LAPS CSP

Importante

Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.

La empresa usa el proveedor de servicios de configuración de solución de contraseñas de administrador local (LAPS) para administrar la copia de seguridad de contraseñas de cuenta de administrador local. Windows admite un objeto de directiva de grupo LAPS totalmente independiente del CSP de LAPS. Muchas de las distintas configuraciones son comunes tanto en el GPO de LAPS como en el CSP (GPO no admite ninguna de las configuraciones relacionadas con la acción). Siempre que se configure al menos una configuración de LAPS a través de CSP, se omitirá cualquier configuración configurada por GPO. Consulte también Configuración de las opciones de directiva para Windows LAPS.

Nota

Para obtener más información sobre las actualizaciones específicas del sistema operativo necesarias para usar el CSP de LAPS de Windows y las características asociadas, además del estado actual del escenario Microsoft Entra LAPS, consulta Disponibilidad de LAPS de Windows y Microsoft Entra estado de versión preliminar pública de LAPS.

Sugerencia

En este artículo se tratan los detalles técnicos específicos del CSP de LAPS. Para obtener más información sobre los escenarios en los que se usaría el CSP de LAPS, consulte Solución de contraseñas de administrador local de Windows.

En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de LAPS:

• ./Device/Vendor/MSFT/LAPS
  • Acciones
    • ResetPassword
    • ResetPasswordStatus
  • Directivas
    • ADEncryptedPasswordHistorySize
    • AdministratorAccountName
    • ADPasswordEncryptionEnabled
    • ADPasswordEncryptionPrincipal
    • AutomaticAccountManagementEnableAccount
    • AutomaticAccountManagementEnabled
    • AutomaticAccountManagementNameOrPrefix
    • AutomaticAccountManagementRandomizeName
    • AutomaticAccountManagementTarget
    • BackupDirectory
    • Frase de contraseñaLength
    • PasswordAgeDays
    • PasswordComplexity
    • PasswordExpirationProtectionEnabled
    • PasswordLength
    • PostAuthenticationActions
    • PostAuthenticationResetDelay

Acciones

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Actions

Define el nodo interior primario para toda la configuración relacionada con la acción en el CSP de LAPS.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	node
Tipo de acceso	Obtener

Actions/ResetPassword

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Use esta configuración para indicar al CSP que genere y almacene inmediatamente una nueva contraseña para la cuenta de administrador local administrada.

Esta acción invoca un restablecimiento inmediato de la contraseña de la cuenta de administrador local, omitiendo las restricciones normales, como PasswordLengthDays, etc.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	null
Tipo de acceso	Exec

Actions/ResetPasswordStatus

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Use esta configuración para consultar el estado de la última acción de ejecución ResetPassword enviada.

El valor devuelto es un código HRESULT:

• S_OK (0x0): la última acción ResetPassword enviada se realizó correctamente.
• E_PENDING (0x8000000): la última acción ResetPassword enviada sigue ejecutándose.
• Otro: La última acción ResetPassword enviada encontró el error devuelto.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Obtener
Valor predeterminado	0

Directivas

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies

Nodo raíz para directivas LAPS.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	node
Tipo de acceso	Obtener
Atomic Required	Verdadero

Policies/ADEncryptedPasswordHistorySize

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Use esta opción para configurar cuántas contraseñas cifradas anteriores se recordarán en Active Directory.

Si no se especifica, esta configuración tendrá como valor predeterminado 0 contraseñas (deshabilitadas).

Esta configuración tiene un valor mínimo permitido de 0 contraseñas.

Esta configuración tiene un valor máximo permitido de 12 contraseñas.

Importante

Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, eliminar, obtener y reemplazar
Valores permitidos	Gama: [0-12]
Valor predeterminado	0
Dependencia [BackupDirectory]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM

Policies/AdministratorAccountName

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Use esta opción para configurar el nombre de la cuenta de administrador local administrada.

Si no se especifica, la cuenta de administrador local integrada predeterminada se ubicará mediante un SID conocido (incluso si se cambia el nombre).

Si se especifica, se administrará la contraseña de la cuenta especificada.

Tenga en cuenta que si se especifica un nombre de cuenta de administrador local administrado personalizado en esta configuración, esa cuenta debe crearse a través de otros medios. La especificación de un nombre en esta configuración no hará que se cree la cuenta.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	chr (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Policies/ADPasswordEncryptionEnabled

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Use esta opción para configurar si la contraseña está cifrada antes de almacenarse en Active Directory.

Esta configuración se omite si la contraseña se está almacenando actualmente en Azure.

Esta configuración solo se respeta cuando el dominio de Active Directory está en Windows Server 2016 nivel funcional de dominio o superior.

• Si esta configuración está habilitada y el dominio de Active Directory cumple el requisito previo de DFL, la contraseña se cifrará antes de almacenarse en Active Directory.

• Si esta configuración está deshabilitada o el dominio de Active Directory no cumple el requisito previo de DFL, la contraseña se almacenará como texto no cifrado en Active Directory.

Si no se especifica, este valor predeterminado es True.

Importante

Esta configuración se omite a menos que BackupDirectory esté configurado para realizar una copia de seguridad de la contraseña en Active Directory y el dominio de Active Directory esté en Windows Server 2016 nivel funcional de dominio o superior.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	bool
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	Verdadero
Dependencia [BackupDirectory]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor	Descripción
false	Almacene la contraseña en forma de texto no cifrado en Active Directory.
true (valor predeterminado)	Almacene la contraseña en forma cifrada en Active Directory.

Policies/ADPasswordEncryptionPrincipal

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Use esta configuración para configurar el nombre o el SID de un usuario o grupo que puede descifrar la contraseña almacenada en Active Directory.

Esta configuración se omite si la contraseña se está almacenando actualmente en Azure.

Si no se especifica, el grupo Administradores de dominio del dominio del dispositivo podrá descifrar la contraseña.

Si se especifica, el usuario o grupo especificado podrá descifrar la contraseña almacenada en Active Directory.

Si la cuenta de usuario o grupo especificada no es válida, el dispositivo se reservará para usar el grupo Administradores de dominio en el dominio del dispositivo.

Importante

Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos. La cadena almacenada en esta configuración debe ser un SID en forma de cadena o el nombre completo de un usuario o grupo. Entre los ejemplos válidos se incluyen:

• S-1-5-21-2127521184-1604012920-1887927527-35197
• contoso\LAPSAdmins
• lapsadmins@contoso.com

La entidad de seguridad identificada (ya sea por SID o nombre de usuario o grupo) debe existir y el dispositivo puede resolverla.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	chr (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Dependencia [BackupDirectory]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM

Policies/AutomaticAccountManagementEnableAccount

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Use esta opción para configurar si la cuenta administrada automáticamente está habilitada o deshabilitada.

• Si esta configuración está habilitada, se habilitará la cuenta de destino.

• Si esta configuración está deshabilitada, se deshabilitará la cuenta de destino.

Si no se especifica, este valor predeterminado es False.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	bool
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	Falso
Dependencia [AutomaticAccountManagementEnabled]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor	Descripción
False (valor predeterminado)	La cuenta de destino se deshabilitará.
Verdadero	Se habilitará la cuenta de destino.

Policies/AutomaticAccountManagementEnabled

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Use esta configuración para especificar si la administración automática de cuentas está habilitada.

• Si esta configuración está habilitada, la cuenta de destino se administrará automáticamente.

• Si esta configuración está deshabilitada, la cuenta de destino no se administrará automáticamente.

Si no se especifica, este valor predeterminado es False.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	bool
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	Falso

Valores permitidos:

Valor	Descripción
false (valor predeterminado)	La cuenta de destino no se administrará automáticamente.
true	La cuenta de destino se administrará automáticamente.

Policies/AutomaticAccountManagementNameOrPrefix

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Use esta opción para configurar el nombre o el prefijo de la cuenta de administrador local administrada.

Si se especifica, el valor se usará como nombre o prefijo de nombre de la cuenta administrada.

Si no se especifica, esta configuración tendrá como valor predeterminado "WLapsAdmin".

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	chr (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Dependencia [AutomaticAccountManagementEnabled]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM

Policies/AutomaticAccountManagementRandomizeName

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Use esta configuración para configurar si el nombre de la cuenta administrada automáticamente usa un sufijo numérico aleatorio cada vez que se gira la contraseña.

Si esta configuración está habilitada, el nombre de la cuenta de destino usará un sufijo numérico aleatorio.

Si se desasombre esta configuración, el nombre de la cuenta de destino no usará un sufijo numérico aleatorio.

Si no se especifica, este valor predeterminado es False.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	bool
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	Falso
Dependencia [AutomaticAccountManagementEnabled]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor	Descripción
False (valor predeterminado)	El nombre de la cuenta de destino no usará un sufijo numérico aleatorio.
Verdadero	El nombre de la cuenta de destino usará un sufijo numérico aleatorio.

Policies/AutomaticAccountManagementTarget

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Use esta opción para configurar qué cuenta se administra automáticamente.

Los valores permitidos son:

0=Se administrará la cuenta de administrador integrada.

1=Se administrará una nueva cuenta creada por Windows LAPS.

Si no se especifica, esta configuración tendrá como valor predeterminado 1.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	1
Dependencia [AutomaticAccountManagementEnabled]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependencia: true Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor	Descripción
0	Administre la cuenta de administrador integrada.
1 (valor predeterminado)	Administrar una nueva cuenta de administrador personalizada.

Directivas/BackupDirectory

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Use esta opción para configurar el directorio en el que se realiza la copia de seguridad de la contraseña de la cuenta de administrador local.

Los valores permitidos son:

0=Deshabilitado (no se realizará una copia de seguridad de la contraseña) 1=Copia de seguridad de la contraseña en Microsoft Entra ID solo 2=Copia de seguridad de la contraseña solo en Active Directory.

Si no se especifica, esta configuración tendrá como valor predeterminado 0.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	0

Valores permitidos:

Valor	Descripción
0 (Predeterminado)	Deshabilitado (no se realizará una copia de seguridad de la contraseña).
1	Haga una copia de seguridad de la contraseña solo en Microsoft Entra ID.
2	Haga una copia de seguridad de la contraseña solo en Active Directory.

Directivas/frase de contraseñaLength

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Use esta opción para configurar el número de palabras de frase de contraseña.

Si no se especifica, esta configuración tendrá como valor predeterminado 6 palabras.

Esta configuración tiene un valor mínimo permitido de 3 palabras.

Esta configuración tiene un valor máximo permitido de 10 palabras.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, eliminar, obtener y reemplazar
Valores permitidos	Gama: [3-10]
Valor predeterminado	6
Dependencia [PasswordComplexity]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependencia: [6-8] Tipo de valor permitido de dependencia: Range

Directivas/PasswordAgeDays

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Use esta directiva para configurar la antigüedad máxima de contraseña de la cuenta de administrador local administrada.

Si no se especifica, esta configuración tendrá como valor predeterminado 30 días.

Esta configuración tiene un valor mínimo permitido de 1 día al hacer una copia de seguridad de la contraseña para Active Directory local y de 7 días al hacer una copia de seguridad de la contraseña para Microsoft Entra ID.

Esta configuración tiene un valor máximo permitido de 365 días.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, eliminar, obtener y reemplazar
Valores permitidos	Gama: [1-365]
Valor predeterminado	30
Dependencia [BackupDirectoryAADMode BackupDirectoryADMode]	Tipo de dependencia: DependsOn DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: Tipo de valor permitido de dependencia: ENUM ENUM

Directivas/PasswordComplexity

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Use esta opción para configurar la complejidad de la contraseña de la cuenta de administrador local administrada.

Los valores permitidos son:

1=Letras grandes 2=Letras grandes + letras pequeñas 3=Letras grandes + letras pequeñas + números 4=Letras grandes + letras pequeñas + números + caracteres especiales 5=Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada) 6=Frase de contraseña (palabras largas) 7=Frase de contraseña (palabras cortas) 8=Frase de contraseña (palabras cortas con prefijos únicos)

Si no se especifica, esta configuración tendrá como valor predeterminado 4.

Lista de frase de contraseña tomada de "Deep Dive: New Wordlists for Random Passphrases" de Electronic Frontier Foundation, y se usa con una licencia de atribución CC-BY-3.0. Vea https://go.microsoft.com/fwlink/?linkid=2255471 para obtener más información.

Importante

Windows admite la configuración de complejidad de contraseña inferior (1, 2 y 3) solo para la compatibilidad con versiones anteriores de LAPS. Microsoft recomienda que esta configuración siempre esté configurada en 4.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	4

Valores permitidos:

Valor	Descripción
1	Letras grandes.
2	Letras grandes + letras pequeñas.
3	Letras grandes + letras pequeñas + números.
4 (valor predeterminado)	Letras grandes + letras pequeñas + números + caracteres especiales.
5	Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada).
6	Frase de contraseña (palabras largas).
7	Frase de contraseña (palabras cortas).
8	Frase de contraseña (palabras cortas con prefijos únicos).

Policies/PasswordExpirationProtectionEnabled

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Use esta opción para configurar la aplicación adicional de la antigüedad máxima de contraseña para la cuenta de administrador local administrada.

Cuando esta configuración está habilitada, no se permite la expiración planeada de contraseñas que daría lugar a una antigüedad de contraseña mayor que la dictada por la directiva "PasswordAgeDays". Cuando se detecta dicha expiración, la contraseña se cambia inmediatamente y la nueva fecha de expiración de la contraseña se establece según la directiva.

Si no se especifica, este valor predeterminado es True.

Importante

Esta configuración se omite a menos que BackupDirectory esté configurado para hacer una copia de seguridad de la contraseña en Active Directory.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	bool
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	Verdadero
Dependencia [BackupDirectory]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependencia: 2 Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor	Descripción
false	Permitir que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña.
true (valor predeterminado)	No permita que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña.

Policies/PasswordLength

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Use esta opción para configurar la longitud de la contraseña de la cuenta de administrador local administrada.

Si no se especifica, esta configuración tendrá como valor predeterminado 14 caracteres.

Esta configuración tiene un valor mínimo permitido de 8 caracteres.

Esta configuración tiene un valor máximo permitido de 64 caracteres.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, eliminar, obtener y reemplazar
Valores permitidos	Gama: [8-64]
Valor predeterminado	14
Dependencia [PasswordComplexity]	Tipo de dependencia: DependsOn URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependencia: [1-5] Tipo de valor permitido de dependencia: Range

Policies/PostAuthenticationActions

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Use esta configuración para especificar las acciones que se realizarán tras la expiración del período de gracia configurado.

Si no se especifica, esta configuración tendrá como valor predeterminado 3 (Restablecer la contraseña y cerrar la sesión de la cuenta administrada).

Importante

Las acciones posteriores a la autenticación permitidas están diseñadas para ayudar a limitar la cantidad de tiempo que se puede usar una contraseña LAPS antes de restablecerse. El cierre de sesión de la cuenta administrada o el reinicio del dispositivo son opciones que ayudan a garantizar esto. La finalización abrupta de las sesiones de inicio de sesión o el reinicio del dispositivo pueden dar lugar a la pérdida de datos.

Importante

Desde una perspectiva de seguridad, un usuario malintencionado que adquiere privilegios administrativos en un dispositivo mediante una contraseña LAPS válida tiene la capacidad definitiva de evitar o eludir estos mecanismos.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	3

Valores permitidos:

Valor	Descripción
1	Restablecer contraseña: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada.
3 (valor predeterminado)	Restablezca la contraseña y cierre la sesión de la cuenta administrada: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y se finalizarán las sesiones de inicio de sesión interactivas con la cuenta administrada.
5	Restablecer la contraseña y reiniciar: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y el dispositivo administrado se reiniciará inmediatamente.
11	Restablezca la contraseña, cierre la sesión de la cuenta administrada y finalice los procesos restantes: al expirar el período de gracia, se restablece la contraseña de la cuenta administrada, se cierran las sesiones de inicio de sesión interactivas con la cuenta administrada y se finalizan los procesos restantes.

Policies/PostAuthenticationResetDelay

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅ [10.0.20348.1663] y versiones posteriores ✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores ✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores ✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Use esta configuración para especificar la cantidad de tiempo (en horas) para esperar después de una autenticación antes de ejecutar las acciones posteriores a la autenticación especificadas.

Si no se especifica, esta configuración tendrá un valor predeterminado de 24 horas.

Esta configuración tiene un valor mínimo permitido de 0 horas (esto deshabilita todas las acciones posteriores a la autenticación).

Esta configuración tiene un valor máximo permitido de 24 horas.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	int
Tipo de acceso	Agregar, eliminar, obtener y reemplazar
Valores permitidos	Gama: [0-24]
Valor predeterminado	24

Aplicabilidad de la configuración

El CSP de LAPS se puede usar para administrar dispositivos que están unidos a Microsoft Entra ID o unidos a Microsoft Entra ID y Active Directory (unidos a híbridos). El CSP de LAPS administra una combinación de configuraciones de solo Microsoft Entra y solo AD. La configuración de solo AD solo se aplica a los dispositivos unidos a híbridos y, a continuación, solo cuando BackupDirectory se establece en 2.

Nombre del valor de configuración	Unido a Azure	Unido a híbridos
BackupDirectory	Sí	Sí
PasswordAgeDays	Sí	Sí
PasswordLength	Sí	Sí
PasswordComplexity	Sí	Sí
PasswordExpirationProtectionEnabled	No	Sí
AdministratorAccountName	Sí	Sí
ADPasswordEncryptionEnabled	No	Sí
ADPasswordEncryptionPrincipal	No	Sí
ADEncryptedPasswordHistorySize	No	Sí
PostAuthenticationResetDelay	Sí	Sí
PostAuthenticationActions	Sí	Sí
ResetPassword	Sí	Sí
ResetPasswordStatus	Sí	Sí

Ejemplos de SyncML

Los ejemplos siguientes se proporcionan para mostrar el formato correcto y no deben considerarse como una recomendación.

Contraseña de copia de seguridad de dispositivos unidos a Azure hasta Microsoft Entra ID

En este ejemplo se muestra cómo configurar un dispositivo unido a Azure para realizar una copia de seguridad de su contraseña en Microsoft Entra ID:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Contraseña de copia de seguridad de dispositivos unidos híbridos a Active Directory

En este ejemplo se muestra cómo configurar un dispositivo híbrido para realizar una copia de seguridad de su contraseña en Active Directory con el cifrado de contraseña habilitado:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Artículos relacionados

Referencia de proveedor de servicios de configuración