Consideraciones de implementación y preguntas más frecuentes sobre la administración de privilegios de punto de conexión
Nota:
Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
Con Microsoft Intune Administración de privilegios de punto de conexión (EPM), los usuarios de la organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.
Endpoint Privilege Management admite el recorrido de confianza cero al ayudar a su organización a lograr una amplia base de usuarios que se ejecute con privilegios mínimos, a la vez que permite a los usuarios seguir ejecutando tareas permitidas por su organización para que sigan siendo productivas.
En las secciones siguientes de este artículo se describen las consideraciones de implementación y las preguntas más frecuentes sobre EPM.
Se aplica a:
- Windows 10
- Windows 11
Consideraciones de implementación para la administración de privilegios de punto de conexión
Windows 10 dispositivos podrían no recibir inmediatamente la confirmación de las aprobaciones de soporte técnico
Estamos trabajando para resolver algunos escenarios que impiden que Windows 10 dispositivos reciban automáticamente la notificación de que una nueva aprobación está lista para el dispositivo cuando se usan elevaciones aprobadas de soporte técnico. Estamos trabajando con el propietario para resolver esto lo antes posible.
La organización que deshabilita el Control de cuentas de usuario (UAC) puede experimentar problemas con la administración de privilegios de punto de conexión
Endpoint Privilege Management no admite la deshabilitación explícita de UAC. Existen controles de directiva de Windows para el comportamiento de petición de UAC para controlar el comportamiento de los mensajes de UAC. Si las organizaciones realizan pasos adicionales para deshabilitar UAC fuera de los controles de directiva existentes, como deshabilitar los servicios de Windows, pueden experimentar problemas con la administración de privilegios de punto de conexión.
Las organizaciones que usan El control de aplicaciones para empresas pueden experimentar problemas al ejecutar Endpoint Privilege Management
Las directivas de Control de aplicaciones para empresas que no tienen en cuenta los componentes de cliente de EPM podrían impedir que los componentes de EPM funcionen. Para usar EPM con AppControl, asegúrese de que la directiva de Control de aplicaciones incluya reglas que permitan que EPM funcione.
Las organizaciones que restringen a los usuarios que pueden iniciar sesión de forma interactiva pueden ver problemas con Endpoint Privilege Management
Endpoint Privilege Management usa una cuenta aislada para facilitar las elevaciones. Esta cuenta requiere la capacidad de crear una sesión de inicio de sesión interactiva. Las organizaciones que limitan la capacidad de los usuarios para crear sesiones interactivas tendrán que realizar cambios para que EPM funcione correctamente.
Los usuarios que soliciten la aprobación de soporte técnico para la elevación deben ser el usuario principal en el dispositivo.
Actualmente, Endpoint Privilege Management requiere que el usuario que solicita una elevación sea el usuario principal del dispositivo. Estamos trabajando para eliminar esta limitación en una versión futura.
Creación de archivos con un nombre de archivo como uno de los únicos atributos para la identificación
El nombre de archivo es un atributo que se puede usar para detectar una aplicación que debe tener privilegios elevados. Sin embargo, no está protegido por la firma del archivo.
Los nombres de archivo son muy susceptibles a cambios y los archivos firmados por un certificado en el que confía podrían cambiar su nombre para que se detecten y se puedan elevar posteriormente, lo que podría no ser el comportamiento previsto.
Importante
Asegúrese siempre de que las reglas, incluido un nombre de archivo, incluyan otros atributos que proporcionen una aserción segura a la identidad del archivo. Los atributos como el hash de archivo o las propiedades que se incluyen en la firma de archivos son buenos indicadores de que el archivo que pretende es probablemente el que se está elevando.
Las directivas de configuración de elevación pueden mostrar conflictos si se cambian en una sucesión rápida
Endpoint Privilege Management notifica el estado de la configuración individual aplicada mediante el perfil Configuración de elevación . Si la configuración de este perfil (comportamiento de elevación predeterminado por ejemplo) se cambia varias veces en una sucesión rápida, puede dar lugar a que el dispositivo informe de conflictos o vuelva al comportamiento predeterminado de Denegar la elevación. Se trata de un estado transitorio y se resuelve sin ninguna acción adicional (en menos de 60 minutos). Este problema se corregirá en una versión futura.
Los archivos bloqueados descargados de Internet no se pueden elevar
El comportamiento existe en Windows para establecer un atributo en los archivos que se descargan directamente desde Internet y evitar que se ejecuten hasta que se validen. Windows tiene funcionalidad para validar la reputación de los archivos descargados de Internet. Cuando no se valida la reputación de los archivos, es posible que no se pueda elevar.
Para corregir este comportamiento, desbloquee el archivo desbloqueando el archivo desde el panel de propiedades del archivo. El desbloqueo de un archivo solo debe realizarse cuando confíe en él.
Los dispositivos Windows que están "unidos al área de trabajo" no pueden habilitar la administración de privilegios de punto de conexión
Endpoint Privilege Management no admite los dispositivos unidos al área de trabajo. Estos dispositivos no mostrarán directivas de EPM correctas o de proceso (configuración de elevación o reglas de elevación) cuando se implementen en el dispositivo.
Es posible que las reglas de un archivo de red no se eleve
Endpoint Privilege Management admite la ejecución de archivos almacenados localmente en el disco. No se admite la ejecución de archivos desde una ubicación de red, como un recurso compartido de red o una unidad asignada.
Endpoint Privilege Management no recibe la directiva cuando uso una "inspección SSL" en mi infraestructura de red.
Endpoint Privilege Management no admite la inspección SSL, que se conoce como "interrumpir e inspeccionar". Para usar la administración de privilegios de punto de conexión, asegúrese de que las direcciones URL enumeradas en los puntos de conexión de Intune para la administración de privilegios de punto de conexión están exentos de inspección.
Preguntas frecuentes
¿Por qué mi dispositivo virtual no se incorpora a Endpoint Privilege Management?
Actualmente, La administración de privilegios de punto de conexión no es compatible con Azure Virtual Desktop. Este problema se corregirá en futuras versiones.
La compatibilidad con Windows 365 (PC en la nube) se agregó en septiembre de 2023.
¿Por qué mi directiva de configuración de elevación muestra un error o no es aplicable?
La directiva de configuración de elevación controla la habilitación de EPM y la configuración de los componentes del lado cliente. Cuando esta directiva está en error o muestra que no es aplicable, indica que el dispositivo tenía un problema al habilitar EPM. Las dos razones más comunes son la falta de las actualizaciones de Windows necesarias o el error de comunicación con los puntos de conexión de Intune necesarios para la administración de privilegios de punto de conexión.
¿Qué ocurre cuando alguien con privilegios administrativos usa un dispositivo habilitado para EPM?
Endpoint Privilege Management no administra las solicitudes de elevación de los usuarios que tienen permisos administrativos en un dispositivo. Puede haber instancias en las que un administrador inicie un archivo que tenga una regla de elevación (específicamente una regla de elevación automática) definida en el dispositivo. Esta aplicación se inicia como lo hace normalmente para el administrador y EPM generará un evento para una elevación no administrada.
¿Qué archivos se pueden elevar al administrador?
Endpoint Privilege Management admite archivos ejecutables. Microsoft está trabajando actualmente en ampliar la compatibilidad con otros tipos de archivo (MSI, etc.) y proporcionar un método sencillo para elevar las tareas comunes del sistema operativo.
¿Por qué no se muestra "Ejecutar con acceso elevado" en los elementos de menú de inicio?
Algunos elementos que residen en el menú inicio o la barra de tareas tienen un menú contextual seleccionado y el menú contextual de EPM no se puede agregar a esos menús. Tenemos previsto corregir este problema en una versión futura.
¿Puedo iniciar varios archivos con privilegios elevados con el menú contextual "Ejecutar con acceso elevado"?
Solo se puede elevar un archivo a la vez. Para iniciar varios archivos con privilegios elevados, haga clic con el botón derecho en cada archivo individualmente y seleccione Ejecutar con acceso con privilegios elevados.
Pasos siguientes
- Más información sobre la administración de privilegios de punto de conexión
- Guía para crear reglas de elevación
- Configuración de directivas para la administración de privilegios de punto de conexión
- Informes para la administración de privilegios de punto de conexión
- Recopilación de datos y privacidad para la administración de privilegios de punto de conexión
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de