Compatibilidad con elevaciones de archivos aprobadas para La administración de privilegios de punto de conexión
Nota:
Esta funcionalidad está disponible como complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
Con La administración de privilegios de punto de conexión (EPM) de Microsoft Intune, los usuarios de su organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.
En este artículo se explica cómo usar el flujo de trabajo aprobado de soporte técnico con Endpoint Privilege Management.
Las elevaciones aprobadas de soporte le permiten requerir aprobación antes de permitir una elevación. Puede usar la funcionalidad aprobada de soporte técnico como parte de una regla de elevación o como comportamiento de cliente predeterminado. Las solicitudes que se envían requieren que los administradores de Intune aprueben la solicitud caso por caso.
Cuando un usuario intenta ejecutar un archivo en un contexto con privilegios elevados y ese archivo se administra mediante el tipo de elevación de archivo aprobado de soporte técnico, Intune muestra un mensaje al usuario para enviar una solicitud de elevación. A continuación, la solicitud de elevación se envía a Intune para que la revise un administrador de Intune. Cuando un administrador aprueba la solicitud de elevación, se notifica al usuario del dispositivo y, a continuación, se puede ejecutar el archivo en el contexto con privilegios elevados. Para aprobar las solicitudes, la cuenta del administrador de Intune debe tener permisos adicionales específicos para la tarea de revisión y aprobación.
Se aplica a:
- Windows 10
- Windows 11
Acerca de las elevaciones aprobadas de soporte técnico
Use directivas de EPM con el tipo de elevación aprobado de soporte técnico para los archivos que necesitan la aprobación de un administrador antes de que puedan ejecutarse con mayor acceso. Son similares a otras reglas de elevación de EPM, pero tienen algunas diferencias que necesitan un planeamiento adicional.
Sugerencia
Para revisar los tres tipos de elevación y otras opciones de directiva, consulte Directiva de reglas de elevación de Windows.
Los temas siguientes son los detalles para planear y esperar cuando se usa el tipo de elevación aprobado por soporte técnico:
Solicitudes de elevación
Cuando un usuario ejecuta un archivo con la opción de clic con el botón derecho Ejecutar con acceso elevado y ese archivo se administra mediante una directiva con una regla de elevación aprobada de soporte técnico, Intune muestra al usuario un mensaje para enviar una solicitud de elevación al Centro de administración de Intune.
El símbolo del sistema permite al usuario especificar un motivo empresarial para la elevación. Este motivo forma parte de la solicitud de elevación, que también contiene el nombre, el dispositivo y el nombre de archivo del usuario.
Cuando el usuario envía la solicitud, va al Centro de administración de Intune, donde un administrador de Intune con permisos para administrar estas solicitudes decide aprobarla o denegarla.
En la imagen siguiente se muestra un ejemplo del símbolo del sistema de elevación de archivos que experimentan los usuarios:
Revisión de solicitudes de elevación
Un administrador de Intune debe tener derechos de visualización y administración para el permiso Solicitudes de elevación de administración de privilegios de punto de conexión para poder revisar y aprobar solicitudes de elevación.
Para buscar y responder a las solicitudes, estos administradores usan la pestaña Solicitudes de elevación de la página Administración de privilegios de punto de conexión en el Centro de administración. Dado que Intune no tiene una manera de notificar a los administradores sobre nuevas solicitudes de elevación, los administradores deben planear comprobar la pestaña con regularidad para ver si hay solicitudes pendientes.
Los administradores que pueden administrar solicitudes de elevación pueden aceptar o rechazar una solicitud. También pueden proporcionar una razón para su decisión. Este motivo pasa a formar parte del registro de auditoría de la solicitud.
Para las aprobaciones: cuando un administrador aprueba una solicitud de elevación, Intune envía una directiva al dispositivo donde el usuario envió la solicitud, lo que permite a ese usuario ejecutar el archivo con privilegios elevados durante las próximas 24 horas. Este período comienza en el momento en que el administrador aprueba la solicitud. No hay compatibilidad actual con un período de tiempo personalizado o la cancelación de la elevación aprobada antes de que expire el período de 24 horas.
Una vez aprobada la solicitud, Intune notifica al dispositivo e inicia una sincronización. Esto puede tardar algún tiempo. Intune usa una notificación en el dispositivo para alertar al usuario de que ahora puede ejecutar correctamente el archivo con la opción Ejecutar con acceso con privilegios elevados haga clic con el botón derecho.
Para denegaciones: Intune no notifica al usuario. El administrador debe notificar manualmente al usuario que se denegó su solicitud.
Auditoría de solicitudes de elevación
Un administrador de Intune que tenga permisos suficientes puede ver información sobre la directiva de EPM, como la creación, la edición y el control de solicitudes de elevación en los registros de auditoría de Intune, disponibles en Registros de auditoría de administración> deinquilinos.
En la captura de pantalla siguiente se muestra un ejemplo del registro de auditoría para la duplicación de una directiva de elevación aprobada por soporte técnico, denominada originalmente Directiva de prueba: compatibilidad aprobada:
Permisos de RBAC para solicitudes de elevación
Para supervisar las aprobaciones de elevación, solo los administradores de Intune que tengan los siguientes permisos de control de acceso basado en rol (RBAC) en Intune pueden ver y administrar solicitudes de elevación:
Solicitudes de elevación de Administración de privilegios de punto de conexión : este permiso es necesario para trabajar con solicitudes de elevación enviadas por los usuarios para su aprobación y admite los siguientes derechos:
- Visualización de solicitudes de elevación
- Modificación de solicitudes de elevación
Para obtener más información sobre todos los permisos para administrar EPM, consulte Controles de acceso basado en rol para la administración de privilegios de punto de conexión.
Creación de una directiva para la compatibilidad con elevaciones de archivos aprobadas
Para crear una directiva de elevación aprobada por el soporte técnico, use el mismo flujo de trabajo para crear otras directivas de regla de elevación de EPM. Consulte Directiva de reglas de elevación de Windows en Configurar directivas para la administración de privilegios de punto de conexión.
Administración de solicitudes de elevación pendientes
Use el procedimiento siguiente como guía para revisar y administrar solicitudes de elevación.
Inicie sesión en el Centro de administración de Microsoft Intune y vaya a la pestañaSolicitudes de elevación deprivilegios de punto de conexión de>seguridad> de punto de conexión.
La pestaña Solicitudes de elevación muestra solicitudes y solicitudes pendientesde los últimos 30 días. Al seleccionar una fila se abre que entradas propiedades de solicitud de elevación, donde puede revisar la solicitud en detalle.
Los detalles de la solicitud de elevación incluyen la siguiente información:
Detalles generales:
- Archivo : nombre del archivo solicitado para la elevación.
- Publicador : nombre del publicador que firmó el archivo solicitado para la elevación. El nombre del publicador es un vínculo que recupera la cadena de certificados del archivo para su descarga.
- Dispositivo : el dispositivo desde el que se solicitó la elevación. El nombre del dispositivo es un vínculo que abre el objeto de dispositivo en el centro de administración.
- Conforme a Intune : el estado de cumplimiento de Intune del dispositivo.
Detalles de la solicitud:
- Estado : estado de la solicitud. Las solicitudes comienzan como Pendientes y pueden ser aprobadas o denegadas por un administrador.
- Por : la cuenta del administrador que aprobó o denegó la solicitud.
- Última modificación : la última vez que se modificó la entrada de solicitud.
- Justificación del usuario : la justificación proporcionada por el usuario para la solicitud de elevación.
- Expiración de la aprobación : el tiempo que expira la aprobación. Hasta que se alcanza este tiempo de expiración, se permite la elevación del archivo aprobado.
- Motivo del administrador : justificación proporcionada por el administrador cuando se completa una aprobación o denegación .
Información de archivo : detalles de los metadatos del archivo que se solicitó para su aprobación.
Después de que un administrador revise una solicitud, puede seleccionar Aprobar o Denegar. Con cualquiera de las dos selecciones, se les presenta el cuadro de diálogo de justificación , donde pueden proporcionar un motivo con detalle sobre su decisión. Proporcionar un motivo es opcional. A continuación se muestra el cuadro de diálogo de aprobación:
Para aprobaciones : el administrador completa el cuadro de diálogo de justificación y, a continuación, selecciona Sí para aprobar la solicitud. Intune envía la aprobación al dispositivo y se notifica al usuario final mediante una notificación del sistema que puede elevar la aplicación.
El usuario final ahora puede completar la actividad de elevación mediante el menú Ejecutar con acceso con privilegios elevados del archivo.
Para denegaciones : el administrador completa el cuadro de diálogo de justificación y, a continuación, selecciona Sí para denegar la solicitud.
Cuando un administrador deniega una solicitud de aprobación, la solicitud de elevación no se aprueba. Intune no envía una respuesta al dispositivo y no se notifica al usuario.
Nota:
Las solicitudes de elevación contienen toda la información necesaria para crear una regla de elevación si es necesario, incluida la cadena de certificados completa . Las elevaciones aprobadas de soporte también se muestran en los datos de uso de elevación como cualquier otra solicitud de elevación.
Pasos siguientes
- Guía para crear reglas de elevación
- Configuración de directivas para la administración de privilegios de punto de conexión
- Informes para la administración de privilegios de punto de conexión
- Recopilación de datos y privacidad para la administración de privilegios de punto de conexión
- Consideraciones sobre la implementación y preguntas más frecuentes