Microsoft Intune suporte para o Windows LAPS

  • Artigo

Cada computador Windows tem uma conta de administrador local interna que não pode ser excluída e que tem permissões completas para o dispositivo. Proteger essa conta é uma etapa importante para proteger sua organização. Os dispositivos Windows incluem a LAPS (Solução de Senha do Administrador Local do Windows), uma solução interna para ajudar a gerenciar contas de administrador local.

Você pode usar Microsoft Intune políticas de segurança de ponto de extremidade para proteção de conta para gerenciar o LAPS em dispositivos registrados no Intune. As políticas do Intune podem:

  • Impor requisitos de senha para contas de administrador local
  • Faça backup de uma conta de administrador local de dispositivos para seu AD (Active Directory) ou Microsoft Entra
  • Agende a rotação dessas senhas da conta para ajudar a mantê-las seguras.

Você também pode exibir detalhes sobre as contas de administrador local gerenciadas no centro de Administração do Intune e girar manualmente as senhas da conta fora de uma rotação agendada.

O uso de políticas do Intune LAPS ajuda você a proteger dispositivos Windows contra ataques que visam explorar contas de usuário locais, como passar o hash ou ataques de passagem lateral. O gerenciamento do LAPS com o Intune também pode ajudar a melhorar a segurança para cenários remotos do help desk e recuperar dispositivos que, de outra forma, são inacessíveis.

A política laps do Intune gerencia as configurações disponíveis no CSP do Windows LAPS. O uso do CSP pelo Intune substitui o uso de laps herdados da Microsoft ou outras soluções de gerenciamento de LAPS, com base em CSP tendo precedência sobre outras fontes de gerenciamento do LAPS.

O suporte do Intune para Windows LAPS inclui os seguintes recursos:

  • Definir requisitos de senha – defina requisitos de senha, incluindo complexidade e comprimento para a conta de administrador local em um dispositivo.
  • Girar senhas – Com a política, você pode fazer com que os dispositivos girem automaticamente as senhas da conta de administrador local em um agendamento. Você também pode usar o centro de administração do Intune para girar manualmente a senha de um dispositivo como uma ação de dispositivo.
  • Contas de backup e senhas – você pode optar por fazer com que os dispositivos faça backup de sua conta e senha em Microsoft Entra ID na nuvem ou no Active Directory local. As senhas são armazenadas usando criptografia forte.
  • Configurar ações de autenticação de postagem – Defina ações que um dispositivo executa quando a senha da conta de administrador local expirar. As ações variam desde redefinir a conta gerenciada até usar uma nova senha segura, fazer logon na conta ou fazer os dois e, em seguida, desligar o dispositivo. Você também pode gerenciar quanto tempo o dispositivo aguarda após a expiração da senha antes de executar essas ações.
  • Exibir detalhes da conta – administradores do Intune com permissões de RBAC (controle administrativo baseado em função) suficientes podem exibir informações sobre uma conta de administrador local de dispositivos e sua senha atual. Você também pode ver quando essa senha foi girada pela última vez (redefinição) e quando ela está agendada para girar.
  • Exibir relatórios – o Intune fornece relatórios sobre rotação de senha, incluindo detalhes sobre a rotação de senhas manual e agendada anterior.

Para saber mais sobre o Windows LAPS com mais detalhes, comece com os seguintes artigos na documentação do Windows:

  • O que é o Windows LAPS? – Introdução ao Windows LAPS e ao conjunto de documentação do Windows LAPS.
  • CSP do Windows LAPS – veja os detalhes completos das configurações e opções do LAPS. A política do Intune para LAPS usa essas configurações para configurar o CSP laps em dispositivos.

Aplicável a:

  • Windows 10
  • Windows 11

Pré-requisitos

Veja a seguir os requisitos para que o Intune dê suporte ao Windows LAPS em seu locatário:

Requisitos de licenciamento

  • Assinatura - do IntuneMicrosoft Intune Plano 1, que é a assinatura básica do Intune. Você também pode usar o Windows LAPS com uma assinatura de avaliação gratuita para o Intune.

  • Microsoft Entra IDMicrosoft Entra ID Free, que é a versão gratuita do Microsoft Entra ID incluída quando você assina o Intune. Com Microsoft Entra ID Gratuito, você pode usar todos os recursos do LAPS.

Suporte ao Active Directory

A política do Intune para Windows LAPS pode configurar um dispositivo para fazer backup de uma conta de administrador local e senha para um dos seguintes tipos de Diretório:

Observação

Os dispositivos que são associados ao local de trabalho (WPJ) não têm suporte do Intune para LAPS.

  • Nuvem – A nuvem dá suporte ao backup no Microsoft Entra ID para os seguintes cenários:

  • Local – O local dá suporte a backup até Windows Server Active Directory (Active Directory local).

    Importante

    Laps em dispositivos Windows pode ser configurado para usar um tipo de diretório ou outro, mas não ambos. Considere também que o diretório de backup deve ser suportado pelo tipo de junção de dispositivos – se você definir o diretório como um Active Directory local e o dispositivo não for ingressado no domínio, ele aceitará as configurações de política do Intune, mas o LAPS não poderá usar essa configuração com êxito.

Edição e Plataforma do Dispositivo

Os dispositivos podem ter qualquer edição do Windows compatível com o Intune, mas devem executar uma das seguintes versões para dar suporte ao CSP do Windows LAPS:

  • Windows 10, versão 22H2 (19045.2846 ou posterior) com KB5025221
  • Windows 10, versão 21H2 (19044.2846 ou posterior) com KB5025221
  • Windows 10, versão 20H2 (19042.2846 ou posterior) com KB5025221
  • Windows 11, versão 22H2 (22621.1555 ou posterior) com KB5025239
  • Windows 11, versão 21H2 (22000.1817 ou posterior) com KB5025224

Suporte ao GCC High

Há suporte para a política do Intune para Windows LAPS para ambientes GCC High.

Controles de acesso baseados em função para LAPS

Para gerenciar o LAPS, uma conta deve ter permissões suficientes de RBAC (controle de acesso baseado em função) para concluir uma tarefa desejada. A seguir estão as tarefas disponíveis com suas permissões necessárias:

  • Criar e acessar a política laps – para trabalhar e exibir políticas de LAPS, sua conta deve receber permissões suficientes da categoria RBAC do Intune para linhas de base de segurança. Por padrão, eles são incluídos na função interna Endpoint Security Manager. Para usar funções personalizadas, verifique se a função personalizada inclui os direitos da categoria Linhas de base de segurança .

  • Girar a senha do administrador local – para usar o centro de administração do Intune para exibir ou girar uma senha de conta de administrador local de dispositivos, sua conta deve receber as seguintes permissões do Intune:

    • Dispositivos gerenciados: Leitura
    • Organização: Leitura
    • Tarefas remotas: girar senha de Administração local

  • Recuperar a senha do administrador local – para exibir detalhes de senha, sua conta deve ter uma das seguintes permissões de Microsoft Entra:

    • microsoft.directory/deviceLocalCredentials/password/read para ler metadados e senhas do LAPS.
    • microsoft.directory/deviceLocalCredentials/standard/read para ler metadados do LAPS, excluindo senhas.

    Para criar funções personalizadas que possam conceder essas permissões, consulte Criar e atribuir uma função personalizada em Microsoft Entra ID na documentação Microsoft Entra.

  • Exibir Microsoft Entra logs e eventos de auditoria – Para exibir detalhes sobre políticas do LAPS e ações recentes do dispositivo, como eventos de rotação de senha, sua conta deve permitir permissões equivalentes à função interna do Intune Operador somente leitura.

Para obter mais informações, consulte Controle de acesso baseado em função para Microsoft Intune.

Arquitetura laps

Para obter informações sobre a arquitetura do Windows LAPS, consulte Arquitetura do Windows LAPS na documentação do Windows.

Perguntas frequentes

Posso usar a política laps do Intune para gerenciar qualquer conta de administrador local em um dispositivo?

Sim. A política laps do Intune pode ser usada para gerenciar qualquer conta de administrador local em um dispositivo. No entanto, o LAPS dá suporte a apenas uma conta por dispositivo:

  • Quando uma política não especifica um nome de conta, o Intune gerencia a conta de administrador interna padrão, independentemente do nome atual no dispositivo.
  • Você pode alterar a conta que o Intune gerencia para um dispositivo alterando a política atribuída do dispositivo ou editando sua política atual para especificar uma conta diferente.
  • Se duas políticas separadas forem atribuídas a um dispositivo que especifique uma conta diferente, ocorrerá um conflito que deve ser resolvido antes que a conta do dispositivo possa ser gerenciada.

E se eu implantar a política laps com o Intune em um dispositivo que já tem configurações laps de uma origem diferente?

A política baseada em CSP do Intune substitui todas as outras fontes da política laps, como de GPOs ou uma configuração do Herdado Microsoft LAPS. Para obter mais informações, consulte Raízes de política com suporte na documentação do Windows LAPS.

O Windows LAPS pode criar contas de administrador local com base no nome da conta de administrador configurado usando a política laps?

Não. O Windows LAPS só pode gerenciar contas que já existem no dispositivo. Se uma política especificar uma conta por nome que não existe no dispositivo, a política se aplica e não relata um erro. No entanto, nenhuma conta é apoiada.

O Windows LAPS gira e faz backup da senha de um dispositivo que está desabilitado no Microsoft Entra?

Não. O Windows LAPS exige que o dispositivo esteja em um estado habilitado antes que a rotação de senha e as operações de backup possam ser aplicadas.

O que acontece quando um dispositivo é excluído no Microsoft Entra?

Quando um dispositivo é excluído no Microsoft Entra, a credencial laps que estava vinculada a esse dispositivo é perdida e a senha armazenada em Microsoft Entra ID é perdida. A menos que você tenha um fluxo de trabalho personalizado para recuperar senhas laps e armazená-las externamente, não há nenhum método em Microsoft Entra ID para recuperar a senha gerenciada do LAPS para um dispositivo excluído.

Quais funções são necessárias para recuperar senhas do LAPS?

As seguintes funções internas Microsoft Entra funções têm permissão para recuperar senhas laps: Administração global, Administração de dispositivo de nuvem e Administração do Serviço do Intune.

Quais funções são necessárias para ler metadados do LAPS?

As seguintes funções internas têm suporte para exibir metadados sobre LAPS, incluindo o nome do dispositivo, a rotação de última senha e a próxima rotação de senha: Global Administração, Cloud Device Administração, Intune Service Administração, Helpdesk Administração, Leitor de Segurança, Segurança Administração e Leitor Global.

Por que o botão senha de administrador local está esmaecido e inacessível?

Atualmente, o acesso a essa área requer a permissão Rotacionar a senha do Administrador local do Intune. Consulte Controle de acesso baseado em função para Microsoft Intune.

O que acontece quando a conta especificada pela política é alterada?

Como o Windows LAPS só pode gerenciar uma conta de administrador local em um dispositivo por vez, a conta original não é mais gerenciada pela política laps. Se a política tiver o dispositivo de backup dessa conta, a nova conta será apoiada e os detalhes sobre a conta anterior não estarão mais disponíveis no centro de administração do Intune ou no Diretório especificado para armazenar as informações da conta.

Próximas etapas