensaje de error al intentar crear, editar o eliminar un grupo de revisiones automáticas. | No tiene permisos suficientes para modificar este grupo de revisiones automáticas. Solo puede modificar grupos de autopatch que coincidan con el ámbito asignado. Este grupo de revisiones automáticas tiene etiquetas de ámbito asignadas adicionales que no coinciden con la asignación de roles. O bien Error en el envío del grupo de revisiones automáticas y el usuario que ha iniciado sesión tiene asignadas etiquetas de ámbito. |
El problema se produce al editar un grupo de revisiones automáticas y el servicio detectó una falta de coincidencia en las etiquetas de ámbito. | Compruebe las etiquetas de ámbito asignadas al grupo Autopatch y al rol de asignación de directivas. El rol de asignación de directivas puede tener más etiquetas de ámbito, pero debe incluir todas las etiquetas de ámbito asignadas al grupo Autopatch. |
| Recibirá un mensaje de error al elegir un dispositivo y la acción Asignar dispositivo en anillo en el informe De pertenencia a grupos de revisiones automáticas. | No tiene suficiente permiso ni el ámbito necesario para asignar dispositivos. | El problema se produce cuando Autopatch no puede rellenar la lista de grupos de autopatch, debido a una falta de coincidencia en las etiquetas de ámbito. | Compruebe las etiquetas de ámbito de los grupos de autopatch y el rol. Asegúrese de que comparten al menos una etiqueta de ámbito. |
| Recibirá un mensaje de error al elegir un dispositivo y la acción Asignar dispositivo en anillo en el informe De pertenencia a grupos de revisiones automáticas. | No tiene suficiente permiso de grupo de autopatch para completar esta acción. Se requiere el permiso de lectura de grupo de revisiones automáticas como mínimo. | Para mover dispositivos entre anillos de implementación de autopatch, necesita permiso para leer grupos de autopatch. | Asegúrese de que el rol incluye el permiso De lectura o grupo de revisiones automáticas. Vaya a Roles de administración > de inquilinos > Mi permiso. |
| Recibirá un mensaje de error al seleccionar un dispositivo en el informe de pertenencia a grupos de revisiones automáticas. | Acceso denegado | No tiene el permiso de Intune para ver las propiedades del dispositivo. | Asegúrese de que el rol incluye dispositivos administrados o permiso de lectura. Vaya a Roles de administración > de inquilinos > Mi permiso. |
| Solo puedes ver las pestañas Versiones, Actualizar anillos y Supervisión cuando inicias sesión como administrador delegado de Windows Autopatch. | No tiene todos los permisos necesarios para ver Windows Update. | Asegúrese de que el rol incluye el permiso Organización/Lectura. Vaya a Roles de administración > de inquilinos > Mi permiso. | |
| Recibirá un mensaje de error al intentar editar un grupo de autopatch preexistente al que se le acaba de asignar una etiqueta de ámbito. Agregó correctamente el grupo de ámbito primario al rol de asignación de directivas. | No tiene permisos suficientes para modificar este grupo de revisiones automáticas. Solo puede modificar grupos de autopatch que coincidan con el ámbito asignado. Este grupo de revisiones automáticas tiene etiquetas de ámbito asignadas adicionales que no coinciden con la asignación de roles. | El problema se produce cuando el servicio detecta que el usuario "Grupo de entra asignado" que ha iniciado sesión no está en el grupo con ámbito para el rol de administrador de autopatch. Esto sucede con los grupos de autopatch existentes. | Agregue el grupo Entra asignado como grupo con ámbito al rol de administrador de autopatch. |