Configuración de los permisos y el control de acceso de usuarios

Se aplica a: Windows Admin Center, versión preliminar de Windows Admin Center

Si aún no lo has hecho, familiarízate con las opciones de control de acceso de usuarios de Windows Admin Center.

Nota:

El acceso basado en grupos de Windows Admin Center no se admite en entornos de grupo de trabajo ni en dominios que no son de confianza.

Definiciones de roles de acceso de puerta de enlace

Hay dos roles para tener acceso al servicio de puerta de enlace de Windows Admin Center:

Los usuarios de puerta de enlace pueden conectarse al servicio de puerta de enlace de Windows Admin Center para administrar servidores mediante la puerta de enlace, pero no pueden cambiar los permisos de acceso ni el mecanismo de autenticación que se usa para autenticarse en la puerta de enlace.

Los administradores de puerta de enlace pueden configurar quién obtiene el acceso y cómo se autentican los usuarios en la puerta de enlace. Solo los administradores de puerta de enlace pueden ver y configurar la configuración de acceso en Windows Admin Center. Los administradores locales de la máquina de puerta de enlace siempre son administradores del servicio de puerta de enlace de Windows Admin Center.

También hay un rol adicional específico para la administración de CredSSP:

Los administradores de CredSSP de Windows Admin Center se registran con el punto de conexión CredSSP de Windows Admin Center y tienen permisos para realizar operaciones CredSSP predefinidas. Este grupo es especialmente útil para las instalaciones de Windows Admin Center en modo de escritorio, donde solo la cuenta de usuario que instaló Windows Admin Center tiene estos permisos de forma predeterminada.

Nota:

El acceso a la puerta de enlace no implica el acceso a los servidores administrados visibles para la puerta de enlace. Para administrar un servidor de destino, el usuario que se conecta debe usar credenciales (ya sean las credenciales de paso a través de Windows o las credenciales proporcionadas en la sesión de Windows Admin Center mediante la acción Administrar como) con acceso administrativo al servidor de destino. Esto se debe a que la mayoría de las herramientas de Windows Admin Center requieren permisos administrativos para su uso.

Active Directory o grupos de máquinas locales

De forma predeterminada, Active Directory o los grupos de máquinas locales se usan para controlar el acceso a la puerta de enlace. Si tienes un dominio de Active Directory, puedes administrar el acceso de usuario y administrador de la puerta de enlace desde la interfaz de Windows Admin Center.

Desde la pestaña Usuarios, puedes controlar quién puede tener acceso a Windows Admin Center como usuario de la puerta de enlace. De forma predeterminada, y si no especificas ningún grupo de seguridad, cualquier usuario que tenga acceso a la dirección URL de la puerta de enlace tiene acceso. Una vez que se agregan uno o varios grupos de seguridad a la lista de usuarios, el acceso está restringido a los miembros de esos grupos.

Si no usas un dominio de Active Directory en el entorno, el acceso se controla mediante los grupos locales Usuarios y Administradores de la máquina de la puerta de enlace de Windows Admin Center.

Autenticación de tarjeta inteligente

Para aplicar la autenticación de tarjeta inteligente, especifica un grupo adicional requerido para los grupos de seguridad basados en tarjeta inteligente. Una vez agregado un grupo de seguridad basado en tarjeta inteligente, un usuario solo puede tener acceso al servicio de Windows Admin Center si es miembro de cualquier grupo de seguridad Y un grupo de tarjetas inteligentes incluido en la lista de usuarios.

Desde la pestaña Administradores, puedes controlar quién puede tener acceso a Windows Admin Center como administrador de la puerta de enlace. El grupo de administradores locales en el equipo siempre tendrá acceso de administrador completo y no se puede quitar de la lista. Al agregar grupos de seguridad, concedes a los miembros de esos grupos privilegios para cambiar la configuración de la puerta de enlace de Windows Admin Center. La lista de administradores admite la autenticación mediante tarjeta inteligente de la misma forma que la lista de usuarios: con la condición Y para un grupo de seguridad y un grupo de tarjetas inteligentes.

Microsoft Entra ID

Si su organización usa Microsoft Entra ID, puede elegir agregar un nivel adicional de seguridad a Windows Admin Center solicitando la autenticación de Microsoft Entra para acceder a la puerta de enlace. Para obtener acceso a Windows Admin Center, la cuenta de Windows del usuario también debe tener acceso al servidor de puerta de enlace (aunque se use la autenticación de Microsoft Entra). Al usar Microsoft Entra ID, podrá administrar los permisos de acceso de usuario y administrador de Windows Admin Center desde Azure Portal, en lugar de hacerlo desde la interfaz de usuario de Windows Admin Center.

Acceso a Windows Admin Center cuando está habilitada la autenticación de Microsoft Entra

En función del navegador que use, algunos usuarios que accedan a Windows Admin Center con la autenticación de Microsoft Entra configurada recibirán un mensaje adicional del explorador para que proporcionen sus credenciales de la cuenta de Windows para la máquina en que está instalado Windows Admin Center. Después de escribir esa información, los usuarios obtendrán la solicitud de autenticación adicional de Microsoft Entra, que requiere las credenciales de una cuenta de Azure a la que se ha concedido acceso en la aplicación de Microsoft Entra en Azure.

Nota:

No se solicitará la autenticación de Microsoft Entra a los usuarios cuya cuenta de Windows tiene derechos de administrador en la máquina de la puerta de enlace.

Configuración de la autenticación de Microsoft Entra para la versión preliminar de Windows Admin Center

Vaya a Windows Admin Center Configuración>Acceso y usa el conmutador de alternancia para activar Usar Microsoft Entra ID para agregar un nivel de seguridad a la puerta de enlace. Si no has registrado la puerta de enlace en Azure, se te guiará para que lo hagas en este momento.

De manera predeterminada, todos los miembros del inquilino de Microsoft Entra tienen acceso de usuario al servicio de puerta de enlace de Windows Admin Center. Solo los administradores locales de la máquina de puerta de enlace tienen acceso de administrador a la puerta de enlace de Windows Admin Center. Tenga en cuenta que los derechos de los administradores locales en la máquina de la puerta de enlace no se pueden restringir: los administradores locales pueden hacer cualquier cosa, independientemente de si se usa Microsoft Entra ID para la autenticación.

Si quiere conceder a usuarios o grupos específicos de Microsoft Entra acceso de administrador o usuario de puerta de enlace al servicio Windows Admin Center, antes debe seguir estos pasos:

1. Vaya a la aplicación de Microsoft Entra de Windows Admin Center en el Azure Portal desde el hipervínculo proporcionado en la configuración de acceso. Tenga en cuenta que este hipervínculo solo está disponible cuando está habilitada la autenticación de Microsoft Entra.
   • También puede buscar la aplicación en Azure Portal. Para ello, vaya a Microsoft Entra ID>Aplicaciones empresariales>Todas las aplicaciones y busque WindowsAdminCenter (la aplicación de Microsoft Entra se denominará WindowsAdminCenter-<gateway name>). Si no obtienes ningún resultado de búsqueda, asegúrate de que la opción Mostrar está establecida en todas las aplicaciones, estado de la aplicación en cualquiera y seleccione Aplicar. A continuación, intenta realizar la búsqueda. Una vez que hayas encontrado la aplicación, ve a Usuarios y grupos
2. En la pestaña Propiedades, establece Asignación de usuarios necesaria en Sí. Una vez hecho esto, solo los miembros que se muestran en la pestaña Usuarios y grupos podrán acceder a la puerta de enlace de Windows Admin Center.
3. En la pestaña Usuarios y grupos, selecciona Agregar usuario. Debes asignar un rol de administrador o usuario de puerta de enlace a cada usuario o grupo agregado.

Una vez activada la autenticación de Microsoft Entra, se reiniciará el servicio de la puerta de enlace y deberá actualizar el navegador. Puede actualizar el acceso de usuario para la aplicación de Microsoft Entra de SME en Azure Portal en cualquier momento.

Se solicitará a los usuarios que inicien sesión con su identidad de Microsoft Entra cuando intenten acceder a la dirección URL de la puerta de enlace de Windows Admin Center. Recuerda que los usuarios también deben ser miembros del grupo de usuarios locales del servidor de la puerta de enlace para acceder a Windows Admin Center.

Los usuarios y los administradores pueden ver su cuenta con la sesión iniciada y cerrar la sesión de esta cuenta de Microsoft Entra desde la pestaña Cuenta de la configuración de Windows Admin Center.

Configuración de la autenticación de Microsoft Entra para Windows Admin Center

Para configurar la autenticación de Microsoft Entra, antes debe registrar la puerta de enlace con Azure (solo tiene que hacerlo una vez para la puerta de enlace de Windows Admin Center). En este paso, se crea una aplicación de Microsoft Entra desde la que puedes administrar el acceso de administrador y usuario de la puerta de enlace.

Si quiere conceder a usuarios o grupos específicos de Microsoft Entra acceso de administrador o usuario de puerta de enlace al servicio Windows Admin Center, antes debe seguir estos pasos:

1. Vaya a la aplicación de Microsoft Entra de SME en Azure Portal.
   • Al seleccionar Cambiar control de acceso y Microsoft Entra ID en la configuración de acceso de Windows Admin Center, puede usar el hipervínculo proporcionado en la interfaz de usuario para acceder a la aplicación de Microsoft Entra en Azure Portal. Este hipervínculo también está disponible en la configuración del Acceso después de seleccionar Guardar y seleccionar Microsoft Entra ID como proveedor de identidades de control de acceso.
   • También puedes buscar la aplicación en Azure Portal. Para ello, vaya a Microsoft Entra ID>Aplicaciones empresariales>Todas las aplicaciones y busque SME (la aplicación de Microsoft Entra se denominará SME-<gateway>). Si no obtienes ningún resultado de búsqueda, asegúrate de que la opción Mostrar está establecida en todas las aplicaciones, estado de la aplicación en cualquiera y seleccione Aplicar. A continuación, intenta realizar la búsqueda. Una vez que hayas encontrado la aplicación, ve a Usuarios y grupos
2. En la pestaña Propiedades, establece Asignación de usuarios necesaria en Sí. Una vez hecho esto, solo los miembros que se muestran en la pestaña Usuarios y grupos podrán acceder a la puerta de enlace de Windows Admin Center.
3. En la pestaña Usuarios y grupos, selecciona Agregar usuario. Debes asignar un rol de administrador o usuario de puerta de enlace a cada usuario o grupo agregado.

Una vez guardado el control de acceso de Microsoft Entra en el panel Cambiar control de acceso, el servicio de puerta de enlace se reinicia y debe actualizar el navegador. Puede actualizar el acceso de usuario para la aplicación de Microsoft Entra de Windows Admin Center en Azure Portal en cualquier momento.

Se solicitará a los usuarios que inicien sesión con su identidad de Microsoft Entra cuando intenten acceder a la dirección URL de la puerta de enlace de Windows Admin Center. Recuerda que los usuarios también deben ser miembros del grupo de usuarios locales del servidor de la puerta de enlace para acceder a Windows Admin Center.

Desde la pestaña Azure de la configuración general de Windows Admin Center, los usuarios y los administradores pueden ver su cuenta con la sesión iniciada y cerrar la sesión de esta cuenta de Microsoft Entra.

Acceso condicional y autenticación multifactor

Una de las ventajas de usar Microsoft Entra ID como un nivel adicional de seguridad para controlar el acceso a la puerta de enlace de Windows Admin Center es que puede sacar provecho de las eficaces características de seguridad de Azure AD, como el acceso condicional y la autenticación multifactor.

Para más información sobre el acceso condicional de Microsoft Entra ID.

Configuración del inicio de sesión único

Inicio de sesión único cuando se implementa como servicio en Windows Server

Al instalar Windows Admin Center en Windows 10, ya está listo para usar el inicio de sesión único. Sin embargo, si vas a usar Windows Admin Center en Windows Server, debes configurar alguna forma de delegación de Kerberos en tu entorno para poder usar el inicio de sesión único. La delegación configura el equipo de puerta de enlace como de confianza para delegar en el nodo de destino.

Para configurar la delegación restringida basada en recursos en el entorno, usa el siguiente ejemplo de PowerShell. En este ejemplo se muestra cómo configurar Windows Server [node01.contoso.com] para aceptar la delegación de la puerta de enlace de Windows Admin Center [wac.contoso.com] en el dominio contoso.com.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Para quitar esta relación, ejecuta el siguiente cmdlet:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Control de acceso basado en roles (RBAC)

El control de acceso basado en rol te permite proporcionar a los usuarios acceso limitado a la máquina, en lugar de hacerles administradores locales completos. Más información sobre el control de acceso basado en rol y los roles disponibles.

La configuración de RBAC consta de dos pasos: habilitar la compatibilidad en los equipos de destino y asignar usuarios a los roles correspondientes.

Sugerencia

Asegúrate de tener privilegios de administrador local en las máquinas en las que estás configurando la compatibilidad con el control de acceso basado en rol.

Aplicar el control de acceso basado en rol a una sola máquina

El modelo de implementación de una sola máquina es ideal para entornos sencillos con unos pocos equipos que administrar. La configuración de una máquina con compatibilidad con el control de acceso basado en rol provocará los siguientes cambios:

• Los módulos de PowerShell con las funciones que requiere Windows Admin Center se instalarán en la unidad del sistema, en C:\Program Files\WindowsPowerShell\Modules. Todos los módulos se iniciarán con Microsoft.Sme.
• La configuración de estado deseado ejecutará una configuración única para configurar un punto de conexión Just Enough Administration en la máquina denominado Microsoft.Sme.PowerShell. Este punto de conexión define los tres roles que usa Windows Admin Center y se ejecutará como administrador local temporal cuando un usuario se conecte a él.
• Se crearán tres nuevos grupos locales para controlar a qué usuarios se les asigna acceso a qué roles:
  • Administradores de Windows Admin Center
  • Administradores de Hyper-V de Windows Admin Center
  • Lectores de Windows Admin Center

Nota:

El control de acceso basado en rol no se admite para la administración de clústeres (es decir, las características que dependen de RBAC, como CredSSP, producirán errores).

Para habilitar la compatibilidad con el control de acceso basado en roles en una única máquina, sigue estos pasos:

1. Abre Windows Admin Center y conéctate a la máquina que quieres configurar con el control de acceso basado en rol mediante una cuenta con privilegios de administrador local en el equipo de destino.
2. En la herramienta Información general, selecciona Configuración>Control de acceso basado en rol.
3. Selecciona Aplicar en la parte inferior de la página para habilitar la compatibilidad con el control de acceso basado en rol en el equipo de destino. El proceso de aplicación implica copiar los scripts de PowerShell e invocar una configuración (mediante la configuración de estado deseado de PowerShell) en el equipo de destino. Puede tardar hasta 10 minutos en completarse y se reiniciará WinRM. Esto desconectará temporalmente a los usuarios de Windows Admin Center, PowerShell y WMI.
4. Actualiza la página para comprobar el estado del control de acceso basado en rol. Cuando esté listo para su uso, el estado cambiará a Aplicada.

Una vez aplicada la configuración, puedes asignar usuarios a los roles:

1. Abre la herramienta Usuarios y grupos locales y desplázate hasta la pestaña Grupos.
2. Selecciona el grupo Lectores de Windows Admin Center.
3. En el panel Detalles de la parte inferior, selecciona Agregar usuario y escribe el nombre de un usuario o grupo de seguridad que debe tener acceso de solo lectura al servidor mediante Windows Admin Center. Los usuarios y grupos pueden proceder de la máquina local o del dominio de Active Directory.
4. Repite los pasos 2-3 para los grupos de Administradores de Hyper-V de Windows Admin Center y Administradores de Windows Admin Center.

También puedes rellenar estos grupos de forma coherente en todo el dominio configurando un objeto de directiva de grupo con la Configuración de directiva de grupos restringidos.

Aplicar el control de acceso basado en rol a varias máquinas

En una implementación empresarial de gran tamaño, puedes usar las herramientas de automatización existentes para insertar la característica de control de acceso basado en rol en los equipos mediante la descarga del paquete de configuración desde la puerta de enlace de Windows Admin Center. El paquete de configuración está diseñado para usarse con la configuración de estado deseado de PowerShell, pero puedes adaptarlo para que funcione con tu solución de automatización preferida.

Descargar la configuración de control de acceso basado en rol

Para descargar el paquete de configuración de control de acceso basado en rol, debes tener acceso a Windows Admin Center y un símbolo del sistema de PowerShell.

Si estás ejecutando la puerta de enlace de Windows Admin Center en modo de servicio en Windows Server, usa el siguiente comando para descargar el paquete de configuración. Asegúrate de actualizar la dirección de puerta de enlace con la correcta para tu entorno.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Si estás ejecutando la puerta de enlace de Windows Admin Center en la máquina con Windows 10, ejecuta el siguiente comando:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Al expandir el archivo ZIP, verás la siguiente estructura de carpetas:

• InstallJeaFeatures.ps1
• JustEnoughAdministration (directorio)
• Modules (directorio)
  • Microsoft.SME.* (directorios)

Para configurar la compatibilidad con el control de acceso basado en rol en un nodo, debes completar las siguientes acciones:

1. Copia los módulos JustEnoughAdministration y Microsoft.SME.* en el directorio del módulo de PowerShell en el equipo de destino. Normalmente, se encuentra en C:\Program Files\WindowsPowerShell\Modules.
2. Actualiza el archivo InstallJeaFeature.ps1 para que coincida con la configuración deseada para el punto de conexión de RBAC.
3. Ejecuta InstallJeaFeature.ps1 para compilar el recurso de DSC.
4. Implementa la configuración de DSC en todas las máquinas para aplicar la configuración.

En la siguiente sección se explica cómo hacerlo mediante la comunicación remota de PowerShell.

Implementación en varias máquinas

Para implementar la configuración descargada en varias máquinas, tendrás que actualizar el script InstallJeaFeatures.ps1 para incluir los grupos de seguridad adecuados para tu entorno, copiar los archivos en cada uno de los equipos e invocar los scripts de configuración. Puedes usar tus herramientas de automatización preferidas para lograrlo; sin embargo, este artículo se centrará en un enfoque puro basado en PowerShell.

De forma predeterminada, el script de configuración creará grupos de seguridad locales en la máquina para controlar el acceso a cada uno de los roles. Esto es adecuado para máquinas unidas a dominios y grupos de trabajo, pero si vas a realizar la implementación en un entorno solo de dominio, es recomendable asociar directamente un grupo de seguridad de dominio con cada rol. Para actualizar la configuración para usar grupos de seguridad de dominio, abre InstallJeaFeatures.ps1 y aplica los cambios siguientes:

1. Quita los 3 recursos de grupo del archivo:
   1. "Group MS-Readers-Group"
   2. "Group MS-Hyper-V-Administrators-Group"
   3. "Group MS-Administrators-Group"
2. Quitar los 3 recursos de grupo de la propiedad de JeaEndpoint DependsOn
   1. "[Group]MS-Readers-Group"
   2. "[Group]MS-Hyper-V-Administrators-Group"
   3. "[Group]MS-Administrators-Group"
3. Cambia los nombres de grupo de la propiedad de JeaEndpoint RoleDefinitions a los grupos de seguridad que quieras. Por ejemplo, si tienes un grupo de seguridad CONTOSO\MyTrustedAdmins al que se debe asignar acceso al rol Administradores de Windows Admin Center, cambia '$env:COMPUTERNAME\Windows Admin Center Administrators' a 'CONTOSO\MyTrustedAdmins'. Las tres cadenas que necesitas actualizar son:
   1. "$env:COMPUTERNAME\Windows Admin Center Administrators"
   2. "$env:COMPUTERNAME\Windows Admin Center Administrators"
   3. "$env:COMPUTERNAME\Windows Admin Center Administrators"

Nota:

Asegúrate de utilizar grupos de seguridad únicos para cada rol. Se producirá un error en la configuración si se asigna el mismo grupo de seguridad a varios roles.

A continuación, al final del archivo InstallJeaFeatures.ps1, agrega las siguientes líneas de PowerShell a la parte inferior del script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Por último, puedes copiar la carpeta que contiene los módulos, el recurso de DSC y la configuración en cada nodo de destino y ejecutar el script InstallJeaFeature.ps1. Para hacerlo de forma remota desde la estación de trabajo de administración, puedes ejecutar los siguientes comandos:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}