Microsoft Intune compatibilidad con Windows LAPS

Cada máquina Windows tiene una cuenta de administrador local integrada que no se puede eliminar y que tiene permisos completos para el dispositivo. Proteger esta cuenta es un paso importante para proteger la organización. Los dispositivos Windows incluyen la Solución de contraseñas de administrador local (LAPS) de Windows, una solución integrada que ayuda a administrar las cuentas de administrador local.

Puede usar Microsoft Intune directivas de seguridad de punto de conexión para la protección de cuentas para administrar LAPS en dispositivos que se han inscrito con Intune. Las directivas de Intune pueden:

• Aplicación de los requisitos de contraseña para las cuentas de administrador local
• Copia de seguridad de una cuenta de administrador local desde dispositivos a Active Directory (AD) o Microsoft Entra
• Programe la rotación de esas contraseñas de cuenta para protegerlas.

También puede ver detalles sobre las cuentas de administrador local administradas en el centro de Administración de Intune y rotar manualmente sus contraseñas de cuenta fuera de una rotación programada.

El uso de directivas LAPS de Intune le ayuda a proteger los dispositivos Windows de ataques destinados a aprovechar las cuentas de usuario locales, como los ataques de paso a hash o de recorrido lateral. La administración de LAPS con Intune también puede ayudar a mejorar la seguridad de los escenarios remotos del departamento de soporte técnico y a recuperar los dispositivos que, de lo contrario, no son accesibles.

La directiva LAPS de Intune administra la configuración disponible en el CSP de LAPS de Windows. El uso de INTUNE del CSP reemplaza el uso de Microsoft LAPS heredado u otras soluciones de administración de LAPS, con CSP basado en tener prioridad sobre otros orígenes de administración de LAPS.

La compatibilidad de Intune con Windows LAPS incluye las siguientes funcionalidades:

• Establecer requisitos de contraseña : defina los requisitos de contraseña, incluida la complejidad y la longitud de la cuenta de administrador local en un dispositivo.
• Rotar contraseñas : con la directiva, puede hacer que los dispositivos giren automáticamente las contraseñas de la cuenta de administrador local según una programación. También puede usar el Centro de administración de Intune para girar manualmente la contraseña de un dispositivo como una acción de dispositivo.
• Cuentas de copia de seguridad y contraseñas: puede optar por hacer que los dispositivos realicen copias de seguridad de su cuenta y contraseña en Microsoft Entra ID en la nube o en la Active Directory local. Las contraseñas se almacenan mediante cifrado seguro.
• Configurar acciones posteriores a la autenticación : defina las acciones que realiza un dispositivo cuando expire su contraseña de cuenta de administrador local. Las acciones van desde el restablecimiento de la cuenta administrada hasta el uso de una nueva contraseña segura, el registro de la cuenta o la realización de ambas acciones y, a continuación, el apagado del dispositivo. También puede administrar cuánto tiempo espera el dispositivo después de que expire la contraseña antes de realizar estas acciones.
• Ver detalles de la cuenta : los administradores de Intune con permisos de control administrativo basado en rol (RBAC) suficientes pueden ver información sobre una cuenta de administrador local de dispositivos y su contraseña actual. También puede ver cuándo se realizó la última rotación (restablecimiento) de esa contraseña y cuándo está programada para girar.
• Ver informes : Intune proporciona informes sobre la rotación de contraseñas, incluidos detalles sobre la rotación manual y programada de contraseñas pasada.

Para obtener más información sobre Windows LAPS con más detalle, comience con los siguientes artículos de la documentación de Windows:

• ¿Qué es Windows LAPS? – Introducción a Windows LAPS y el conjunto de documentación de Windows LAPS.
• CSP de Windows LAPS : vea los detalles completos de la configuración y las opciones de LAPS. La directiva de Intune para LAPS usa esta configuración para configurar el CSP de LAPS en los dispositivos.

Se aplica a:

• Windows 10
• Windows 11

Requisitos previos

A continuación se indican los requisitos para que Intune admita Windows LAPS en el inquilino:

Requisitos de licencias

• Suscripción a - IntuneMicrosoft Intune plan 1, que es la suscripción básica de Intune. También puede usar Windows LAPS con una suscripción de prueba gratuita para Intune.

• Microsoft Entra ID: Microsoft Entra ID Gratis, que es la versión gratuita de Microsoft Entra ID que se incluye al suscribirse a Intune. Con Microsoft Entra ID Gratis, puede usar todas las características de LAPS.

Compatibilidad con Active Directory

La directiva de Intune para Windows LAPS puede configurar un dispositivo para realizar una copia de seguridad de una cuenta de administrador local y una contraseña en uno de los siguientes tipos de directorio:

Nota:

Intune no admite los dispositivos unidos al área de trabajo (WPJ) para LAPS.

• Nube: la nube admite la copia de seguridad en el Microsoft Entra ID para los siguientes escenarios:

  • Microsoft Entra unión híbrida

  • Unión a Microsoft Entra

    La compatibilidad con Microsoft Entra unión requiere que habilite LAPS en el Microsoft Entra ID. Los pasos siguientes pueden ayudarle a completar esta configuración. Para un contexto más amplio, vea estos pasos en la documentación de Microsoft Entra en Habilitación de Windows LAPS con Microsoft Entra ID. Microsoft Entra unión híbrida no requiere que LAPS se habilite en Microsoft Entra.

    Habilite LAPS en Microsoft Entra:

    1. Inicie sesión en el Centro de administración Microsoft Entra como administrador de dispositivos en la nube.
    2. Vaya a IdentityDevicesOverviewDevice settings (Informacióngeneral> sobre dispositivos > de identidad > configuración del dispositivo).
    3. Seleccione Sí en la opción Habilitar solución de contraseña de administrador local (LAPS) y seleccione Guardar. También puede usar microsoft Graph API update deviceRegistrationPolicy.

    Para obtener más información, vea Solución de contraseñas de administrador local de Windows en Microsoft Entra ID en la documentación de Microsoft Entra.

• Local: el entorno local admite la copia de seguridad en Windows Server Active Directory (Active Directory local).

  Importante

  LAPS en dispositivos Windows se puede configurar para usar un tipo de directorio u otro, pero no ambos. Tenga en cuenta también que el tipo de combinación de dispositivos debe admitir el directorio de copia de seguridad; si establece el directorio en un Active Directory local y el dispositivo no está unido a un dominio, aceptará la configuración de directiva de Intune, pero LAPS no puede usar esa configuración correctamente.

Edición y plataforma de dispositivos

Los dispositivos pueden tener cualquier edición de Windows compatible con Intune, pero deben ejecutar una de las versiones siguientes para admitir el CSP de Windows LAPS:

• Windows 10, versión 22H2 (19045.2846 o posterior) con KB5025221
• Windows 10, versión 21H2 (19044.2846 o posterior) con KB5025221
• Windows 10, versión 20H2 (19042.2846 o posterior) con KB5025221
• Windows 11, versión 22H2 (22621.1555 o posterior) con KB5025239
• Windows 11, versión 21H2 (22000.1817 o posterior) con KB5025224

Compatibilidad con GCC High

La directiva de Intune para Windows LAPS es compatible con entornos de GCC High.

Controles de acceso basados en roles para LAPS

Para administrar LAPS, una cuenta debe tener suficientes permisos de control de acceso basado en rol (RBAC) para completar una tarea deseada. A continuación se muestran las tareas disponibles con sus permisos necesarios:

• Crear y acceder a la directiva LAPS : para trabajar con directivas LAPS y verlas, a su cuenta se le deben asignar los permisos suficientes de la categoría RBAC de Intune para las líneas base de seguridad. De forma predeterminada, se incluyen en el rol integrado Endpoint Security Manager. Para usar roles personalizados, asegúrese de que el rol personalizado incluya los derechos de la categoría Líneas base de seguridad .

• Rotación de la contraseña de administrador local : para usar el Centro de administración de Intune para ver o rotar una contraseña de cuenta de administrador local de dispositivos, se debe asignar a la cuenta los siguientes permisos de Intune:

  • Dispositivos administrados: Lectura
  • Organización: Leer
  • Tareas remotas: Rotar contraseña de Administración local

• Recuperar contraseña de administrador local: para ver los detalles de la contraseña, la cuenta debe tener uno de los siguientes permisos de Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read para leer los metadatos y contraseñas de LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read para leer los metadatos de LAPS, excepto las contraseñas.

  Para crear roles personalizados que puedan conceder estos permisos, consulte Creación y asignación de un rol personalizado en Microsoft Entra ID en la documentación de Microsoft Entra.

• Ver Microsoft Entra registros de auditoría y eventos: para ver detalles sobre las directivas LAPS y las acciones recientes del dispositivo, como los eventos de rotación de contraseñas, la cuenta debe tener permisos equivalentes al rol integrado operador de solo lectura de Intune.

Para obtener más información, consulte Control de acceso basado en rol para Microsoft Intune.

Arquitectura de LAPS

Para obtener información sobre la arquitectura de Windows LAPS, consulte Arquitectura de Windows LAPS en la documentación de Windows.

preguntas más frecuentes

¿Puedo usar la directiva LAPS de Intune para administrar cualquier cuenta de administrador local en un dispositivo?

Sí. La directiva LAPS de Intune se puede usar para administrar cualquier cuenta de administrador local en un dispositivo. Sin embargo, LAPS solo admite una cuenta por dispositivo:

• Cuando una directiva no especifica un nombre de cuenta, Intune administra la cuenta de administrador integrada predeterminada independientemente de su nombre actual en el dispositivo.
• Puede cambiar la cuenta que Intune administra para un dispositivo cambiando la directiva asignada del dispositivo o editando su directiva actual para especificar una cuenta diferente.
• Si se asignan dos directivas independientes a un dispositivo que especifica una cuenta diferente, se produce un conflicto que debe resolverse antes de que se pueda administrar la cuenta del dispositivo.

¿Qué ocurre si implemento la directiva LAPS con Intune en un dispositivo que ya tiene configuraciones de LAPS de un origen diferente?

La directiva basada en CSP de Intune invalida todos los demás orígenes de directiva LAPS, como los GPO o una configuración de Microsoft LAPS heredado. Para obtener más información, consulte Las raíces de directiva admitidas en la documentación de Windows LAPS.

¿Puede Windows LAPS crear cuentas de administrador locales en función del nombre de cuenta de administrador que se haya configurado mediante la directiva LAPS?

No. Windows LAPS solo puede administrar cuentas que ya existen en el dispositivo. Si una directiva especifica una cuenta por nombre que no existe en el dispositivo, la directiva se aplica y no notifica un error. Sin embargo, no se realiza una copia de seguridad de ninguna cuenta.

¿Gira Windows LAPS y hace una copia de seguridad de la contraseña de un dispositivo que está deshabilitado en Microsoft Entra?

No. Windows LAPS requiere que el dispositivo esté en un estado habilitado antes de que se puedan aplicar las operaciones de rotación y copia de seguridad de contraseñas.

¿Qué ocurre cuando se elimina un dispositivo en Microsoft Entra?

Cuando se elimina un dispositivo en Microsoft Entra, se pierde la credencial LAPS asociada a ese dispositivo y se pierde la contraseña almacenada en Microsoft Entra ID. A menos que tenga un flujo de trabajo personalizado para recuperar contraseñas LAPS y almacenarlas externamente, no hay ningún método en Microsoft Entra ID para recuperar la contraseña administrada de LAPS para un dispositivo eliminado.

¿Qué roles se necesitan para recuperar contraseñas de LAPS?

Los siguientes roles integrados Microsoft Entra roles tienen permiso para recuperar contraseñas de LAPS: Administración global, Administración de dispositivos en la nube y Administración de servicio de Intune.

¿Qué roles se necesitan para leer los metadatos de LAPS?

Se admiten los siguientes roles integrados para ver los metadatos sobre LAPS, incluidos el nombre del dispositivo, la rotación de últimas contraseñas y la siguiente rotación de contraseñas: Administración global, Administración de dispositivo en la nube, Administración de servicio de Intune, Administración del departamento de soporte técnico, Lector de seguridad, Administración de seguridad y Lector global.

¿Por qué el botón Contraseña de administrador local está atenuado e inaccesible?

Actualmente, el acceso a esta área requiere el permiso Rotación de la contraseña de administrador local de Intune. Consulte Control de acceso basado en rol para obtener Microsoft Intune.

¿Qué ocurre cuando se cambia la cuenta especificada por la directiva?

Dado que Windows LAPS solo puede administrar una cuenta de administrador local en un dispositivo a la vez, la cuenta original ya no se administra mediante la directiva LAPS. Si la directiva tiene la copia de seguridad del dispositivo en esa cuenta, se realiza una copia de seguridad de la nueva cuenta y los detalles sobre la cuenta anterior ya no están disponibles desde el Centro de administración de Intune ni desde el directorio especificado para almacenar la información de la cuenta.

Pasos siguientes

• Creación de una directiva para LAPS
• Visualización de informes para LAPS
• Directiva de protección de cuentas para la seguridad de los puntos de conexión en Intune