Implemente y administre cuentas de administrador local en toda su flota desde una única política. Primo puede crear sesiones de administración con contraseñas aleatorias o fijas (almacenadas de forma segura en la plataforma), opcionalmente reducir los privilegios de otras cuentas existentes y permitirle realizar operaciones de cuentas detalladas a nivel de dispositivo individual.
soporte del sistema operativo
| macOS | Windows | Linux | iOS / iPadOS | Android |
|---|
| ✅ | ✅ | | | |
Configurar la política
Utilice la política Administración de usuarios para implementar sesiones de administrador en sus dispositivos. Esta función se puede aplicar globalmente o a grupos específicos mediante Grupos de dispositivos.
Próximamente: la capacidad de facilitar la escalada de privilegios (dando acceso temporal de administrador). Mientras tanto, puedes utilizar herramientas como Privileges y MakemeAdmin para estas acciones.
- Habilite la función.
- Defina el nombre de usuario de la sesión de administrador a crear.
- Establecer la contraseña de la cuenta:
- Contraseña aleatoria: generada por dispositivo
- Contraseña fija: idéntica en todos los dispositivos de destino
- Elija si desea ajustar los derechos de los usuarios existentes:
- Predeterminado: sin cambios
- Opcional: reducir privilegios para otras sesiones
Ubicaciones de almacenamiento de contraseñas
- Contraseña aleatoria: almacenada en el panel de cada dispositivo — Equipo > Dispositivos > Panel de dispositivos
- Contraseña fija: almacenada en la configuración de funciones: Perfiles > Perfil relevante > Gestión de cuentas de administrador
Administrar cuentas a nivel de dispositivo
Desde la pestaña Usuarios de un dispositivo, puedes:
- Conceder derechos de administrador
- Quitar derechos de administrador
- Crear una sesión local
- Rotar la contraseña de una sesión existente
Estas acciones permiten una gestión detallada además de la política global basada en perfiles.
Modificar o deshabilitar la política
Después de la activación en un perfil, la política no se puede editar directamente.
- Para actualizarla, deshabilite la política y luego vuelva a habilitarla con nuevas configuraciones.
- Deshabilitar la política detiene su aplicación, pero no elimina la cuenta de administrador ni su contraseña, que permanecen disponibles.
En macOS
Eliminar el acceso de administrador en un dispositivo con un token seguro activo
SecureToken es una característica específica de macOS que actúa como una clave de acceso, permitiendo que una cuenta de usuario active y administre funciones de seguridad críticas como el cifrado FileVault.
Actualmente, no es posible eliminar los derechos de administrador de una cuenta si es la única que tiene un SecureToken en el dispositivo. Estamos trabajando para mejorar esta gestión para permitir la transferencia del SecureToken a otra cuenta, particularmente a la administrada a través de Primo.
En Windows
La política crea una cuenta de administrador local y almacena la contraseña. Las opciones de contraseña (aleatoria o fija) y la reducción de privilegios para otras cuentas funcionan de la misma manera que en macOS.
Casos especiales
Dispositivos objetivo de múltiples políticas de administración de cuentas de administrador
Pueden ocurrir duplicaciones de políticas si activa la política en un perfil global y en un perfil “específico”. En este caso, Primo no gestiona el conflicto: MDM intenta crear el usuario solicitado comprobando únicamente que el nombre de la cuenta no sea idéntico.
Mejores prácticas
- Prefiera contraseñas aleatorias para mejorar la seguridad a escala.
- Documentar las excepciones de macOS SecureToken en los procedimientos internos de TI.
- Evite activar políticas duplicadas en perfiles superpuestos para evitar conflictos.
