Compartir a través de

Compatibilidad con elevaciones de archivos aprobadas para La administración de privilegios de punto de conexión

  • Artículo

Nota:

Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

Con Administración con privilegios para puntos de conexión de Microsoft Intune (EPM), los usuarios de la organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.

En este artículo se explica cómo usar el flujo de trabajo aprobado de soporte técnico con Endpoint Privilege Management.

Las elevaciones aprobadas de soporte le permiten requerir aprobación antes de permitir una elevación. Puede usar la funcionalidad aprobada de soporte técnico como parte de una regla de elevación o como comportamiento de cliente predeterminado. Las solicitudes que se envían requieren Intune administradores para aprobar la solicitud caso por caso.

Cuando un usuario intenta ejecutar un archivo en un contexto con privilegios elevados y ese archivo se administra mediante el tipo de elevación de archivo aprobado de soporte técnico, Intune muestra un mensaje al usuario para enviar una solicitud de elevación. A continuación, la solicitud de elevación se envía a Intune para que la revise un administrador de Intune. Cuando un administrador aprueba la solicitud de elevación, se notifica al usuario del dispositivo y, a continuación, se puede ejecutar el archivo en el contexto con privilegios elevados. Para aprobar las solicitudes, la cuenta del administrador de Intune debe tener permisos adicionales específicos para la tarea de revisión y aprobación.

Se aplica a:

  • Windows 10
  • Windows 11

Acerca de las elevaciones aprobadas de soporte técnico

Use directivas de EPM con el tipo de elevación aprobado de soporte técnico para los archivos que necesitan la aprobación de un administrador antes de que puedan ejecutarse con mayor acceso. Son similares a otras reglas de elevación de EPM, pero tienen algunas diferencias que necesitan un planeamiento adicional.

Sugerencia

Para revisar los tres tipos de elevación y otras opciones de directiva, consulte Directiva de reglas de elevación de Windows.

Los temas siguientes son los detalles para planear y esperar cuando se usa el tipo de elevación aprobado por soporte técnico:

  • Solicitudes de elevación

    Cuando un usuario ejecuta un archivo con la opción de clic con el botón derecho Ejecutar con acceso elevado y ese archivo se administra mediante una directiva con una regla de elevación aprobada de soporte técnico, Intune muestra al usuario un mensaje para enviar una solicitud de elevación al centro de administración de Intune.

    • El símbolo del sistema permite al usuario especificar un motivo empresarial para la elevación. Este motivo forma parte de la solicitud de elevación, que también contiene el nombre, el dispositivo y el nombre de archivo del usuario.

    • Cuando el usuario envía la solicitud, se dirige al centro de administración de Intune donde un administrador de Intune con permisos para administrar estas solicitudes decide aprobarla o denegarla.

    En la imagen siguiente se muestra un ejemplo del símbolo del sistema de elevación de archivos que experimentan los usuarios:

    Captura de pantalla que muestra un ejemplo del símbolo del sistema de solicitud de elevación del usuario.

  • Revisión de solicitudes de elevación

    Un administrador de Intune debe tener derechos de visualización y administración para el permiso solicitudes de elevación de Administración de privilegios de punto de conexión para poder revisar y aprobar solicitudes de elevación.

    Para buscar y responder a las solicitudes, estos administradores usan la pestaña Solicitudes de elevación de la página Administración de privilegios de punto de conexión en el Centro de administración. Dado que Intune no tiene una manera de notificar a los administradores sobre nuevas solicitudes de elevación, los administradores deben planear comprobar la pestaña con regularidad para ver si hay solicitudes pendientes.

    Los administradores que pueden administrar solicitudes de elevación pueden aceptar o rechazar una solicitud. También pueden proporcionar una razón para su decisión. Este motivo pasa a formar parte del registro de auditoría de la solicitud.

    • Para las aprobaciones: cuando un administrador aprueba una solicitud de elevación, Intune envía una directiva al dispositivo donde el usuario envió la solicitud, lo que permite a ese usuario ejecutar el archivo con privilegios elevados durante las próximas 24 horas. Este período comienza en el momento en que el administrador aprueba la solicitud. No hay compatibilidad actual con un período de tiempo personalizado o la cancelación de la elevación aprobada antes de que expire el período de 24 horas.

      Una vez aprobada la solicitud, Intune notifica al dispositivo e inicia una sincronización. Esto puede tardar algún tiempo. Intune usa una notificación en el dispositivo para alertar al usuario de que ahora puede ejecutar correctamente el archivo con la opción Ejecutar con acceso elevado haga clic con el botón derecho.

    • Para denegaciones: Intune no notifica al usuario. El administrador debe notificar manualmente al usuario que se denegó su solicitud.

  • Auditoría de solicitudes de elevación

    Un administrador de Intune que tenga permisos suficientes puede ver información sobre la directiva de EPM, como la creación, edición y control de solicitudes de elevación en los registros de auditoría de Intune, disponibles en Registros de auditoría de administración> deinquilinos.

    En la captura de pantalla siguiente se muestra un ejemplo del registro de auditoría para la duplicación de una directiva de elevación aprobada por soporte técnico, denominada originalmente Directiva de prueba: compatibilidad aprobada:

    Imagen que muestra una entrada de registro de auditoría para una directiva de reglas de elevación aprobadas de soporte técnico.

Permisos de RBAC para solicitudes de elevación

Para proporcionar supervisión de las aprobaciones de elevación, solo los administradores de Intune que tienen los siguientes permisos de control de acceso basado en rol (RBAC) en Intune pueden ver y administrar solicitudes de elevación:

  • Solicitudes de elevación de Administración de privilegios de punto de conexión : este permiso es necesario para trabajar con solicitudes de elevación enviadas por los usuarios para su aprobación y admite los siguientes derechos:

    • Visualización de solicitudes de elevación
    • Modificación de solicitudes de elevación

Para obtener más información sobre todos los permisos para administrar EPM, consulte Controles de acceso basado en rol para la administración de privilegios de punto de conexión.

Creación de una directiva para la compatibilidad con elevaciones de archivos aprobadas

Para crear una directiva de elevación aprobada por el soporte técnico, use el mismo flujo de trabajo para crear otras directivas de regla de elevación de EPM. Consulte Directiva de reglas de elevación de Windows en Configurar directivas para la administración de privilegios de punto de conexión.

Administración de solicitudes de elevación pendientes

Use el procedimiento siguiente como guía para revisar y administrar solicitudes de elevación.

  1. Inicie sesión en el centro de administración de Microsoft Intune y vaya a la pestañaSolicitudes de elevación de laadministración de> privilegios de punto de conexión de seguridad> del punto de conexión.

  2. La pestaña Solicitudes de elevación muestra solicitudes y solicitudes pendientesde los últimos 30 días. Al seleccionar una fila se abre que entradas propiedades de solicitud de elevación, donde puede revisar la solicitud en detalle.

  3. Los detalles de la solicitud de elevación incluyen la siguiente información:

    1. Detalles generales:

      • Archivo : nombre del archivo solicitado para la elevación.
      • Publicador : nombre del publicador que firmó el archivo solicitado para la elevación. El nombre del publicador es un vínculo que recupera la cadena de certificados del archivo para su descarga.
      • Dispositivo : el dispositivo desde el que se solicitó la elevación. El nombre del dispositivo es un vínculo que abre el objeto de dispositivo en el centro de administración.
      • Intune compatible: estado de cumplimiento Intune del dispositivo.

    2. Detalles de la solicitud:

      • Estado : estado de la solicitud. Las solicitudes comienzan como Pendientes y pueden ser aprobadas o denegadas por un administrador.
      • Por : la cuenta del administrador que aprobó o denegó la solicitud.
      • Última modificación : la última vez que se modificó la entrada de solicitud.
      • Justificación del usuario : la justificación proporcionada por el usuario para la solicitud de elevación.
      • Expiración de la aprobación : el tiempo que expira la aprobación. Hasta que se alcanza este tiempo de expiración, se permite la elevación del archivo aprobado.
      • motivo de Administración: justificación proporcionada por el administrador cuando se completa una aprobación o denegación.

    3. Información de archivo : detalles de los metadatos del archivo que se solicitó para su aprobación.

    Imagen que muestra los detalles de una solicitud de elevación.

  4. Cuando el inquilino tiene licencia para Microsoft Security Copilot, tiene acceso para usar la opción Analizar con Copilot, que se encuentra en la esquina superior derecha del panel de propiedades de la solicitud de elevación. Puede usar esta opción para que Security Copilot trabaje con Microsoft Defender para punto de conexión para evaluar el archivo en la solicitud de elevación antes de aprobarlo o denegarlo.

  5. Después de que un administrador revise una solicitud, puede seleccionar Aprobar o Denegar. Con cualquiera de las dos selecciones, se les presenta el cuadro de diálogo de justificación , donde pueden proporcionar un motivo con detalle sobre su decisión. Proporcionar un motivo es opcional. A continuación se muestra el cuadro de diálogo de aprobación:

    • Para aprobaciones : el administrador completa el cuadro de diálogo de justificación y, a continuación, selecciona para aprobar la solicitud. Intune envía la aprobación al dispositivo y se notifica al usuario final mediante una notificación del sistema que puede elevar la aplicación.

      El usuario final ahora puede completar la actividad de elevación mediante el menú Ejecutar con acceso con privilegios elevados del archivo.

      Imagen que muestra el cuadro de diálogo de aprobación de elevación con la justificación de aprobación de ejemplo proporcionada como motivo

    • Para denegaciones : el administrador completa el cuadro de diálogo de justificación y, a continuación, selecciona para denegar la solicitud.

      Cuando un administrador deniega una solicitud de aprobación, la solicitud de elevación no se aprueba. Intune no envía una respuesta al dispositivo y no se notifica al usuario.

      Imagen que muestra el cuadro de diálogo de denegación de elevación sin ninguna justificación de aprobación de ejemplo proporcionada

Nota:

Una solicitud de elevación contiene toda la información necesaria para crear una regla de elevación, incluida la cadena de certificados completa . Las elevaciones aprobadas de soporte también se muestran en los datos de uso de elevación como cualquier otra solicitud de elevación.

Uso de Microsoft Security Copilot para analizar solicitudes de elevación de archivos

Con Endpoint Privilege Management (EPM) más Microsoft Security Copilot, puede usar Security Copilot para reducir el trabajo necesario para identificar e investigar los archivos de una solicitud de elevación de archivos antes de elegir aprobar o denegar la solicitud. La información Security Copilot usa para ayudarle a evaluar los archivos y establecer la confianza se recopila y evalúa a través de Inteligencia contra amenazas de Microsoft Defender (TI de Defender).

Por ejemplo, al ver las propiedades de archivo de una solicitud de elevación, puede seleccionar la opción Analizar con Copilot para que Security Copilot proporcione detalles que a menudo no son aparentes, entre los que se incluyen:

  • Reputación de las aplicaciones
  • Información sobre la confianza del publicador
  • Puntuación de riesgo para el usuario que solicita la elevación
  • Puntuación de riesgo del dispositivo desde el que se envió la elevación.

Requisitos previos para usar Security Copilot con EPM

Para usar Microsoft Security Copilot con Endpoint Privilege Management, el inquilino debe tener licencia para usar Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements). Este requisito se suma a los requisitos previos para usar la administración de privilegios de punto de conexión.

Si el inquilino ya tiene licencia para EPM y para Security Copilot, no se requiere ninguna licencia o configuración adicional.

Flujo de trabajo para analizar solicitudes de archivo

Puede hacer que Microsoft Security Copilot analice las propiedades de un archivo mientras revisa una solicitud de elevación de archivos:

  1. En el centro de administración de Microsoft Intune, vaya a Endpoint security>Endpoint Privilege Management y seleccione la pestaña Solicitudes de elevación*.

  2. En Solicitudes de elevación, seleccione el nombre de una solicitud de elevación para abrir el panel Propiedades de la solicitud de elevación , donde puede revisar los detalles de esos archivos.

  3. Para dirigir Security Copilot para echar un vistazo más de cerca al archivo, seleccione Analizar con Copilot en el panel Propiedades de la solicitud de elevación. Cuando se selecciona, Intune crea una solicitud de Copilot cerrada basada en el hash de archivos. Este símbolo del sistema usa Microsoft Defender para punto de conexión para investigar el archivo. No se admiten solicitudes personalizadas o abiertas para el análisis de archivos.

  4. Una vez analizado el archivo, los resultados se devuelven al centro de administración, donde puede revisar los detalles de los archivos. Puede usar esta información detallada para tomar una decisión más informada de aprobar o denegar la solicitud de elevación.

Ejemplo: Las siguientes imágenes muestran la ruta de acceso y los resultados de un administrador mediante el Intune la ruta de acceso del centro de administración para buscar y seleccionar una solicitud de elevación de archivos enviada por un usuario. La solicitud es un archivo denominado InstallPrinter.msi. Cuando se selecciona el archivo, sus propiedades de solicitud de elevación se abren:

Captura de pantalla que muestra la ruta de acceso y la ubicación de la opción Analizar con Copilot.

Cuando el administrador revisa el archivo, observa que el archivo tiene un publicador desconocido. Para comprobar que este archivo es legítimo, usan la opción Analizar con Copilot de las propiedades de solicitud de elevación para que Copilot eche un vistazo más de cerca.

Copilot revisa el archivo e informa de los siguientes detalles:

Captura de pantalla que muestra un ejemplo de resultados del uso de la opción Analizar con Copilot.

La imagen anterior muestra una captura de pantalla del informe de Copilot sobre la reputación de ese archivo InstallPrinter.msi . En este ejemplo, el archivo se identifica como malintencionado y no debe aprobarse para ejecutarse en un contexto con privilegios elevados. Los resultados también incluyen información adicional y vínculos a referencias para el archivo malintencionado que se identificó.

Pasos siguientes