Configuración de LAPS en Salas de Teams en Windows

• Se aplica a:

  Microsoft Teams

En este artículo se proporciona información general sobre LAPS, su arquitectura y los pasos para configurar LAPS para Salas de Teams en Windows.

Solución de contraseñas de administrador local de Windows (LAPS) es una característica de Windows que administra y realiza copias de seguridad de la contraseña de la cuenta de administrador local para Microsoft Entra unido (Entra unido) o Active Directory (AD). Proporciona protección mejorada contra ataques de contraseñas de cuentas de administrador local y cumple los requisitos clave del cliente para implementar Salas de Teams en dispositivos Windows.

¿Qué son los LAPS?

LAPS es una solución que genera automáticamente una contraseña aleatoria y compleja para la cuenta de administrador local en cada dispositivo Windows y la almacena de forma segura en Entra o Active Directory. La contraseña se cambia periódicamente según la directiva configurada y los usuarios autorizados pueden recuperarla cuando se requiera acceso. LAPS reduce el riesgo de ataques de escalada de privilegios y movimiento lateral que aprovechan la misma contraseña de administrador local en varios dispositivos. Simplifica la administración de contraseñas de administrador local y elimina la necesidad de soluciones manuales o con script.

Arquitectura LAPS de Windows

LAPS consta de los siguientes componentes:

• Una tarea en segundo plano periódica se ejecuta en cada dispositivo Windows y realiza las operaciones de cambio de contraseña y copia de seguridad.
• Un módulo de PowerShell que proporciona cmdlets para administrar y recuperar las contraseñas.
• Habilite Microsoft Entra extensión de esquema de solución de contraseñas de administrador local (LAPS) para AD que agrega un atributo para almacenar la contraseña y la información relacionada.

Arquitectura y flujo de trabajo de LAPS:

Implementación de LAPS

Antes de implementar en Salas de Teams en Windows, debes tener en cuenta lo siguiente:

• El LAPS debe implementarse con id. de entra siempre que sea posible, ya que proporciona mayor seguridad y escalabilidad que Active Directory.
• Los dispositivos deben estar unidos a Entra o Híbrido Entra Unido y administrados por Intune antes de continuar con la implementación LAPS.
• Los periféricos o puntos de conexión que se conecten a la Salas de Teams en un dispositivo Windows con las credenciales de administrador local perderán la conexión al reiniciar o cambiar la contraseña. Algunas implementaciones OEM usan este método para conectar controladores de sala. Es necesario consultar al OEM para obtener compatibilidad y soluciones alternativas.
• Que todas las instrucciones de este documento se han configurado y probado con compilaciones de OEM y excluyen las imágenes personalizadas.
• Que tiene un grupo de dispositivos dedicados para Salas de Teams en dispositivos Windows para la asignación y administración de directivas. Si no está disponible, cree una antes de continuar.

Nota

Algunos OEM, como Crestron, requieren el nombre de usuario y la contraseña locales para conectar periféricos, como controladores táctiles. Para obtener más información sobre los impactos de cambiar la contraseña de la cuenta local, ponte en contacto con Crestron antes de implementarla.

La implementación de LAPS para Salas de Teams en dispositivos Windows requiere:

• Configuración de las opciones de Id. de entra para habilitar LAPS.
• Crear y asignar la directiva LAPS en Intune.
• Comprobar el cambio de contraseña y la copia de seguridad en los dispositivos.

Configuración de Entra

Para habilitar LAPS en id. de entra:

1. Vaya a https://entra.microsoft.com.
2. Haga clic enDispositivos>de identidad>en Todos los dispositivos.
3. Seleccione Configuración de dispositivo.
4. Cambie Habilitar Microsoft Entra soluciones de contraseñas de administrador local a Sí.
5. Haga clic en Guardar .

Configuración de Intune

Para crear y asignar la directiva LAPS en Intune, se deben seguir los pasos siguientes:

1. Ve a Intune Administración Centro en https://intune.microsoft.com.
2. Seleccione Seguridad de extremo en el panel de navegación izquierdo.
3. Selecciona Protección de la cuenta.
4. Seleccione Crear directiva.
5. En Plataforma, selecciona Windows 10 y versiones posteriores y perfil Solución de contraseña de administrador local (Windows LAPS).
6. Haga clic en Crear.

Para configurar las opciones de directiva:

1. Escribe un nombre de directiva, como Salas de Teams en la directiva LAPS de Windows.
2. Escriba una descripción si es necesario y, a continuación, haga clic en Siguiente.
3. Seleccione Directorio de copia de seguridad para hacer una copia de seguridad de la contraseña solo en Azure AD.
4. Active o desactive Password Age Days (Días por edad de contraseña) para configurar y escriba el valor deseado.
5. Active o desactive Nombre de cuenta de administrador para configurar y escriba Administración para que coincida con el nombre de usuario predefinido de la cuenta de administrador local en la Salas de Teams en la consola de Windows.
6. Seleccione el método de complejidad de contraseña deseado.
7. Active o desactive Longitud de contraseña para configurar y escriba la longitud de contraseña deseada con 8 como mínimo y 64 como máximo.
8. Haga clic en Siguiente dos veces si no usa etiquetas de ámbito.

Para asignar la directiva a un grupo de Salas de Teams administrados por Intune en dispositivos Windows:

1. Seleccione Tareas.
2. Selecciona el grupo que contiene la Salas de Teams en dispositivos Windows y establece el ámbito de la directiva correctamente. Seleccione Siguiente.
3. Después de confirmar que la directiva y el ámbito son correctos, seleccione Crear para aplicar la directiva a los dispositivos dentro del ámbito.
4. Espere hasta una hora hasta que se aplique la directiva y se cambie la contraseña.

Administración de LAPS

Para recuperar la contraseña de administrador local del Centro de Administración Entra:

1. Vaya a https://entra.microsoft.com.
2. Haga clic enDispositivos>de identidad>en Todos los dispositivos.
3. Selecciona Recuperación de contraseña de administrador local.
4. Busca un dispositivo habilitado o selecciónalo en la lista rellenada previamente.
5. Haga clic en Mostrar contraseña de administrador local.
6. Haga clic en Mostrar para mostrar la contraseña. Toma nota de las marcas de tiempo de rotación últimas y siguientes.

Para revisar los registros de auditoría en Entra:

1. Vaya a https://entra.microsoft.com.
2. Haga clic enRegistrosde>auditoríade todos los dispositivos de los dispositivos>> de identidad.
3. Selecciona Actividad para filtrar en Actualizar contraseña de administrador local del dispositivo o Recover device local administrator password para revisar los eventos.

Resumen

LAPS es una característica de Windows que mejora la seguridad y la administración de las contraseñas de administrador local para Salas de Teams en dispositivos Windows. Genera automáticamente y hace copias de seguridad de las contraseñas en Entra y permite a los usuarios autorizados recuperarlas cuando sea necesario. LAPS también evita la reutilización de contraseñas y simplifica la rotación de contraseñas. Este documento proporciona los pasos para implementar y reparar LAPS para Salas de Teams en dispositivos Windows con Entra y Intune.

Documentación de LAPS relacionada

• Documentación de LAPS de Windows
• Administrar LAPS de Windows con directivas de Microsoft Intune
• Solución de contraseñas de administrador local de Windows en Microsoft Entra ID
• LAPS CSP