Compartir a través de

Consideraciones de implementación y preguntas más frecuentes sobre la administración de privilegios de punto de conexión

  • Artículo

Nota:

Esta funcionalidad está disponible como complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

Con La administración de privilegios de punto de conexión (EPM) de Microsoft Intune, los usuarios de su organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.

Endpoint Privilege Management admite el recorrido de confianza cero al ayudar a su organización a lograr una amplia base de usuarios que se ejecute con privilegios mínimos, a la vez que permite a los usuarios seguir ejecutando tareas permitidas por su organización para que sigan siendo productivas.

En las secciones siguientes de este artículo se describen las consideraciones de implementación y las preguntas más frecuentes sobre EPM.

Se aplica a:

  • Windows 10
  • Windows 11

Consideraciones de implementación para la administración de privilegios de punto de conexión

Es posible que los dispositivos Windows 10 no reciban inmediatamente la confirmación de las aprobaciones de soporte técnico.

Estamos trabajando para resolver algunos escenarios que impiden que los dispositivos Windows 10 reciban automáticamente la notificación de que una nueva aprobación está lista para el dispositivo cuando se usan elevaciones aprobadas de soporte técnico. Estamos trabajando con el propietario para resolver esto lo antes posible.

La organización que deshabilita el Control de cuentas de usuario (UAC) puede experimentar problemas con la administración de privilegios de punto de conexión

Endpoint Privilege Management no admite la deshabilitación explícita de UAC. Existen controles de directiva de Windows para el comportamiento de petición de UAC para controlar el comportamiento de UAC. Si las organizaciones realizan pasos adicionales para deshabilitar UAC fuera de los controles de directiva existentes, como deshabilitar los servicios de Windows, pueden experimentar problemas con la administración de privilegios de punto de conexión.

Las organizaciones que usan El control de aplicaciones para empresas pueden experimentar problemas al ejecutar Endpoint Privilege Management

Las directivas de Control de aplicaciones para empresas que no tienen en cuenta los componentes de cliente de EPM podrían impedir que los componentes de EPM funcionen. Para usar EPM con AppControl, asegúrese de que la directiva de Control de aplicaciones incluya reglas que permitan que EPM funcione. Para obtener más información sobre la solución de problemas del control de aplicaciones, consulte Depuración y solución de problemas de WDAC.

Nota:

EPM no se incluye en las directivas predeterminadas para Application Control y puede requerir la creación de directivas personalizadas.

Las organizaciones que restringen a los usuarios que pueden iniciar sesión de forma interactiva pueden ver problemas con la administración de privilegios de punto de conexión

Endpoint Privilege Management usa una cuenta aislada para facilitar las elevaciones. Esta cuenta requiere la capacidad de crear una sesión de inicio de sesión interactiva. Las organizaciones que limitan la capacidad de los usuarios para crear sesiones interactivas deben realizar cambios para que EPM funcione correctamente.

Los usuarios que soliciten la aprobación de soporte técnico para la elevación deben ser el usuario principal en el dispositivo.

Actualmente, Endpoint Privilege Management requiere que el usuario que solicita una elevación sea el usuario principal del dispositivo. Estamos trabajando para eliminar esta limitación en una versión futura.

Creación de archivos con un nombre de archivo como uno de los únicos atributos para la identificación

El nombre de archivo es un atributo que se puede usar para detectar una aplicación que debe tener privilegios elevados. Sin embargo, no está protegido por la firma del archivo.

Los nombres de archivo son muy susceptibles a cambios y los archivos que están firmados con un certificado en el que confía podrían cambiar su nombre para que se detecten y se puedan elevar posteriormente, lo que podría no ser el comportamiento previsto.

Importante

Asegúrese siempre de que las reglas, incluido un nombre de archivo, incluyan otros atributos que proporcionen una aserción segura a la identidad del archivo. Los atributos como el hash de archivo o las propiedades que se incluyen en la firma de archivos son buenos indicadores de que el archivo que pretende es probablemente el que se está elevando.

Las directivas de configuración de elevación pueden mostrar conflictos si se cambian en una sucesión rápida

Endpoint Privilege Management notifica el estado de la configuración individual aplicada mediante el perfil Configuración de elevación . Si la configuración de este perfil (comportamiento de elevación predeterminado por ejemplo) se cambia varias veces en una sucesión rápida, puede dar lugar a que el dispositivo informe de conflictos o vuelva al comportamiento predeterminado de Denegar la elevación. Se trata de un estado transitorio y se resuelve sin ninguna acción adicional (en menos de 60 minutos). Este problema se corregirá en una versión futura.

Los archivos bloqueados descargados de Internet no se pueden elevar

El comportamiento existe en Windows para establecer un atributo en los archivos que se descargan directamente desde Internet y evitar que se ejecuten hasta que se validen. Windows tiene funcionalidad para validar la reputación de los archivos descargados de Internet. Cuando no se valida la reputación de los archivos, es posible que no se pueda elevar.

Para corregir este comportamiento, desbloquee el archivo desbloqueando el archivo desde el panel de propiedades del archivo. El desbloqueo de un archivo solo debe realizarse cuando confíe en él.

Los dispositivos Windows que están "unidos al área de trabajo" no pueden habilitar la administración de privilegios de punto de conexión

Los dispositivos unidos al área de trabajo no son compatibles con Endpoint Privilege Management. Estos dispositivos no mostrarán directivas de EPM correctas o de proceso (configuración de elevación o reglas de elevación) cuando se implementen en el dispositivo.

Es posible que las reglas de un archivo de red no se eleve

Endpoint Privilege Management admite la ejecución de archivos almacenados localmente en el disco. No se admite la ejecución de archivos desde una ubicación de red, como un recurso compartido de red o una unidad asignada.

Endpoint Privilege Management no recibe la directiva cuando uso una "inspección SSL" en mi infraestructura de red.

Endpoint Privilege Management no admite la inspección SSL, que se conoce como "interrumpir e inspeccionar". Para usar la administración de privilegios de punto de conexión, asegúrese de que las direcciones URL enumeradas en Los puntos de conexión de Intune para la administración de privilegios de punto de conexión están exentas de inspección.

Preguntas frecuentes

¿Por qué mi dispositivo virtual no se incorpora a Endpoint Privilege Management?

Actualmente, La administración de privilegios de punto de conexión no es compatible con Azure Virtual Desktop. Este problema se corregirá en futuras versiones.

La compatibilidad con Windows 365 (PC en la nube) se agregó en septiembre de 2023.

¿Por qué mi directiva de configuración de elevación muestra un error o no es aplicable?

La directiva de configuración de elevación controla la habilitación de EPM y la configuración de los componentes del lado cliente. Cuando esta directiva está en error o muestra que no es aplicable, indica que el dispositivo tenía un problema al habilitar EPM. Las dos razones más comunes son la falta de las actualizaciones de Windows necesarias o el error de comunicación con los puntos de conexión de Intune necesarios para la administración de privilegios de punto de conexión.

¿Qué ocurre cuando alguien con privilegios administrativos usa un dispositivo habilitado para EPM?

Endpoint Privilege Management no administra las solicitudes de elevación de los usuarios que tienen permisos administrativos en un dispositivo. Puede haber instancias en las que un administrador inicie un archivo que tenga una regla de elevación (específicamente una regla de elevación automática) definida en el dispositivo. Esta aplicación se inicia como lo hace normalmente para el administrador y EPM generará un evento para una elevación no administrada.

¿Qué archivos se pueden elevar al administrador?

Endpoint Privilege Management admite archivos ejecutables, incluidos los que tienen la .msi extensión y .ps1 los scripts de PowerShell.

¿Por qué no se muestra "Ejecutar con acceso elevado" en los elementos de menú de inicio?

Algunos elementos que residen en el menú inicio o la barra de tareas tienen un menú contextual seleccionado y el menú contextual de EPM no se puede agregar a esos menús. Tenemos previsto corregir este problema en una versión futura.

¿Puedo iniciar varios archivos con privilegios elevados con el menú contextual "Ejecutar con acceso elevado"?

Solo se puede elevar un archivo a la vez. Para iniciar varios archivos con privilegios elevados, haga clic con el botón derecho en cada archivo individualmente y seleccione Ejecutar con acceso con privilegios elevados.

Siguientes pasos