¿Qué es Windows LAPS?

  • Artículo

Solución de contraseñas de administrador local de Windows (LAPS de Windows) es una característica de Windows que administra automáticamente y realiza una copia de seguridad de la contraseña de una cuenta de administrador local en los dispositivos unidos a Microsoft Entra o unidos a Windows Server Active Directory. También puede usar Windows LAPS para administrar y hacer copias de seguridad automáticas de la contraseña de la cuenta del Modo de restauración de servicios de directorio (DSRM) en los controladores de dominio de Windows Server Active Directory. Un administrador autorizado puede recuperar la contraseña de DSRM y usarla.

Plataformas compatibles con Windows LAPS

LAPS para Windows ya está disponible en las siguientes plataformas de sistema operativo con la actualización especificada o una versión posterior instalada:

Todas las ediciones compatibles de las plataformas anteriores se han actualizado con Windows LAPS, incluidas las ediciones LTSC. La introducción de la característica LAPS de Windows no modifica de ninguna manera las directivas estándar del ciclo de vida de los productos de Microsoft.

Windows LAPS y Microsoft Entra ID

Windows LAPS con Microsoft Entra ID y el soporte técnico de Microsoft Intune ahora está en disponibilidad general a partir del 23 de octubre de 2023. Para obtener más información, consulte Solución de contraseñas de administrador local con Microsoft Entra ID ahora disponible con carácter general y Solución de contraseñas de administrador local en Microsoft Entra ID.

Ventajas de usar Windows LAPS

Use Windows LAPS para rotar y administrar regularmente las contraseñas de la cuenta de administrador local y obtener estas ventajas:

  • Protección contra ataques Pass-the-Hash y lateral-transversal
  • Seguridad mejorada para escenarios remotos del departamento de soporte técnico
  • Capacidad de iniciar sesión y recuperar dispositivos que, de lo contrario, no son accesibles
  • Un modelo de seguridad específico (listas de control de acceso y cifrado de contraseña opcional) para proteger las contraseñas almacenadas en Windows Server Active Directory
  • Soporte para el modelo de control de acceso basado en roles de Entra para proteger las contraseñas almacenadas en Microsoft Entra ID

Vídeos informativos

Los vídeos siguientes ofrecen una manera informativa de obtener más información sobre la característica LAPS de Windows.

Presentación del despegue técnico de Windows (noviembre de 2022):

Discusión técnica de Windows (agosto de 2023):

Escenarios clave de Windows LAPS

Puede usar Windows LAPS para varios escenarios principales:

  • Copia de seguridad de contraseñas de cuenta de administrador local en Microsoft Entra ID (para dispositivos unidos a Microsoft Entra)

  • Hacer una copia de seguridad de las contraseñas de cuenta de administrador local para Windows Server Active Directory (para clientes y servidores unidos a Windows Server Active Directory)

  • Hacer una copia de seguridad de las contraseñas de cuenta de DSRM en Windows Server Active Directory (para controladores de dominio de Windows Server Active Directory)

  • Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Windows Server Active Directory mediante Microsoft LAPS heredado

En cada escenario puede aplicar diferentes configuraciones de directiva.

Descripción de las restricciones de estado de unión a dispositivos

Si un dispositivo está unido a Microsoft Entra ID o Windows Server Active Directory determina cómo puede usar Windows LAPS.

Los dispositivos unidos solo a Microsoft Entra ID solo pueden realizar copias de seguridad de contraseñas en Microsoft Entra ID.

Los dispositivos unidos solo a Windows Server Active Directory pueden realizar copias de seguridad de contraseñas solo en Windows Server Active Directory.

Los dispositivos unidos híbridos (unidos a Microsoft Entra ID y Windows Server Active Directory) pueden realizar copias de seguridad de sus contraseñas en Microsoft Entra ID o en Windows Server Active Directory. No se pueden realizar copias de seguridad de contraseñas en Microsoft Entra ID y en Windows Server Active Directory.

Windows LAPS no admite que se unan clientes al área de trabajo de Microsoft Entra.

Establecer la directiva de Windows LAPS

Para configurar y administrar la directiva para la implementación de Windows LAPS tiene varias opciones:

Administrar y supervisar Windows LAPS

También tiene varias opciones para administrar y supervisar Windows LAPS.

Entre las opciones para Windows se incluyen:

  • Cuadro de diálogo Propiedades de usuarios y equipos de Windows Server Active Directory
  • Un canal de registro de eventos dedicado
  • Un módulo Windows PowerShell específico para Windows LAPS

Las soluciones de informes y supervisión basadas en Azure están disponibles al realizar copias de seguridad de contraseñas en Microsoft Entra ID.

Entrada en desuso del producto de Microsoft LAPS heredado

Importante

NOTA: El producto de Microsoft LAPS heredado está en desuso a partir de Windows 11 23 H2 y versiones posteriores. La instalación del paquete MSI de Microsoft LAPS heredado está bloqueada en versiones más recientes del sistema operativo y Microsoft ya no tendrá en cuenta los cambios de código para el producto de Microsoft LAPS heredado.

Use Windows LAPS, disponible en Windows Server 2019 y versiones posteriores, y en clientes Windows 10 y Windows 11 compatibles, para administrar contraseñas de cuenta de administrador local.

Microsoft seguirá admitiendo el producto de Microsoft LAPS heredado en versiones antiguas de Windows (anteriores a Windows 11 23 H2) en las que ya era compatible. Esa compatibilidad finalizará al final normal del soporte técnico para esos sistemas operativos.

Windows LAPS vs. Microsoft LAPS heredado

Windows LAPS hereda muchos conceptos de diseño de Microsoft LAPS heredado. Si está familiarizado con Microsoft LAPS heredado, muchas características de Windows LAPS le serán familiares. Una diferencia clave es que Windows LAPS es una implementación totalmente independiente que es nativa de Windows. Windows LAPS también agrega muchas características que no están disponibles en Microsoft LAPS heredado. Puede usar Windows LAPS para realizar copias de seguridad de contraseñas en Azure Active Directory, cifrar contraseñas en Windows Server Active Directory y almacenar el historial de contraseñas.

Importante

Windows LAPS no requiere que instale Microsoft LAPS heredado. Puede implementar y usar completamente todas las características de Windows LAPS sin instalar ni referirse a Microsoft LAPS heredado. Pero para ayudar a migrar una implementación existente de Microsoft LAPS heredado, Windows LAPS ofrece el modo de emulación de Microsoft LAPS heredado.

Importante

El producto de Microsoft LAPS heredado está en desuso en versiones más recientes del sistema operativo de Microsoft. Consulte Entrada en desuso del producto de Microsoft LAPS heredado.

Declaración de compatibilidad

Microsoft publicó el producto heredado Microsoft LAPS en el año natural 2016 en el Centro de descarga de Microsoft. Windows LAPS se envió como parte de las actualizaciones de Windows publicadas el 11 de abril de 2023 para las plataformas enumeradas en Windows LAPS y Microsoft Entra ID.

Microsoft y la organización de entrega de soporte técnico ofrecen soporte asistido tanto para Microsoft LAPS como para Windows LAPS, incluida la interoperabilidad entre los dos productos.

Importante

El producto de Microsoft LAPS heredado está en desuso en versiones más recientes del sistema operativo de Microsoft. Consulte Entrada en desuso del producto de Microsoft LAPS heredado.

Microsoft recomienda encarecidamente que los clientes empiecen a planear ahora la migración de sus sistemas compatibles con Windows LAPS. Que pasen de usar Microsoft LAPS heredado a usar la nueva característica de la Solución de contraseñas de administrador local de Windows. La Solución de contraseñas de administrador local de Windows ofrece muchas características de seguridad nuevas y un mantenimiento mejorado del producto.

Las preguntas sobre las limitaciones y los problemas de interoperabilidad entre las herramientas de administración de contraseñas de cuentas locales de terceros y Windows LAPS deben dirigirse al desarrollador de aplicaciones de terceros, y no a Microsoft.

Requisitos de concesión de licencia

La propia característica Solución de contraseñas de administrador local de Windows está disponible de forma gratuita en todas las plataformas Windows compatibles.

Puede realizar copias de seguridad de las contraseñas en una instancia de Active Directory local sin ningún otro requisito de licencia.

Puede realizar copias de seguridad de contraseñas en microsoft Entra ID con una licencia Gratis o superior de Microsoft Entra ID.

Otras características relacionadas con Azure o Intune pueden tener otros requisitos de licencias.

Envío de comentarios

¿Desea enviar comentarios? No dude en enviar preguntas específicas de la documentación a través de los vínculos de Comentarios, que se encuentran en la parte inferior de estas páginas de documentos.

También puede enviar comentarios y otras solicitudes a través de la página de Tech Community Comentarios de la Solución de contraseñas de administrador local de Windows.

Si sus comentarios son específicos de la funcionalidad LAPS relacionada con Microsoft Entra ID o Intune, puede enviar los comentarios a través del foro de comentarios de Microsoft Entra.

Si no está seguro de dónde deben ir sus comentarios, utilice cualquiera de las opciones anteriores para enviarlos.

Consulte también

Pasos siguientes