Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
Con Microsoft Intune Administración con privilegios para puntos de conexión (EPM), los usuarios de la organización pueden ejecutarse como usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Para obtener más información, consulte Introducción a EPM.
Se aplica a:
- Windows
En este artículo se describe la información necesaria para planear la implementación de Administración con privilegios para puntos de conexión (EPM), incluidos los requisitos, los conceptos importantes, las recomendaciones de seguridad y el control de acceso basado en roles.
Lista de comprobación de la planificación
- Revise los requisitos previos técnicos y de licencia en el inquilino.
- Defina los roles de usuario de destino para permitirle crear reglas con agrupación lógica en estos usuarios.
- Asegúrese de que conoce bien la configuración de elevación y las directivas de reglas de elevación, entre las que se incluyen:
- Configuración de elevación predeterminada y recopilación de datos de diagnóstico.
- Definición de archivos de elevación mediante hash de archivos, metadatos o certificados.
- Cómo las reglas de certificado pueden permitir que cualquier aplicación firmada por ese certificado eleve. Tenga cuidado con los proveedores que podrían firmar todas sus aplicaciones con el mismo certificado.
- Compatibilidad con argumentos de reglas y opciones de comportamiento del proceso secundario.
- Tipos de elevación.
- Cómo se controlan los conflictos de reglas cuando se superponen las asignaciones de reglas.
- Encuentre el equilibrio adecuado entre la seguridad y la flexibilidad para su organización y los usuarios.
- Asegúrese de que tiene una estrategia de implementación sólida. Esto incluye la administración de las partes interesadas, los planes de formación y comunicación del usuario final y la supervisión.
Requisitos previos
✅ Descubra lo que necesita para EPM
Licencias
Administración con privilegios para puntos de conexión requiere una licencia de complemento más allá de la licencia de Plan 1 de Microsoft Intune. Puede elegir entre una licencia independiente que agregue solo EPM o la licencia EPM como parte de la Microsoft Intune Suite. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
Requisitos
Administración con privilegios para puntos de conexión tiene los siguientes requisitos:
- Microsoft Entra unidos o unidos a Microsoft Entra híbrido
- Microsoft Intune Dispositivos administrados conjuntamenteo Microsoft Configuration Manager (sin requisitos de carga de trabajo)
- Sistema operativo compatible
- Línea de visión clara (sin inspección SSL) a los puntos de conexión necesarios
Administración con privilegios para puntos de conexión admite los siguientes sistemas operativos:
- Windows 11, versión 24H2
- Windows 11, versión 23H2 (22631.2506 o posterior) con KB5031455
- Windows 11, versión 22H2 (22621.2215 o posterior) con KB5029351
- Windows 11, versión 21H2 (22000.2713 o posterior) con KB5034121
- Windows 10, versión 22H2 (19045.3393 o posterior) con KB5030211
- Windows 10, versión 21H2 (19044.3393 o posterior) con KB5030211
Administración con privilegios para puntos de conexión admite las siguientes plataformas virtuales:
- Azure máquinas virtuales (VM) de sesión única de Virtual Desktop (AVD)
- Windows 365
Importante
El 14 de octubre de 2025, Windows 10 llegó al final del soporte técnico y no recibirá actualizaciones de calidad y características. Windows 10 es una versión permitida en Intune. Los dispositivos que ejecutan esta versión todavía pueden inscribirse en Intune y usar características aptas, pero la funcionalidad no se garantizará y puede variar.
Importante
- Las directivas de configuración de elevación notifican como "no aplicable" para los dispositivos que no ejecutan una versión de sistema operativo compatible.
- Administración con privilegios para puntos de conexión solo es compatible con arquitecturas de sistema operativo de 64 bits, incluido Arm64.
Soporte técnico de la nube de administración pública
Administración con privilegios para puntos de conexión es compatible con los siguientes entornos de nube soberana:
- U.S. Government Community Cloud (GCC) High
- Departamento de Defensa de EE. UU. (DoD)
Para obtener más información, consulte Microsoft Intune para la descripción del servicio GCC del gobierno de EE. UU.
Conceptos importantes para Administración con privilegios para puntos de conexión
Al configurar las directivas de reglas de elevación y elevación que se mencionaron anteriormente, hay algunos conceptos importantes para comprender cómo configurar EPM para satisfacer las necesidades de su organización. Antes de implementar ampliamente EPM, los siguientes conceptos deben entenderse bien, así como el efecto que tienen en su entorno:
Ejecutar con acceso con privilegios elevados : una opción de menú contextual con el botón derecho que aparece cuando se activa EPM en un dispositivo. Cuando se usa esta opción, las directivas de reglas de elevación de dispositivos se comprueban para que coincidan para determinar si se puede elevar ese archivo y cómo para ejecutarse en un contexto administrativo. Si no hay ninguna regla de elevación aplicable, el dispositivo usa las configuraciones de elevación predeterminadas definidas por la directiva de configuración de elevación.
Tipos de elevación y elevación de archivos: EPM permite a los usuarios sin privilegios administrativos ejecutar procesos en el contexto administrativo. Al crear una regla de elevación, esa regla permite que EPM proxye el destino de esa regla para que se ejecute con privilegios de administrador en el dispositivo. El resultado es que la aplicación tiene capacidad administrativa completa en el dispositivo.
A excepción de Elevate como usuario actual, EPM usa una cuenta virtual para elevar los procesos. Esto aísla las acciones con privilegios elevados del perfil del usuario, lo que reduce la exposición a datos específicos del usuario y reduce el riesgo de elevación de privilegios.
Cuando se usa Administración con privilegios para puntos de conexión, hay algunas opciones para el comportamiento de elevación:
Automático: para las reglas de elevación automática, EPM eleva automáticamente estas aplicaciones sin la entrada del usuario. Las reglas generales de esta categoría pueden tener un impacto generalizado en la posición de seguridad de la organización.
Usuario confirmado: con las reglas confirmadas por el usuario, los usuarios finales usan un nuevo menú contextual con el botón derecho Ejecutar con acceso con privilegios elevados. Las reglas confirmadas por el usuario también pueden requerir validación con autenticación o justificación empresarial. Si se requiere validación, se proporciona una capa adicional de protección al hacer que el usuario reconozca la elevación.
Elevar como usuario actual: este tipo de elevación ejecuta el proceso con privilegios elevados en la propia cuenta del usuario que ha iniciado sesión, conservando la compatibilidad con herramientas e instaladores que dependen del perfil de usuario activo. Esto requiere que el usuario escriba sus credenciales para la autenticación de Windows. Esto conserva las rutas de acceso del perfil del usuario, las variables de entorno y la configuración personalizada. Dado que el proceso con privilegios elevados mantiene la misma identidad de usuario antes y después de la elevación, los seguimientos de auditoría siguen siendo coherentes y precisos.
Sin embargo, dado que el proceso con privilegios elevados hereda el contexto completo del usuario, este modo presenta una superficie de ataque más amplia y reduce el aislamiento de los datos del usuario.
Consideraciones principales:
- Necesidad de compatibilidad: use este modo solo cuando la elevación de la cuenta virtual provoque errores de aplicación.
- Ámbito estricto: limite las reglas de elevación a archivos binarios y rutas de acceso de confianza para reducir el riesgo.
- Contrapartida de seguridad: comprenda que este modo aumenta la exposición a datos específicos del usuario.
Sugerencia
Cuando la compatibilidad no es un problema, prefiere un método que use la elevación de la cuenta virtual para una mayor seguridad.
Denegar: una regla de denegación identifica un archivo que EPM impide que se ejecute en un contexto con privilegios elevados. Las reglas de denegación pueden garantizar que los archivos conocidos o el software potencialmente malintencionado no se puedan ejecutar en un contexto con privilegios elevados.
Compatibilidad aprobada: para las reglas aprobadas por el soporte técnico, los usuarios finales deben enviar una solicitud para ejecutar una aplicación con permisos elevados. Una vez enviada la solicitud, un administrador puede aprobarla. Una vez aprobada la solicitud, se notifica al usuario final que puede volver a intentar la elevación en el dispositivo. Para obtener más información sobre el uso de este tipo de regla, consulte Compatibilidad con solicitudes de elevación aprobadas
Nota:
Cada regla de elevación también puede establecer el comportamiento de elevación para los procesos secundarios que crea el proceso con privilegios elevados.
Controles de proceso secundarios : cuando EPM eleva los procesos, puede controlar cómo la creación de procesos secundarios se rige por EPM, lo que le permite tener un control pormenorizado sobre cualquier subproceso que pueda crear la aplicación con privilegios elevados.
Componentes del lado cliente: para usar Administración con privilegios para puntos de conexión, Intune aprovisiona un pequeño conjunto de componentes en el dispositivo que reciben directivas de elevación y las aplican. Intune aprovisiona los componentes solo cuando se recibe una directiva de configuración de elevación y la directiva expresa la intención de habilitar la administración de privilegios de punto de conexión.
Elevaciones administradas frente a elevaciones no administradas : estos términos se pueden usar en nuestros datos de informes y uso. Estos términos hacen referencia a las descripciones siguientes:
Elevación administrada: cualquier elevación que Administración con privilegios para puntos de conexión facilita. Las elevaciones administradas incluyen todas las elevaciones que EPM termina facilitando al usuario estándar. Estas elevaciones administradas pueden incluir elevaciones que se producen como resultado de una regla de elevación o como parte de la acción de elevación predeterminada.
Elevación no administrada: todas las elevaciones de archivo que se producen sin usar Administración con privilegios para puntos de conexión. Estas elevaciones pueden producirse cuando un usuario con derechos administrativos usa la acción predeterminada de Windows Ejecutar como administrador.
Directivas de EPM
✅ Descripción de los tipos de directiva de EPM
Administración con privilegios para puntos de conexión usa dos tipos de directiva que se configuran para administrar cómo se controla una solicitud de elevación de archivos. Juntas, las directivas configuran el comportamiento de las elevaciones de archivos cuando los usuarios estándar solicitan ejecutarse con privilegios administrativos.
Estas directivas son:
- Directiva de configuración de elevación
- Directiva de reglas de elevación
EPM también admite un grupo de configuración reutilizable para almacenar certificados de publicador a los que se puede hacer referencia en varias reglas o directivas de reglas.
Control de conflictos de directivas para Administración con privilegios para puntos de conexión
✅ Más información sobre los conflictos de directivas
Excepto en las situaciones siguientes, las directivas en conflicto para EPM se controlan como cualquier otro conflicto de directiva.
Directiva de configuración de elevación de Windows:
Cuando un dispositivo recibe dos directivas de configuración de elevación independientes con valores en conflicto, el cliente de EPM vuelve al comportamiento de cliente predeterminado hasta que se resuelve el conflicto.
Nota:
Si Habilitar Administración con privilegios para puntos de conexión está en conflicto, el comportamiento predeterminado del cliente es Habilitar EPM.
Directiva de reglas de elevación de Windows:
Si un dispositivo recibe dos reglas destinadas a la misma aplicación, ambas reglas se consumen en el dispositivo. Cuando EPM va a resolver reglas que se aplican a una elevación, usa la lógica siguiente:
- Las reglas con un tipo de elevaciónDeny siempre tienen prioridad y se deniega la elevación del archivo.
- Las reglas implementadas en un usuario tienen prioridad sobre las reglas implementadas en un dispositivo.
- Las reglas con un hash definido siempre se consideran la regla más específica .
- Si se aplica más de una regla (sin hash definido), la regla con los atributos más definidos gana (la más específica).
- Si la aplicación de la lógica de procedimiento da como resultado más de una regla, el orden siguiente determina el comportamiento de elevación: Usuario confirmado, Elevar como usuario actual, Compatibilidad aprobada y, a continuación, Automático.
Nota:
Si no existe una regla para una elevación y esa elevación se solicitó a través del menú contextual Ejecutar con acceso con privilegios elevados , se usa el comportamiento de elevación predeterminado .
Administración con privilegios para puntos de conexión y control de cuentas de usuario
✅ Descripción de la interacción entre EPM y control de cuentas de usuario
Administración con privilegios para puntos de conexión y el control integrado de cuentas de usuario (UAC) de Windows son características independientes con una funcionalidad diferente.
Al mover usuarios para que se ejecuten como usuarios estándar y usar Administración con privilegios para puntos de conexión, puede optar por cambiar el comportamiento predeterminado de UAC para los usuarios estándar. Este cambio puede reducir la confusión cuando una aplicación requiere elevación y crear una mejor experiencia del usuario final. Examine el comportamiento de la solicitud de elevación de los usuarios estándar para obtener más información.
Nota:
Administración con privilegios para puntos de conexión no interfiere con las acciones de control de cuentas de usuario (o UAC) que ejecuta un administrador en el dispositivo.
Recomendaciones de seguridad
✅ Descripción de la forma más segura de usar EPM
Para ayudar a garantizar una implementación segura de Administración con privilegios para puntos de conexión, tenga en cuenta estas recomendaciones al configurar reglas y comportamientos de elevación.
Establecer una respuesta de elevación predeterminada segura
Establezca la respuesta de elevación predeterminada en Requerir aprobación de soporte técnico o Denegar en lugar de Requerir confirmación del usuario. Estas opciones garantizan que la elevación se controle con reglas predefinidas para archivos binarios conocidos, lo que reduce el riesgo de que los usuarios elevan ejecutables arbitrarios o potencialmente malintencionados.
Requerir restricciones de ruta de acceso de archivo en todos los tipos de regla
Al configurar una regla de elevación, especifique una ruta de acceso de archivo necesaria. Aunque la ruta de acceso del archivo es opcional, puede ser una comprobación de seguridad importante para las reglas que usan atributos de elevación automática o basados en caracteres comodín cuando la ruta de acceso apunta a una ubicación que los usuarios estándar no pueden modificar, como un directorio del sistema protegido. El uso de una ubicación de archivo protegida ayuda a evitar que los archivos ejecutables o sus archivos binarios dependientes se manipulen o reemplacen antes de la elevación.
Esta recomendación se aplica a las reglas creadas automáticamente en función de los detalles del informe elevación o de la solicitud aprobada de soporte técnico, y a las reglas de elevación que se crean manualmente.
Importante
Los archivos ubicados en recursos compartidos de red no se admiten y no deben usarse en definiciones de reglas.
Diferenciar la elevación del instalador y del entorno de ejecución
Tenga en cuenta intencionadamente la elevación de los archivos del instalador frente al tiempo de ejecución de la aplicación. La elevación de los instaladores debe controlarse estrechamente para evitar instalaciones de software no autorizadas. La elevación en tiempo de ejecución debe minimizarse para reducir la superficie total de ataque.
Aplicación de reglas más estrictas a aplicaciones de alto riesgo
Use reglas de elevación más restrictivas para aplicaciones con funcionalidades de acceso o scripting más amplias, como exploradores web y PowerShell. Para PowerShell, considere la posibilidad de usar reglas específicas de script para asegurarse de que solo los scripts de confianza pueden ejecutarse con privilegios elevados.
Empezar de nuevo, incluso al migrar desde un producto de terceros
EPM funciona de forma diferente a los productos de terceros y, como resultado, se recomienda empezar con una directiva de auditoría. A continuación, puede crear nuevas reglas a partir de informes y aprovechar la elevación aprobada de soporte técnico cuando un archivo no tiene una regla, pero un usuario necesita elevar ese archivo para realizar su trabajo.
Controles de acceso basados en rol para Administración con privilegios para puntos de conexión
✅ Aprenda a delegar el acceso a EPM
Para administrar Administración con privilegios para puntos de conexión, se debe asignar a la cuenta un rol de control de acceso basado en rol (RBAC) Intune que incluya el siguiente permiso con derechos suficientes para completar la tarea deseada:
Administración con privilegios para puntos de conexión creación de directivas: este permiso es necesario para trabajar con directivas o datos e informes para Administración con privilegios para puntos de conexión, y admite los siguientes derechos:
- Ver informes
- Lectura
- Crear
- Actualizar
- Eliminar
- Assign
Administración con privilegios para puntos de conexión Solicitudes de elevación: este permiso es necesario para trabajar con solicitudes de elevación aprobadas de soporte técnico enviadas por los usuarios para su aprobación y admite los siguientes derechos:
- Visualización de solicitudes de elevación
- Modificación de solicitudes de elevación
Puede agregar este permiso con uno o más derechos a sus propios roles de RBAC personalizados o usar un rol RBAC integrado dedicado a administrar Administración con privilegios para puntos de conexión:
Administrador de privilegios de punto de conexión: este rol integrado se dedica a administrar Administración con privilegios para puntos de conexión en la consola de Intune. Este rol incluye todos los derechos para la creación de directivas de Administración con privilegios para puntos de conexión y Administración con privilegios para puntos de conexión solicitudes de elevación.
Lector de privilegios de punto de conexión: use este rol integrado para ver las directivas de Administración con privilegios para puntos de conexión en la consola de Intune, incluidos los informes. Este rol incluye los siguientes derechos:
- Ver informes
- Lectura
- Visualización de solicitudes de elevación
Además de los roles dedicados, los siguientes roles integrados para Intune también incluyen derechos para Administración con privilegios para puntos de conexión creación de directivas:
Endpoint Security Manager: este rol incluye todos los derechos para la creación de directivas de Administración con privilegios para puntos de conexión y Administración con privilegios para puntos de conexión solicitudes de elevación.
Operador de solo lectura : este rol incluye los siguientes derechos:
- Ver informes
- Lectura
- Visualización de solicitudes de elevación
Para obtener más información, consulte Control de acceso basado en rol para Microsoft Intune.
Módulo de PowerShell EpmTools
✅ Aprenda a usar el módulo de PowerShell de EPM.
Cada dispositivo que recibe directivas de Administración con privilegios para puntos de conexión instala EPM Microsoft Agent para administrar esas directivas. El agente incluye el módulo de PowerShell EpmTools , un conjunto de cmdlets que puede importar a un dispositivo. Puede usar los cmdlets de EpmTools para:
- Diagnóstico y solución de problemas con Administración con privilegios para puntos de conexión.
- Obtenga atributos de archivo directamente desde un archivo o aplicación para el que desea crear una regla de detección.
Instalación del módulo de PowerShell EpmTools
El módulo de PowerShell de EPM Tools está disponible desde cualquier dispositivo que haya recibido la directiva de EPM. Para importar el módulo de PowerShell EpmTools:
Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
Nota:
Windows en Arm64 requiere el uso de Windows PowerShell x64.
A continuación se muestran los cmdlets disponibles:
- Get-Policies: recupera una lista de todas las directivas recibidas por EPM para un 'PolicyType' determinado ('ElevationRules' o 'ClientSettings').
- Get-DeclaredConfiguration: recupera una lista de documentos de WinDC que identifican las directivas destinadas al dispositivo.
- Get-DeclaredConfigurationAnalysis: recupera una lista de documentos de WinDC de tipo MSFTPolicies y comprueba si la directiva ya está presente en Epm Agent (columna Procesada).
- Get-ElevationRules: consulta la funcionalidad de búsqueda de EpmAgent y recupera reglas dadas la búsqueda y el destino. La búsqueda se admite para FileName y CertificatePayload.
- Get-ClientSettings: procese todas las directivas de configuración de cliente existentes para mostrar la configuración de cliente efectiva usada por EPM.
- Get-FileAttributes: recupera los atributos de archivo de un archivo .exe y extrae sus certificados de publicador y ca en una ubicación establecida que se puede usar para rellenar las propiedades de regla de elevación para una aplicación determinada.
Para obtener más información sobre cada cmdlet, revise el archivo readme.md de la carpeta EpmTools del dispositivo.