Uso de La administración de privilegios de punto de conexión con Microsoft Intune

Artículo
03/27/2024

Nota:

Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

Con Microsoft Intune Administración de privilegios de punto de conexión (EPM), los usuarios de la organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.

Endpoint Privilege Management admite el recorrido de Confianza cero al ayudar a su organización a lograr una amplia base de usuarios que se ejecute con privilegios mínimos, a la vez que permite a los usuarios seguir ejecutando tareas permitidas por su organización para que sigan siendo productivas. Para obtener más información, consulte Confianza cero con Microsoft Intune.

En las secciones siguientes de este artículo se describen los requisitos para usar EPM, se proporciona información general funcional sobre cómo funciona esta funcionalidad y se presentan conceptos importantes para EPM.

Se aplica a:

Windows 10
Windows 11

Requisitos previos

Licencias

Endpoint Privilege Management requiere una licencia adicional más allá de la licencia Microsoft Intune plan 1. Puede elegir entre una licencia independiente que agregue solo EPM o la licencia EPM como parte de la Microsoft Intune Suite. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

Requisitos

Endpoint Privilege Management tiene los siguientes requisitos:

Microsoft Entra unidos o unidos a Microsoft Entra híbrido
Microsoft Intune Dispositivos administrados conjuntamenteo Microsoft Configuration Manager (sin requisitos de carga de trabajo)
Sistema operativo compatible
Línea de visión clara (sin inspección SSL) a los puntos de conexión necesarios

Nota:

Windows 365 (CloudPC) es compatible con una versión de sistema operativo compatible
Los dispositivos de unión al área de trabajo no son compatibles con Endpoint Privilege Management
La administración de privilegios de punto de conexión no admite Azure Virtual Desktop

Endpoint Privilege Management admite los siguientes sistemas operativos:

Windows 11, versión 23H2 (22631.2506 o posterior) con KB5031455
Windows 11, versión 22H2 (22621.2215 o posterior) con KB5029351
Windows 11, versión 21H2 (22000.2713 o posterior) con KB5034121
Windows 10, versión 22H2 (19045.3393 o posterior) con KB5030211
Windows 10, versión 21H2 (19044.3393 o posterior) con KB5030211

Importante

La directiva de configuración de elevación se mostrará como no aplicable para los dispositivos que no ejecutan una versión de sistema operativo compatible.
Endpoint Privilege Management tiene algunos requisitos de red nuevos, consulte Puntos de conexión de red para Intune.

Introducción a la administración de privilegios de punto de conexión

Endpoint Privilege Management (EPM) está integrado en Microsoft Intune, lo que significa que toda la configuración se completa dentro del Centro de Microsoft Intune Administración. Cuando las organizaciones empiezan a trabajar con EPM, usan el siguiente proceso de alto nivel:

Administración de privilegios de punto de conexión de licencia: para poder usar directivas de Administración de privilegios de punto de conexión, debe licenciar EPM en el inquilino como complemento de Intune. Para obtener información sobre las licencias, consulte Uso de funcionalidades de complemento de Intune Suite.
Implementar una directiva de configuración de elevación: una directiva de configuración de elevación activa EPM en el dispositivo cliente. Esta directiva también permite configurar opciones específicas para el cliente, pero que no están necesariamente relacionadas con la elevación de aplicaciones o tareas individuales.
Implementar directivas de regla de elevación: una directiva de regla de elevación vincula una aplicación o tarea a una acción de elevación. Use esta directiva para configurar el comportamiento de elevación de las aplicaciones que su organización permite cuando las aplicaciones se ejecutan en el dispositivo.

Conceptos importantes para la administración de privilegios de punto de conexión

Al configurar las directivas de reglas de elevación y elevación que se mencionaron anteriormente, hay algunos conceptos importantes para comprender cómo configurar EPM para satisfacer las necesidades de su organización. Antes de implementar ampliamente EPM, los siguientes conceptos deben entenderse bien, así como el efecto que tienen en su entorno:

Ejecutar con acceso con privilegios elevados : una opción de menú contextual con el botón derecho que aparece cuando se activa EPM en un dispositivo. Cuando se usa esta opción, las directivas de reglas de elevación de dispositivos se comprueban para que coincidan para determinar si se puede elevar ese archivo y cómo para ejecutarse en un contexto administrativo. Si no hay ninguna regla de elevación aplicable, el dispositivo usa las configuraciones de elevación predeterminadas definidas por la directiva de configuración de elevación.
Tipos de elevación y elevación de archivos: EPM permite a los usuarios sin privilegios administrativos ejecutar procesos en el contexto administrativo. Al crear una regla de elevación, esa regla permite que EPM proxye el destino de esa regla para que se ejecute con privilegios de administrador en el dispositivo. El resultado es que la aplicación tiene capacidad administrativa completa en el dispositivo.

Cuando se usa La administración de privilegios de punto de conexión, hay algunas opciones para el comportamiento de elevación:
- En el caso de las reglas de elevación automática, EPM eleva automáticamente estas aplicaciones sin la entrada del usuario. Las reglas generales de esta categoría pueden tener un impacto generalizado en la posición de seguridad de la organización.
- Para las reglas confirmadas por el usuario, los usuarios finales usan un nuevo menú contextual con el botón derecho Ejecutar con acceso con privilegios elevados. Las reglas confirmadas por el usuario requieren que el usuario final complete algunos requisitos adicionales antes de que la aplicación pueda elevarse. Estos requisitos proporcionan una capa adicional de protección al hacer que el usuario reconozca que la aplicación se ejecutará en un contexto con privilegios elevados, antes de que se produzca esa elevación.
- Para las reglas aprobadas por el soporte técnico, los usuarios finales deben enviar una solicitud para aprobar una aplicación. Una vez enviada la solicitud, un administrador puede aprobarla. Una vez aprobada la solicitud, se notifica al usuario final que puede completar la elevación en el dispositivo. Para obtener más información sobre el uso de este tipo de regla, consulte Compatibilidad con solicitudes de elevación aprobadas
Nota:

Cada regla de elevación también puede establecer el comportamiento de elevación para los procesos secundarios que crea el proceso con privilegios elevados.
Controles de proceso secundarios : cuando EPM eleva los procesos, puede controlar cómo la creación de procesos secundarios se rige por EPM, lo que le permite tener un control pormenorizado sobre cualquier subproceso que pueda crear la aplicación con privilegios elevados.
Componentes del lado cliente: para usar Endpoint Privilege Management, Intune aprovisiona un pequeño conjunto de componentes en el dispositivo que reciben directivas de elevación y las aplican. Intune aprovisiona los componentes solo cuando se recibe una directiva de configuración de elevación y la directiva expresa la intención de habilitar la administración de privilegios de punto de conexión.
Deshabilitación y desaprovisionamiento : como componente que se instala en un dispositivo, la administración de privilegios de punto de conexión se puede deshabilitar desde dentro de una directiva de configuración de elevación. Se requiere el uso de la directiva de configuración de elevación para quitar la administración de privilegios de punto de conexión de un dispositivo.

Una vez que el dispositivo tiene una directiva de configuración de elevación que requiere que EPM se deshabilite, Intune deshabilita inmediatamente los componentes del lado cliente. EPM quitará el componente EPM después de un período de siete días. El retraso consiste en garantizar que los cambios temporales o accidentales en la directiva o las asignaciones no produzcan eventos dedesaprovisionamiento masivos de aprovisionamiento/ que puedan tener un impacto sustancial en las operaciones empresariales.
Elevaciones administradas frente a elevaciones no administradas : estos términos se pueden usar en nuestros datos de informes y uso. Estos términos hacen referencia a las descripciones siguientes:
- Elevación administrada: cualquier elevación que endpoint Privilege Management facilita. Las elevaciones administradas incluyen todas las elevaciones que EPM termina facilitando al usuario estándar. Estas elevaciones administradas pueden incluir elevaciones que se producen como resultado de una regla de elevación o como parte de la acción de elevación predeterminada.
- Elevación no administrada: todas las elevaciones de archivos que se producen sin usar Endpoint Privilege Management. Estas elevaciones pueden producirse cuando un usuario con derechos administrativos usa la acción predeterminada de Windows Ejecutar como administrador.

Controles de acceso basados en rol para la administración de privilegios de punto de conexión

Para administrar la administración de privilegios de punto de conexión, a la cuenta se le debe asignar un rol de control de acceso basado en rol (RBAC) Intune que incluya el siguiente permiso con derechos suficientes para completar la tarea deseada:

Creación de directivas de administración de privilegios de punto de conexión : este permiso es necesario para trabajar con directivas o datos e informes para La administración de privilegios de punto de conexión, y admite los siguientes derechos:
- Ver informes
- Lectura
- Crear
- Actualizar
- Eliminar
- Assign
Solicitudes de elevación de Administración de privilegios de punto de conexión : este permiso es necesario para trabajar con solicitudes de elevación enviadas por los usuarios para su aprobación y admite los siguientes derechos:
- Visualización de solicitudes de elevación
- Modificación de solicitudes de elevación

Puede agregar este permiso con uno o más derechos a sus propios roles de RBAC personalizados o usar un rol RBAC integrado dedicado a administrar Endpoint Privilege Management:

Administrador de privilegios de punto de conexión: este rol integrado se dedica a administrar la administración de privilegios de punto de conexión en la consola de Intune. Este rol incluye todos los derechos para la creación de directivas de administración de privilegios de punto de conexión y las solicitudes de elevación de administración de privilegios de punto de conexión.
Lector de privilegios de punto de conexión: use este rol integrado para ver las directivas de Administración de privilegios de punto de conexión en la consola de Intune, incluidos los informes. Este rol incluye los siguientes derechos:
- Ver informes
- Lectura
- Visualización de solicitudes de elevación

Además de los roles dedicados, los siguientes roles integrados para Intune también incluyen derechos para la creación de directivas de administración de privilegios de punto de conexión:

Endpoint Security Manager : este rol incluye todos los derechos para la creación de directivas de administración de privilegios de punto de conexión y las solicitudes de elevación de administración de privilegios de punto de conexión.
Operador de solo lectura : este rol incluye los siguientes derechos:
- Ver informes
- Lectura
- Visualización de solicitudes de elevación

Para obtener más información, consulte Control de acceso basado en rol para Microsoft Intune.

Módulo de PowerShell EpmTools

Cada dispositivo que recibe directivas de administración de privilegios de punto de conexión instala el agente de Microsoft de EPM para administrar esas directivas. El agente incluye el módulo de PowerShell EpmTools , un conjunto de cmdlets que puede importar a un dispositivo. Puede usar los cmdlets de EpmTools para:

Diagnóstico y solución de problemas con la administración de privilegios de punto de conexión.
Obtenga atributos de archivo directamente desde un archivo o aplicación para el que desea crear una regla de detección.

Instalación del módulo de PowerShell EpmTools

El módulo de PowerShell de EPM Tools está disponible desde cualquier dispositivo que haya recibido la directiva de EPM. Para importar el módulo de PowerShell EpmTools:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

A continuación se muestran los cmdlets disponibles:

Get-Policies: recupera una lista de todas las directivas recibidas por el agente de Epm para un policyType determinado (ElevationRules, ClientSettings).
Get-DeclaredConfiguration: recupera una lista de documentos de WinDC que identifican las directivas destinadas al dispositivo.
Get-DeclaredConfigurationAnalysis: recupera una lista de documentos de WinDC de tipo MSFTPolicies y comprueba si la directiva ya está presente en Epm Agent (columna Procesada).
Get-ElevationRules: consulta la funcionalidad de búsqueda de EpmAgent y recupera reglas dadas la búsqueda y el destino. La búsqueda se admite para FileName y CertificatePayload.
Get-ClientSettings: procese todas las directivas de configuración de cliente existentes para mostrar la configuración de cliente efectiva usada por el agente de EPM.
Get-FileAttributes: recupera los atributos de archivo de un archivo .exe y extrae sus certificados de publicador y ca en una ubicación establecida que se puede usar para rellenar las propiedades de regla de elevación de una aplicación determinada.

Para obtener más información sobre cada cmdlet, revise el archivo readme.txt de la carpeta EpmTools del dispositivo.