Permisos
Descripción general
Esta página describe el modelo de permisos y acceso para este agente. El agente utiliza acceso de solo lectura a los datos de Microsoft Intune y Microsoft Entra ID a través del Microsoft Graph API y complementos de Security Copilot. Está diseñado para analizar la configuración, las asignaciones de dispositivos y el cumplimiento de políticas sin realizar cambios en su entorno.
Cómo funciona
El agente se conecta de forma segura a su tenant mediante los endpoints de Microsoft Graph API para recuperar datos de Intune y Entra ID. Procesa esta información para evaluar la salud de la configuración, la cobertura de asignaciones y la alineación de cumplimiento.
Todas las interacciones siguen estos principios:
Acceso de solo lectura: El agente no puede modificar, crear ni eliminar configuraciones.
Privilegio mínimo: Solo se utilizan los permisos mínimos necesarios para leer datos de Intune y Entra ID.
Transparencia: Todo el acceso a los datos se realiza a través de endpoints documentados de Graph API y puede auditarse en Microsoft Entra.
Roles requeridos en Entra ID
Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:
Lector de Intune
Proporciona acceso de solo lectura a la configuración, el cumplimiento y los datos de dispositivos de Intune.
Lector del directorio
Otorga acceso de solo lectura a usuarios, grupos e información del directorio de Entra ID.
Lector de seguridad
Permite la visibilidad de conocimientos e informes de seguridad sin derechos de modificación.
Estos roles siguen el principio de menor privilegio. Ajústelos según las políticas de seguridad y gobierno de su organización.
Transparencia en el acceso a datos
La siguiente tabla describe qué datos puede acceder el agente y con qué propósito.
Perfiles de configuración y políticas de Intune
Solo lectura
Para analizar configuraciones de implementación, ajustes de cumplimiento y el estado de las políticas.
Asignaciones de dispositivos y usuarios
Solo lectura
Para generar conocimientos sobre segmentación, cumplimiento y cobertura de configuración.
Datos del directorio de Entra ID
Solo lectura
Para correlacionar usuarios, grupos y relaciones de dispositivos para informes.
Información y alertas de seguridad
Solo lectura
Para mejorar la visibilidad de posibles errores de configuración o riesgos de cumplimiento.
Manejo de datos:
El agente no modifica ni exporta datos del cliente fuera del límite del inquilino.
Todo el acceso a los datos está limitado a Microsoft Graph API utilizando permisos delegados o de aplicación.
Toda la actividad de acceso se registra en registros de auditoría de Microsoft Entra para trazabilidad y cumplimiento.
Configuración del agente
El agente admite parámetros configurables para ajustar el alcance y la profundidad del análisis.
Alcance
dispositivos, políticas, asignaciones
Determina qué áreas de Intune se incluyen en el análisis.
Modo
rápido, estándar, profundo
Define la profundidad del análisis y las compensaciones de rendimiento.
• rápido — Visión general básica de las configuraciones.
• estándar — Análisis equilibrado con la mayoría de métricas (recomendado).
• profundo — Inspección detallada con informes ampliados y comprobaciones cruzadas.
Asegúrese de que todas las funciones requeridas estén asignadas a la cuenta de administrador antes de ejecutar el agente.
Consideraciones de seguridad y cumplimiento
Toda la comunicación con Microsoft Graph está cifrada mediante HTTPS y protegida por los servicios de identidad de Microsoft.
El agente se adhiere a los principios de confianza cero y privilegio mínimo de Microsoft.
El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles de Entra ID o gestión de consentimiento de aplicaciones.
Próximos pasos
Verifique que la cuenta de administrador tenga todos los roles requeridos asignados.
Revise las políticas de menor privilegio y asignación de roles de su organización.
Última actualización
¿Te fue útil?