Configuración de Microsoft Intune Endpoint Privilege Management para los cuadros de desarrollo

En este artículo, aprenderá a configurar Microsoft Intune Endpoint Privilege Management (EPM) para los cuadros de desarrollo para que los usuarios del cuadro de desarrollo no necesiten privilegios administrativos locales.

La administración de privilegios de puntos de conexión de Microsoft Intune permite a los usuarios de su organización ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son instalaciones de aplicaciones (como aplicaciones de Microsoft 365), actualización de controladores de dispositivos y ejecución de determinados diagnósticos de Windows.

Endpoint Privilege Management está integrado en Microsoft Intune, lo que significa que toda la configuración se completa en el Centro de administración de Microsoft Intune. Para empezar a trabajar con EPM, use el proceso de alto nivel descrito como se indica a continuación:

• Administración de privilegios de punto de conexión de licencia: Para poder usar directivas de Administración de privilegios de punto de conexión, debe conceder una licencia de EPM en el inquilino como complemento de Intune. Para obtener información sobre licencias, vea Uso de las funcionalidades del complemento de Conjunto de aplicaciones de Intune.

• Implementar una directiva de configuración de elevación: Una directiva de configuración de elevación activa EPM en el dispositivo cliente. Esta directiva también permite configurar las opciones específicas del cliente, pero que no están necesariamente relacionadas con la elevación de aplicaciones o tareas individuales.

Requisitos previos

• Un centro de desarrollo con un proyecto de cuadro de desarrollo.
• Suscripción a Microsoft Intune.

Administración de privilegios de punto de conexión de licencia

Endpoint Privilege Management requiere una licencia independiente que solo agrega EPM o EPM como parte del conjunto de aplicaciones de Microsoft Intune.

En esta sección, configurará las licencias de EPM y asignará la licencia de EPM a un usuario.

1. Licencia de EPM en el inquilino como complemento de Intune:

   1. Abra el centro de administración de Microsoft Intune, y vaya a Administrador de inquilinos>complementos de Intune.
   2. Seleccione Endpoint Privilege Management.

2. Configure el rol de administrador de Intune para la administración de EPM:

   1. En el Centro de administración de Intune, vaya a Usuarios, y seleccione el usuario al que desea asignar el rol.

   2. Seleccione Agregar asignaciones al rol Administrador de Intune.

      

3. Aplique la licencia de EPM en Microsoft 365:

   En el Centro de administración de Microsoft 365, vaya a Facturación>Servicios de compra>Administración de privilegios de punto de conexión y, a continuación, seleccione la licencia de EPM.

4. Asigne licencias de E5 y EPM para el usuario de destino en Microsoft Entra ID:

   1. En el Centro de administración de Intune, vaya a Usuarios, y seleccione el usuario al que desea asignar las licencias E5 y EPM.

   2. Seleccione Asignaciones y asigne las licencias.

      

Implementación de una directiva de configuración de elevación

Un cuadro de desarrollo debe tener una directiva de configuración de elevación que permita que EPM procese una directiva de reglas de elevación o administre las solicitudes de elevación. Cuando la compatibilidad está habilitada, se instala EPM Microsoft Agent, que procesa las directivas de EPM.

En esta sección, creará un cuadro de desarrollo y un grupo de Intune que usará para probar la configuración de la directiva de EPM. A continuación, cree una directiva de configuración de elevación de EPM y asigne la directiva al grupo.

1. Creación de la definición de un equipo de desarrollo

   1. En Azure Portal, cree una definición de cuadro de desarrollo. Especifique un sistema operativo compatible, como Windows 11, versión 22H2.

      Nota:

      EPM admite los siguientes sistemas operativos:

      • Windows 11 (versiones 23H2, 22H2 y 21H2)
      • Windows 10 (versiones 22H2, 21H2 y 20H2)

   2. En el proyecto, cree un grupo de equipo de desarrollo que use la nueva definición del cuadro de desarrollo.

   3. Asigne rol de usuario de Dev Box al usuario de prueba.

2. Creación de un cuadro de desarrollo para probar la directiva

   1. Inicie sesión en el portal para desarrolladores.

   2. Cree un cuadro de desarrollo con el grupo de cuadros de desarrollo que creó en el paso anterior.

   3. Determine el nombre de host del cuadro de desarrollo. Usará este nombre de host para agregar el cuadro de desarrollo a y el grupo de Intune en el paso siguiente.

3. Crear un grupo de Intune y agregar el cuadro de desarrollo al grupo

   1. Abra el centro de administración de Microsoft Intune, seleccione Grupos>Nuevo grupo.

   2. En el cuadro desplegable Tipo de grupo, seleccione Seguridad.

   3. En el campo Nombre del grupo, escriba el nombre del nuevo grupo (por ejemplo, Evaluadores de Contoso).

   4. Agregue una descripción de grupo para el grupo.

   5. Establezca Tipo de pertenencia en Asignado.

   6. En Miembros, seleccione el cuadro de desarrollo que creó.

4. Cree una directiva de configuración de elevación de EPM y asígnela al grupo.

   1. En el centro de administración de Microsoft Intune, seleccione Seguridad del punto de conexión> Administración de privilegios de punto de conexión>Directivas>Crear directiva.

      

   2. En el panel Crear un perfil, seleccione la siguiente configuración:

      • Plataforma: Windows 10 y versiones posteriores
      • Tipo de perfil: Directiva de configuración de elevación

   3. En la pestaña Aspectos básicos, escriba un nombre para la directiva.

      

   4. En la pestaña Parámetros de configuración, en Respuesta de elevación predeterminada, seleccioneDenegar todas las solicitudes de elevación.

      

   5. En la pestaña Asignaciones, seleccione Agregar grupos, agregue el grupo que creó anteriormente y, a continuación, seleccione Crear.

      

Comprobación de las restricciones de privilegios administrativos

En esta sección, validará que el agente de Microsoft EPM está instalado y que la directiva se aplica al cuadro de desarrollo.

1. Compruebe que la directiva se aplica al cuadro de desarrollo:

   1. En el centro de administración de Microsoft Intune, seleccione Dispositivos> el cuadro de desarrollo que creó anteriormente >Configuración del dispositivo> la directiva que creó anteriormente.

      

   2. Espere hasta que todo el informe de configuración como Correcto.

      

2. Compruebe que el Agente de Microsoft EPM está instalado en el cuadro de desarrollo:

   1. Inicie sesión en el cuadro de desarrollo que creó anteriormente.
   2. Vaya a c:\Archivos de programa, y compruebe que existe una carpeta denominada Agente de Microsoft EPM.

3. Intente ejecutar una aplicación con privilegios administrativos.

   En el cuadro de desarrollo, haga clic con el botón derecho en una aplicación y seleccione Ejecutar con acceso con privilegios elevados. Recibirá un mensaje que indica que la instalación está bloqueada.

Contenido relacionado

• Usar funcionalidades de complemento de Intune Suite.
• Usar la administración de privilegios de punto de conexión con Microsoft Intune.