Compartir a través de

Uso de Administración con privilegios para puntos de conexión para realizar la transición de usuarios de administrador a usuario estándar

Nota:

Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

Con Microsoft Intune Administración con privilegios para puntos de conexión (EPM), los usuarios de la organización pueden ejecutarse como usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Para obtener más información, consulte Introducción a EPM.

Se aplica a:

  • Windows

Un escenario común para los clientes que quieren usar Administración con privilegios para puntos de conexión es reducir el número de administradores locales en su entorno. Este escenario se ajusta al principio Confianza cero de privilegios mínimos. En este documento se describen los pasos que un cliente podría seguir para usar EPM para mover usuarios de administradores a usuarios estándar con una interrupción mínima.

Fase 1: Auditoría

Independientemente de si va a migrar desde otro producto de administración de privilegios de punto de conexión o si se inicia de nuevo, se recomienda habilitar la auditoría como primer paso. La habilitación de la auditoría permite que el cliente y los dispositivos de EPM envíen datos de diagnóstico a Intune, donde se pueden ver en varios informes. La recopilación de estos datos de elevación proporciona información sobre los procesos que los usuarios buscan elevar y ayudan a identificar patrones comunes. Idealmente, se alinean con sus personas, como desarrolladores, técnicos de soporte técnico de TI, etc. La implementación de esta directiva para la auditoría es perfecta y se puede dirigir a un grupo de usuarios o dispositivos de su elección, según cualquier asignación de directiva de Intune normal.

Nota:

Una vez habilitados, los datos de uso pueden tardar 24 horas en devolverse y actualizar los informes del portal de Intune. En función de los patrones de uso, es posible que desee ver los datos de informes durante un período de muchas semanas para obtener una mejor comprensión del entorno.

Pasos para crear la directiva:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Seguridad> de punto de conexión Administración con privilegios para puntos de conexión>Directivas
  3. Seleccione Crear directiva. Escriba los detalles siguientes:
    • Plataforma: Windows
    • Perfil: Directiva de configuración de elevación
  4. Seleccione Crear
  5. Proporcione el nombre de la directiva, como: Directiva de configuración de EPM: solo auditoría
  6. Seleccione Siguiente
  7. Expanda la sección "Configuración del cliente de elevación de administración de privilegios" y asegúrese de que se establecen los valores siguientes:
    • Administración con privilegios para puntos de conexión: Habilitado
    • Respuesta de elevación predeterminada: Sin configurar
    • Envío de datos de elevación para informes:
    • Ámbito de informes: Datos de diagnóstico y todas las elevaciones de puntos de conexión
  8. Seleccione Siguiente
  9. Deje las etiquetas Ámbito y seleccione Siguiente.
  10. Agregue un grupo de dispositivos o usuarios a los que quiera dirigirse a la directiva.
  11. Seleccione Siguiente
  12. Seleccione Crear para crear la directiva.

Para confirmar que la regla funciona según lo esperado:

  • Inicie sesión en el dispositivo Windows con las credenciales de usuario estándar.
  • Inicio>Ejecución>Services.msc> Ok
  • Compruebe que el "Servicio del agente de Microsoft EPM" está presente, en ejecución y establecido en Tipo de inicio automático.
  • Cierre el complemento Servicios.
  • Inicio>Ejecución>C:\Program Files\> De acuerdo
  • Compruebe que hay una carpeta llamada: Microsoft EPM Agent

Después de 24 horas o más han pasado:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Seguridad del punto de> conexión Administración con privilegios para puntos de conexión>Informes
  3. Seleccionar informe de elevación
  4. Revisar los detalles del informe de elevación

Identifique grupos de usuarios (idealmente alineados con las personas que identificó anteriormente) que tienen requisitos de elevación similares. La identificación de patrones de uso y grupos de usuarios ayuda con los pasos siguientes.

Sugerencia

Este informe incluye algunos procesos predeterminados de Windows en la columna Archivo (por ejemplo C:\Windows\System32\Dism\dismhost and c:\Windows\System32\conhost.exe), que se pueden omitir.

Fase 2: Identificación de personas

El uso de personas de usuario en el diseño de directivas de Administración con privilegios para puntos de conexión de Microsoft Intune (EPM) es una manera estratégica de alinear la configuración de elevación y las reglas con las necesidades del usuario real.

¿Qué son las personas de usuario en EPM?

Los usuarios son representaciones controladas por datos de diferentes tipos de usuario dentro de su organización. Cada persona refleja un grupo de usuarios con roles, responsabilidades y necesidades de aplicación similares.

Asignación de personas de ejemplo:

Tipo de persona Roles de ejemplo Estrategia de elevación Elevación predeterminada
Usuarios avanzados Técnicos de soporte técnico de TI, usuarios avanzados de TI Elevación automática para reglas definidas Denegar todas las solicitudes
Desarrolladores Ingeniería Elevación automática para aplicaciones de bajo riesgo definidas; Usuario justificado para aplicaciones de mayor riesgo Compatibilidad aprobada
usuarios de Standard Finanzas, RR. HH. Elevación automática para reglas definidas Denegar todas las solicitudes o soporte técnico aprobados

¿Cómo ayudan las personas a diseñar reglas y configuraciones de elevación?

La asignación de las necesidades del usuario le permite definir la estrategia de elevación para cada cohorte de usuarios.

Fase 3: Creación de reglas

Las reglas de EPM constan de dos elementos fundamentales: una detección y una acción de elevación.

Las detecciones se definen como el conjunto de atributos que se usan para identificar una aplicación o un archivo binario. Estos atributos incluyen el nombre de archivo, la versión del archivo y las propiedades de firma. Las acciones de elevación son la elevación resultante que se produce después de detectar una aplicación o binario.

Procedimientos recomendados

  • Use atributos seguros o varios atributos para aumentar la intensidad de la detección.
  • Un hash de archivo o un certificado es obligatorio.

Para obtener más recomendaciones de seguridad, consulte Recomendaciones de seguridad.

Pasos para crear una regla mediante datos de informes de elevación

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Seguridad> de punto de conexión Administración con privilegios para puntos de conexión>Directivas
  3. Seleccionar informe de elevación
  4. Seleccione una aplicación o proceso (por ejemplo, C:\Program Files\Notepad++\).
  5. Seleccione Crear una regla con estos detalles:
    • Crear una nueva directiva
    • Tipo: Confirmado por el usuario
    • Comportamiento del proceso secundario: Requerir que la regla se eleve
    • Requerir la misma ruta de acceso de archivo que esta elevación: seleccionada
  6. Seleccione Aceptar.
  7. Proporcione un nombre de directiva (por ejemplo EPM rule – Notepad++ User Confirmed, )
  8. Seleccione Sí.
  9. Vaya a la lista de directivas de EPM y seleccione la directiva.
  10. En Asignaciones, seleccione Editar.
  11. Seleccione Agregar grupos.
  12. Asignar a un grupo (por ejemplo, desarrolladores)
  13. Seleccionar, revisar y guardar

Para obtener más información sobre cómo crear una regla, consulte Creación de reglas de elevación.

Confirmación de que la regla funciona

  • Inicie sesión en el dispositivo Windows con credenciales de usuario estándar.
  • Haga clic con el botón derecho en la aplicación (por ejemplo Notepad++) y seleccione "Ejecutar con acceso elevado".
  • En el elemento emergente Administración con privilegios para puntos de conexión, seleccione Continuar.
  • Comprobación de que la aplicación se inicia con permisos elevados

Fase 4: Eliminación de derechos de administrador local

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Endpoint SecurityAccount Protection (Protección de la cuentade seguridad> del punto de conexión).

  3. Seleccione Crear directiva:

    • Plataforma: Windows
    • Perfil: Pertenencia a grupos de usuarios locales

  4. Proporcione el nombre de la directiva (por ejemplo Remove local admin rights (developers), )

  5. Seleccione Agregar:

    • Grupo local: Administradores
    • Acción de grupo y usuario: Agregar (reemplazar)
    • Tipo de selección de usuario: Manual

  6. Seleccionar usuarios

  7. Agregue los dos identificadores de seguridad (SID) para:

    • Administrador global
    • Microsoft Entra administrador local de dispositivos unidos

    Use Lusrmgr.msc en un dispositivo unido a Entra para buscar SID a partir de S-1-12-1-

  8. Asignar a un grupo (por ejemplo Developers, )

  9. Seleccione Guardar.

Para obtener más información sobre los perfiles usuarios y grupos locales, consulte Protección de cuentas.

Fase 5: Supervisión

  • Revisión periódica de informes de elevación
  • Agregar elevaciones no administradas a reglas o denegarlas
  • Supervisión de solicitudes aprobadas por el soporte técnico para detectar retrasos o patrones
  • Actualizar reglas cuando cambien las versiones de archivos o los certificados
  • Retirar o ajustar las reglas obsoletas

Pasos siguientes

Siguiente: Solicitudes aprobadas de soporte técnico >

  • Last updated on