Compartir vía


Solución de contraseña de administrador local de Windows en Microsoft Entra ID

Cada dispositivo Windows incluye una cuenta de administrador local integrada que debe asegurar y proteger para mitigar los ataques Pass-the-Hash (PtH) y laterales traversales. Muchos clientes han estado usando nuestro producto de Solución de contraseña de administrador local (LAPS) independiente y local para la administración de contraseñas de administrador local de sus máquinas Windows unidas a un dominio. Con la compatibilidad de Microsoft Entra con LAPS de Windows, se ofrece una experiencia coherente tanto para los dispositivos Microsoft Entra unidos como para los dispositivos Microsoft Entra unidos híbridos.

La compatibilidad de Microsoft Entra con LAPS incluye las siguientes funcionalidades:

  • Habilitación de LAPS de Windows con Microsoft Entra ID: habilite una directiva para todo el inquilino y una directiva del lado cliente para hacer una copia de seguridad de la contraseña de administrador local en Microsoft Entra ID.
  • Administración de contraseña de administrador local: configure directivas del lado cliente para establecer el nombre de cuenta, la antigüedad de la contraseña, la longitud, la complejidad, el restablecimiento manual de contraseñas, etc.
  • Recuperación de contraseñas de administrador local: use experiencias de API/Portal para la recuperación de contraseñas de administrador local.
  • Enumeración de todos los dispositivos habilitados para LAPS de Windows: use experiencias de API/Portal para enumerar todos los dispositivos Windows en Microsoft Entra ID habilitados con LAPS de Windows.
  • Autorización de la recuperación de contraseñas de administrador local: use directivas de control de acceso basado en rol (RBAC) con roles personalizados y unidades administrativas.
  • Auditoría de la actualización y recuperación de contraseñas de administrador local: use experiencias de API/Portal de registros de auditoría para supervisar los eventos de recuperación y actualización de contraseñas.
  • Directivas de acceso condicional para la recuperación de contraseñas de administrador local: configure directivas de acceso condicional en roles de directorio que tengan la autorización de recuperación de contraseñas.

Nota:

LAPS de Windows con Microsoft Entra ID no es compatible con dispositivos Windows registrados en Microsoft Entra.

La Solución de contraseña de administrador local no se admite en plataformas que no son de Windows.

Para obtener información sobre LAPS de Windows con más detalle, comience con los siguientes artículos en la documentación de Windows:

Requisitos

Regiones de Azure compatibles y distribuciones de Windows

Esta característica ahora está disponible en las siguientes nubes de Azure:

  • Azure Global
  • Azure Government
  • Microsoft Azure operado por 21Vianet

Actualizaciones del sistema operativo

Esta característica ahora está disponible en las siguientes plataformas de sistema operativo de Windows con la actualización especificada o una versión posterior instalada:

Tipos de combinación

Solo se admite LAPS en dispositivos Microsoft Entra unidos o Microsoft Entra unidos híbridos. No se admiten dispositivos registrados en Microsoft Entra.

Requisitos de licencia

LAPS está disponible para todos los clientes con licencias de Microsoft Entra ID Free o superior. Otras características relacionadas, como unidades administrativas, roles personalizados, acceso condicional e Intune, tienen otros requisitos de licencia.

Roles o permisos necesarios

Además de los roles integrados en Microsoft Entra como Administrador de dispositivos en la nube y Administrador de Intune a los que se les concede el permiso device.LocalCredentials.Read.All, puede usar roles personalizados de Microsoft Entra o unidades administrativas para autorizar la recuperación de contraseñas de administrador local. Por ejemplo:

  • A los roles personalizados se les debe asignar el permiso microsoft.directory/deviceLocalCredentials/password/read para autorizar la recuperación de contraseñas de administrador local. Puede crear un rol personalizado y conceder permisos mediante el Centro de administración de Microsoft Entra, Microsoft Graph API o PowerShell. Una vez creado el rol personalizado, puede asignarlo a los usuarios.

  • También puede crear una unidad administrativa de Microsoft Entra ID, agregar dispositivos y asignar el rol Administrador de dispositivos en la nube con ámbito en la unidad administrativa para autorizar la recuperación de contraseñas del administrador local.

Habilitar LAPS de Windows con Microsoft Entra ID

Para habilitar LAPS de Windows con Microsoft Entra ID, debe realizar acciones en Microsoft Entra ID y los dispositivos que desea administrar. Se recomienda que las organizaciones administren LAPS de Windows mediante Microsoft Intune. Si los dispositivos están unidos a Microsoft Entra, pero no usa o no se admite Microsoft Intune, todavía puedes implementar Windows LAPS para el identificador de Microsoft Entra ID manualmente. Para obtener más información, consulte el artículo Configuración de directivas de Windows LAPS.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de dispositivos en la nube.

  2. Vaya a Identidad>Dispositivos>Información general>Configuración del dispositivo

  3. Seleccione para la opción Habilitar Solución de contraseña de administrador local (LAPS) y seleccione Guardar. También puede usar Update deviceRegistrationPolicy de Microsoft Graph API para completar esta tarea.

  4. Configure una directiva del lado cliente y establezca BackUpDirectory en Microsoft Entra ID.

Recuperación de metadatos de contraseña y contraseña de administrador local

Para ver la contraseña de administrador local de un dispositivo Windows unido a Microsoft Entra ID, se le debe conceder la acción microsoft.directory/deviceLocalCredentials/password/read.

Para ver los metadatos de la contraseña de administrador local de un dispositivo Windows unido a Microsoft Entra ID, se le debe conceder la acción microsoft.directory/deviceLocalCredentials/standard/read.

Los siguientes roles integrados tienen estas acciones de manera predeterminada:

Rol integrado microsoft.directory/deviceLocalCredentials/standard/read y microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
Administrador de dispositivos en la nube
Administrador del servicio de Intune
Administrador del departamento de soporte técnico No
Administrador de seguridad No
Lector de seguridad No

Los roles que no se muestran no tienen ninguna acción.

También puede usar Microsoft Graph API Get deviceLocalCredentialInfo para recuperar la contraseña administrativa local. Si usa Microsoft Graph API, la contraseña devuelta se encuentra en el valor codificado en Base64 que debe descodificar antes de usarlo.

Enumerar todos los dispositivos habilitados para LAPS de Windows

Para obtener una lista de todos los dispositivos habilitados para Windows LAPS, puede examinar Identidad>Dispositivos>Información general>Recuperación de contraseña de administrador local o usar la Microsoft Graph API.

Auditoría de la actualización y recuperación de contraseña de administrador local

Para ver los eventos de auditoría, puede navegar aIdentidad>Dispositivo>Información general>Registros de auditoría, luego use el filtroActividad y busqueActualizar contraseña de administrador local del dispositivo o Recuperar contraseña de administrador local del dispositivo para ver los eventos de auditoría.

Directivas de acceso condicional para la recuperación de contraseñas de administrador local

Las directivas de acceso condicional se pueden limitar a los roles integrados para proteger el acceso para recuperar contraseñas de administrador local. Puede encontrar un ejemplo de una directiva que requiere la autenticación multifactor en el artículo Directiva de acceso condicional común: requerir MFA para administradores.

Nota

No se admiten otros tipos de roles, incluidos los roles con ámbito de unidad administrativa y los roles personalizados.

Preguntas más frecuentes

¿Se admite la configuración de administración de Windows LAPS con Microsoft Entra mediante objetos de directiva de grupo (GPO)?

Sí, solo para dispositivos Microsoft Entra unidos híbridos. Consulte Directiva de grupo de LAPS de Windows.

¿Se admite la configuración de administración de LAPS de Windows con Microsoft Entra MDM?

Sí, para dispositivos Microsoft Entra unidos/Microsoft Entra unidos híbridos (administrados conjuntamente). Los clientes pueden usar Microsoft Intune o cualquier otra administración de dispositivos móviles (MDM) de terceros de su elección.

¿Qué ocurre cuando se elimina un dispositivo en Microsoft Entra ID?

Cuando se elimina un dispositivo en Microsoft Entra ID, se pierde la credencial de LAPS vinculada a ese dispositivo y se pierde la contraseña almacenada en Microsoft Entra ID. A menos que tenga un flujo de trabajo personalizado para recuperar contraseñas de LAPS y almacenarlas externamente, no hay ningún método en Microsoft Entra ID para recuperar la contraseña administrada por LAPS para un dispositivo eliminado.

¿Qué roles se necesitan para recuperar contraseñas de LAPS?

Los siguientes roles integrados de Microsoft Entra tienen permiso para recuperar contraseñas de LAPS: Administrador de dispositivos en la nube y Administrador de Intune.

¿Qué roles se necesitan para leer los metadatos de LAPS?

Se admiten los siguientes roles integrados para ver metadatos sobre LAPS, incluido el nombre del dispositivo, la última rotación de contraseñas y la siguiente rotación de contraseñas: Administrador de dispositivos en la nube, Administrador de Intune, Administrador del departamento de soporte técnico, Lector de seguridad y Administrador de seguridad.

¿Se admiten roles personalizados?

Sí. Si tiene Microsoft Entra ID P1 o P2, puede crear un rol personalizado con los siguientes permisos de RBAC:

  • Para leer los metadatos de LAPS: microsoft.directory/deviceLocalCredentials/standard/read
  • Para leer las contraseñas de LAPS: microsoft.directory/deviceLocalCredentials/password/read

¿Qué ocurre cuando se cambia la cuenta de administrador local especificada por la directiva?

Dado que LAPS de Windows solo puede administrar una cuenta de administrador local en un dispositivo a la vez, la directiva de LAPS ya no administra la cuenta original. Si la directiva tiene la copia de seguridad del dispositivo de esa cuenta, se realiza una copia de seguridad de la nueva cuenta y los detalles de la cuenta anterior ya no están disponibles desde el centro de administración de Intune o desde el directorio especificado para almacenar la información de la cuenta.

Pasos siguientes