Compartir vía

Administración de la directiva LAPS de Windows con Microsoft Intune

  • Artículo

Cuando esté listo para administrar la solución de contraseñas de administrador local de Windows (Windows LAPS) en los dispositivos Windows que administra con Microsoft Intune, la información de este artículo puede ayudarle a usar el Centro de administración de Intune para:

  • Cree y asigne la directiva LAPS de Intune a los dispositivos.
  • Ver los detalles de la cuenta de administrador local de un dispositivo.
  • Gire manualmente la contraseña de la cuenta administrada.
  • Use informes sobre la directiva LAPS.

Antes de crear directivas, familiarícese con la información de compatibilidad de Microsoft Intune con Windows LAPS, que incluye:

  • Información general sobre las funcionalidades y la directiva de WINDOWS LAPS de Intune.
  • Requisitos previos para usar directivas de Intune para LAPS.
  • Los permisos de control de administración basado en rol (RBAC) que su cuenta necesita para administrar la directiva LAPS.
  • Preguntas más frecuentes que pueden proporcionar información sobre cómo configurar y usar la directiva LAPS de Intune.

Se aplica a:

  • Windows 10
  • Windows 11

Acerca de la directiva LAPS de Intune

Intune proporciona compatibilidad para configurar Windows LAPS en dispositivos a través del perfil de solución de contraseña de administrador local (Windows LAPS), disponible a través de directivas de seguridad de punto de conexión para la protección de cuentas.

Las directivas de Intune administran LAPS mediante el proveedor de servicios de configuración (CSP) de Windows LAPS. Las configuraciones de CSP de Windows LAPS tienen prioridad y sobrescriben las configuraciones existentes de otros orígenes de LAPS, como GPO o la herramienta LAPS de Microsoft heredada .

Windows LAPS permite la administración de una sola cuenta de administrador local por dispositivo. La directiva de Intune puede especificar a qué cuenta de administrador local se aplica mediante el uso de la configuración de directiva Nombre de cuenta de administrador. Si el nombre de cuenta especificado en la directiva no está presente en el dispositivo, no se administra ninguna cuenta. Sin embargo, cuando el nombre de la cuenta de administrador se deja en blanco, la directiva tiene como valor predeterminado la cuenta de administrador local integrada de dispositivos que se identifica mediante su conocido identificador relativo (RID).

Nota:

Asegúrese de que se cumplen los requisitos previos para que Intune admita Windows LAPS en el inquilino antes de crear directivas.

Las directivas LAPS de Intune no crean nuevas cuentas ni contraseñas. En su lugar, administran una cuenta que ya está en el dispositivo.

Configure y asigne las directivas LAPS cuidadosamente. El CSP de Windows LAPS admite una única configuración para cada configuración de LAPS en un dispositivo. Los dispositivos que reciben varias directivas de Intune que incluyen configuraciones en conflicto pueden no procesar la directiva. Los conflictos también pueden impedir la copia de seguridad de la cuenta de administrador local administrada y la contraseña en el directorio de inquilinos.

Para ayudar a reducir posibles conflictos, se recomienda asignar una sola directiva LAPS a cada dispositivo a través de grupos de dispositivos y no a través de grupos de usuarios. Aunque la directiva LAPS admite asignaciones de grupos de usuarios, puede dar lugar a un ciclo de cambio de configuraciones de LAPS cada vez que un usuario diferente inicia sesión en un dispositivo. Las directivas que cambian con frecuencia pueden introducir conflictos, una falta de cumplimiento de los requisitos del dispositivo y crear confusión sobre qué cuenta de administrador local de un dispositivo se está administrando actualmente.

Creación de una directiva LAPS

Importante

Asegúrese de que ha habilitado LAPS en Microsoft Entra, como se describe en la documentación Habilitación de Windows LAPS con Microsoft Entra ID .

Para crear o administrar la directiva LAPS, la cuenta debe tener derechos aplicables de la categoría Línea de base de seguridad . De forma predeterminada, estos permisos se incluyen en el rol integrado Endpoint Security Manager. Para usar roles personalizados, asegúrese de que el rol personalizado incluya los derechos de la categoría Líneas base de seguridad . Consulte Controles de acceso basados en roles para LAPS.

Antes de crear una directiva, puede revisar los detalles sobre la configuración disponible en la documentación de CSP de WINDOWS LAPS .

  1. Inicie sesión en el Centro de administración de Microsoft Intune, vaya aProtección de la cuenta de seguridad> de punto de conexión y, a continuación, seleccione Crear directiva.

    Captura de pantalla que muestra dónde en el centro de administración se crea una directiva LAPS.

    Establezca la Plataforma en Windows 10 y versiones posteriores, Profile to Local admin password solution (Windows LAPS) (Solución de contraseña de administrador local (Windows LAPS) y, a continuación, seleccione Crear.

  2. En Conceptos básicos, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que pueda identificarlos fácilmente más adelante.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.

  3. En Configuración, Configure a choice for Backup Directory to define el tipo de Directorio que se usará para realizar una copia de seguridad de la cuenta de administrador local. También puede optar por no hacer una copia de seguridad de una cuenta y una contraseña. El tipo de Directorio también determina qué opciones adicionales están disponibles en esta directiva.

    Captura de pantalla que muestra las opciones para la configuración del directorio de copia de seguridad.

    Importante

    Al configurar una directiva, tenga en cuenta que el tipo de directorio de copia de seguridad de la directiva debe ser compatible con el tipo de combinación del dispositivo al que se asigna la directiva. Por ejemplo, si establece el directorio en Active Directory y el dispositivo no está unido a un dominio (pero es miembro de Microsoft Entra), el dispositivo puede aplicar la configuración de directiva de Intune sin errores, pero LAPS en el dispositivo no podrá usar correctamente esa configuración para realizar una copia de seguridad de la cuenta.

    Después de configurar El directorio de copia de seguridad, revise y configure los valores disponibles para cumplir los requisitos de su organización.

  4. En la página Etiquetas de ámbito, seleccione las etiquetas de ámbito que desee aplicar y, a continuación, seleccione Siguiente.

  5. En Asignaciones, seleccione los grupos para recibir esta directiva. Se recomienda asignar la directiva LAPS a grupos de dispositivos. Las directivas asignadas a grupos de usuarios siguen a un usuario de dispositivo a dispositivo. Cuando el usuario de un dispositivo cambia, se puede aplicar una nueva directiva al dispositivo e introducir un comportamiento incoherente, incluida la cuenta de la que se realiza la copia de seguridad del dispositivo o cuándo se gira la contraseña de las cuentas administradas a continuación.

    Nota:

    Al igual que con todas las directivas de Intune, cuando se aplica una nueva directiva a un dispositivo, Intune intenta notificar a ese dispositivo para proteger y procesar la directiva.

    Hasta que un dispositivo se compruebe correctamente con Intune y procese correctamente su directiva de LAPS, los datos sobre su cuenta de administrador local administrada no estarán disponibles para ver ni administrar desde el centro de administración.

    Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

  6. En Revisar y crear, revise la configuración y, a continuación, seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de directivas.

Visualización del estado de las acciones del dispositivo

Cuando la cuenta tiene permisos equivalentes a los permisos de las líneas base de seguridad que conceden derechos a todas las plantillas de directiva de la carga de trabajo Seguridad del punto de conexión, puede usar el Centro de administración de Intune para ver el estado de las acciones de dispositivo que se han solicitado para el dispositivo.

Para obtener más información, vea Controles de acceso basados en roles para LAPS.

  1. En el Centro de administración de Microsoft Intune, vaya a Dispositivos>Todos los dispositivos y seleccione un dispositivo que tenga una directiva LAPS que realice una copia de seguridad de una cuenta de administrador local. Intune muestra el panel Información general de los dispositivos.

  2. En el panel Información general del dispositivo, puede ver el estado acciones del dispositivo. Se muestran las acciones solicitadas anteriormente y las acciones pendientes, incluida la hora de la solicitud y si se produjo un error o si la acción se realizó correctamente. En la captura de pantalla de ejemplo siguiente, un dispositivo ha girado correctamente la contraseña de la cuenta de administrador local.

    Captura de pantalla del estado de las acciones del dispositivo para un dispositivo, con una acción completada y una acción actual pendiente.

  3. Al seleccionar una acción de la lista, se abre el panel Estado de la acción Dispositivo , que puede mostrar detalles adicionales sobre esa acción.

Ver los detalles de la cuenta y la contraseña

Para ver los detalles de la cuenta y la contraseña, una cuenta debe tener uno de los siguientes permisos de Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Use los métodos siguientes para conceder a las cuentas estos permisos:

Cree y asigne un rol personalizado en Microsoft Entra ID que conceda estos permisos. Consulte Creación y asignación de un rol personalizado en Microsoft Entra ID en la documentación de Microsoft Entra.

Para obtener más información, vea Controles de acceso basados en roles para LAPS.

  1. En el Centro de administración de Microsoft Intune, vaya a Dispositivos>Todos los dispositivos> seleccione un dispositivo Windows para abrir su panel Información general.

    En el panel de información general, puede ver el estado de las acciones de dispositivo de los dispositivos. El estado muestra acciones actuales y anteriores, como la rotación de contraseñas.

  2. En el panel Información general de los dispositivos, debajo de Monitor , seleccione Contraseña de administrador local. Si la cuenta tiene permisos suficientes, se abre el panel Contraseña de administrador local para el dispositivo, que es la misma vista que está disponible en Azure Portal.

    Captura de pantalla que muestra el panel de contraseñas de administrador local para un dispositivo Windows.

    La siguiente información se puede ver desde el centro de administración. Sin embargo, la contraseña de administrador local solo se puede ver cuando se hizo una copia de seguridad de la cuenta en Microsoft Entra. No se puede ver para una cuenta de la que se realiza una copia de seguridad en una instancia local de Active Directory (Windows Server Active Directory):

    • Nombre de cuenta : el nombre de la cuenta de administrador local de la que se realizó una copia de seguridad desde el dispositivo.
    • Id. de seguridad : el SID conocido de la cuenta de la que se realiza una copia de seguridad desde el dispositivo.
    • Contraseña de administrador local : oculta de forma predeterminada. Si su cuenta tiene permiso, puede seleccionar Mostrar para revelar la contraseña. A continuación, puede usar la opción Copiar para copiar la contraseña en el Portapapeles. Esta información no está disponible para los dispositivos que realizan copias de seguridad en una instancia local de Active Directory.
    • Última rotación de contraseñas : en UTC, la fecha y hora en que la directiva cambió o giró la contraseña por última vez.
    • Siguiente rotación de contraseñas : en UTC, la siguiente fecha y hora en que se girará la contraseña por directiva.

Las siguientes son consideraciones para ver una cuenta de dispositivos y la información de contraseña:

  • Recuperar (ver) la contraseña de una cuenta de administrador local desencadena un evento de auditoría.

  • No se pueden ver los detalles de contraseña de los siguientes dispositivos:

    • Dispositivos de los que se ha realizado una copia de seguridad de su cuenta de administrador local en una instancia local de Active Directory
    • Dispositivos que se establecen para usar Active Directory para realizar una copia de seguridad de la contraseña de la cuenta.

Rotación manual de contraseñas

La directiva LAPS incluye una programación para rotar automáticamente las contraseñas de cuenta. Además de una rotación programada, puede usar la acción de dispositivo de Intune Girar contraseña de administrador local para rotar manualmente una contraseña de dispositivos independientemente de la programación de rotación establecida por la directiva laPS de dispositivos.

Para usar esta acción de dispositivo, la cuenta debe tener los tres permisos de Intune siguientes:

  • Dispositivos administrados: Lectura
  • Organización: Leer
  • Tareas remotas: Rotación de la contraseña de administrador local

Consulte Controles de acceso basados en roles para LAPS.

Para girar una contraseña

  1. En el Centro de administración de Microsoft Intune, vaya a Dispositivos>Todos los dispositivos y seleccione el dispositivo Windows con la cuenta que desea rotar.

  2. Al ver los detalles del dispositivo, expanda los puntos suspensivos (...) en el lado derecho de la barra de menús para mostrar las opciones disponibles y, a continuación, seleccione Girar contraseña de administrador local.

    Captura de pantalla de las opciones de menú expandido para las acciones del dispositivo.

  3. Al seleccionar Rotar contraseña de administrador local, Intune muestra una advertencia que requiere confirmación antes de girar la contraseña.

    Después de confirmar la intención de rotar la contraseña, Intune inicia el proceso, que puede tardar unos minutos en completarse. Durante este tiempo, el panel de detalles del dispositivo muestra un banner y un estado acciones de dispositivo que indican que la acción es Pendiente.

Después de una rotación correcta, la confirmación será visible en el estado Acciones del dispositivo como Completado.

Las siguientes son consideraciones para la rotación manual de contraseñas:

  • La acción Rotar dispositivo de contraseña de administrador local está disponible para todos los dispositivos Windows, pero cualquier dispositivo que no haya realizado correctamente una copia de seguridad de su cuenta y los datos de contraseña no puede completar una solicitud de rotación.

  • Cada intento de rotación manual da como resultado un evento de auditoría. Las rotaciones de contraseñas programadas también registran un evento de auditoría.

  • Cuando se gira manualmente una contraseña, se restablece la hora de la siguiente rotación de contraseña programada. La hora de la siguiente rotación programada se administra a través de la configuración PasswordAgeDays de la directiva LAPS.

    Así funciona: un dispositivo recibe una directiva el 1 de marzo, que establece PasswordAgeDays en 10 días. El resultado es que el dispositivo girará automáticamente su contraseña después de 10 días, el 11 de marzo. El 5 de marzo, un administrador gira manualmente la contraseña del dispositivo y la acción que restablece la fecha de inicio de PasswordAgeDays al 5 de marzo. Como resultado, el dispositivo ahora girará automáticamente su contraseña 10 días después, el 15 de marzo.

  • En el caso de los dispositivos unidos a Microsoft Entra, el dispositivo debe estar en línea en el momento en que se solicita la rotación manual. Si el dispositivo no está en línea en el momento de la solicitud, se produce un error.

  • La rotación de contraseñas no se admite como acción masiva. Solo puede girar un único dispositivo a la vez.

Evitar conflictos de directivas

Los detalles siguientes pueden ayudarle a evitar conflictos y comprender el comportamiento esperado de los dispositivos administrados por la directiva LAPS.

Cuando a un dispositivo con una directiva correcta se le asignan dos o más directivas que introducen un conflicto:

  • La configuración que estaba en uso en el dispositivo permanece en el dispositivo en el último valor establecido. Ambas directivas, la original y la nueva, informan de que están en conflicto.
  • Para resolver el conflicto, quite las asignaciones de directivas hasta que no se aplique la directiva en conflicto o vuelva a configurar las directivas aplicables para establecer la misma configuración, quitando el conflicto.

Cuando un dispositivo que no tiene una directiva LAPS recibe dos directivas en conflicto al mismo tiempo:

  • La configuración no se envía al dispositivo y ambas directivas se notifican como conflictos.
  • Mientras se mantiene un conflicto, la configuración de las directivas no se aplica al dispositivo.

Para resolver conflictos, debe quitar las asignaciones de directivas del dispositivo o volver a configurar la configuración en las directivas aplicables hasta que no permanezcan más conflictos.

Pasos siguientes