Permisos
Descripción general
Esta página describe el modelo de permisos y acceso para este agente. El agente utiliza acceso de solo lectura a los datos de Microsoft Intune y Microsoft Entra ID a través del Microsoft Graph API. Está diseñado para ayudar a solucionar problemas relacionados con dispositivos, como fallas de inscripción, errores de implementación de aplicaciones o inconsistencias de cumplimiento, sin modificar ninguna configuración.
Cómo funciona
El agente se conecta de forma segura a su inquilino utilizando puntos de conexión de Microsoft Graph API para recopilar datos de dispositivos de Intune, perfiles de configuración, asignaciones de políticas y registros de diagnóstico. Analiza esta información para identificar posibles causas de problemas de administración de dispositivos o de inscripción y proporciona recomendaciones para la corrección.
Todas las interacciones siguen estos principios:
Acceso de solo lectura: El agente no modifica, crea ni elimina configuraciones o políticas de dispositivos.
Mínimos privilegios: Solo se conceden los permisos necesarios para leer los datos de dispositivos de Intune.
Transparencia: Todo el acceso a los datos se realiza a través de puntos de conexión documentados de Graph API y puede auditarse dentro de Microsoft Entra.
Roles requeridos en Entra ID
Asigne los siguientes roles a la cuenta de administrador que instala y ejecuta el agente:
Lector de Intune
Proporciona acceso de solo lectura a la información de dispositivos de Intune, configuraciones y datos de cumplimiento.
Lector del directorio
Concede acceso de solo lectura a las relaciones entre usuarios y dispositivos en Entra ID.
Lector de seguridad
Habilita el acceso a datos de cumplimiento de dispositivos y alertas de seguridad con fines de diagnóstico.
Estos roles están alineados con el principio de mínimos privilegios. Ajuste las asignaciones de roles según sea necesario para los requisitos de gobernanza de su organización.
Transparencia en el acceso a los datos
La siguiente tabla describe los datos a los que accede el agente y su propósito.
Inventario y estado del dispositivo
Solo lectura
Para recuperar información del hardware, el sistema operativo y la inscripción para la resolución de problemas.
Políticas de configuración y cumplimiento
Solo lectura
Para analizar las políticas aplicadas e identificar configuraciones incorrectas.
Datos de implementación e instalación de aplicaciones
Solo lectura
Para revisar la asignación de aplicaciones, el estado de entrega y los detalles de fallos.
Registros de diagnóstico y códigos de error
Solo lectura
Para correlacionar eventos de error e identificar las causas raíz.
Asignaciones de usuarios y grupos
Solo lectura
Para mapear relaciones de dispositivos y evaluar la orientación de las políticas.
Manejo de datos:
El agente no modifica, elimina ni exporta datos de clientes fuera del límite del inquilino.
Todo el acceso está limitado al Microsoft Graph API utilizando permisos delegados o de aplicación.
Toda la actividad se registra en los registros de auditoría de Microsoft Entra para transparencia y trazabilidad.
Uso del agente
Al ejecutar el agente, proporcione la entrada requerida para realizar la resolución de problemas de manera efectiva.
Requerido
ID de dispositivo o nombre del dispositivo
"Solucionar dispositivo ABC123"
Opcional
Descripción del problema
"La aplicación no se instala"
Opcional
Código de error o mensaje
"0x87D1041C"
Opcional
Hora de ocurrencia del problema
"2025-01-15T09:00Z"
Consultas de ejemplo
"Solucionar dispositivo ABC123""¿Por qué no se inscribe el dispositivo DESKTOP-XYZ?""Analizar problemas de cumplimiento para el portátil de john.doe""¿Por qué falla la implementación de la aplicación en el dispositivo DEV456?"
Asegúrese de que la cuenta de administrador que ejecuta el agente tenga todos los roles requeridos asignados antes de usarlo.
Consideraciones de seguridad y cumplimiento
Toda la comunicación con Microsoft Graph está cifrada mediante HTTPS y protegida por los servicios de identidad de Microsoft.
El agente se adhiere a los cero confianza y mínimos privilegios de Microsoft.
El acceso puede revisarse o revocarse en cualquier momento a través de asignaciones de roles en Entra ID o gestión del consentimiento de la aplicación.
Siguientes pasos
Verifique que la cuenta de administrador tenga todos los roles requeridos asignados.
Revise los datos de cumplimiento e inscripción de dispositivos de Intune para garantizar la visibilidad adecuada antes de la resolución de problemas.
Última actualización
¿Te fue útil?