Suporte do Microsoft Intune para LAPS do Windows

Todos os computadores Windows têm uma conta de administrador local incorporada que não pode ser eliminada e que tem todas as permissões para o dispositivo. Proteger esta conta é um passo importante para proteger a sua organização. Os dispositivos Windows incluem a Solução de Palavra-passe de Administrador Local (LAPS) do Windows, uma solução incorporada para ajudar a gerir contas de administrador local.

Pode utilizar políticas de segurança de ponto final do Microsoft Intune para a proteção de contas para gerir a LAPS em dispositivos que tenham sido inscritos no Intune. As políticas do Intune podem:

• Impor requisitos de palavra-passe para contas de administrador local
• Fazer uma cópia de segurança de uma conta de administrador local a partir de dispositivos para o Active Directory (AD) ou o Microsoft Entra
• Agende a rotação dessas palavras-passe de conta para ajudar a mantê-las seguras.

Também pode ver detalhes sobre as contas de administrador local geridas no Centro de administração do Intune e rodar manualmente as respetivas palavras-passe de conta fora de uma rotação agendada.

A utilização de políticas laps do Intune ajuda-o a proteger os dispositivos Windows contra ataques que visam explorar contas de utilizador locais, como ataques pass-the-hash ou de percurso lateral. A gestão de LAPS com o Intune também pode ajudar a melhorar a segurança para cenários de suporte técnico remoto e recuperar dispositivos inacessíveis.

A política laps do Intune gere as definições disponíveis a partir do CSP do Windows LAPS. A utilização do CSP pelo Intune substitui a utilização do Legacy Microsoft LAPS ou de outras soluções de gestão laps, com o CSP a ter precedência sobre outras origens de gestão laps.

O suporte do Intune para a LAPS do Windows inclui as seguintes capacidades:

• Definir requisitos de palavra-passe – defina os requisitos de palavra-passe, incluindo a complexidade e o comprimento da conta de administrador local num dispositivo.
• Rodar palavras-passe – com a política, pode fazer com que os dispositivos rodem automaticamente as palavras-passe da conta de administrador local com base numa agenda. Também pode utilizar o centro de administração do Intune para rodar manualmente a palavra-passe de um dispositivo como uma ação do dispositivo.
• Contas de cópia de segurança e palavras-passe – pode optar por fazer com que os dispositivos criem uma cópia de segurança da respetiva conta e palavra-passe no Microsoft Entra ID na nuvem ou no Active Directory no local. As palavras-passe são armazenadas com encriptação forte.
• Configurar ações de autenticação pós-autenticação – defina as ações que um dispositivo executa quando a palavra-passe da conta de administrador local expira. As ações vão desde a reposição da conta gerida até à utilização de uma nova palavra-passe segura, ao registo da conta ou à execução de ambos e, em seguida, à ativação do dispositivo. Também pode gerir quanto tempo o dispositivo aguarda após a expiração da palavra-passe antes de efetuar estas ações.
• Ver detalhes da conta – os administradores do Intune com permissões de controlo administrativo baseado em funções (RBAC) suficientes podem ver informações sobre uma conta de administrador local de dispositivos e a palavra-passe atual. Também pode ver quando a palavra-passe foi rodada pela última vez (reposição) e quando está agendada a rotação seguinte.
• Ver relatórios – o Intune fornece relatórios sobre a rotação de palavras-passe, incluindo detalhes sobre a rotação de palavras-passe manuais e agendadas anteriores.

Para saber mais detalhadamente sobre o Windows LAPS, comece com os seguintes artigos na documentação do Windows:

• O que é a LAPS do Windows? – Introdução à LAPS do Windows e ao conjunto de documentação do Windows LAPS.
• CSP do Windows LAPS – veja todos os detalhes das definições e opções de LAPS. A política do Intune para LAPS utiliza estas definições para configurar o CSP laps em dispositivos.

Aplicável a:

• Windows 10
• Windows 11

Pré-requisitos

Seguem-se os requisitos para o Intune suportar a LAPS do Windows no seu inquilino:

Requisitos de licenciamento

• Subscrição do - IntunePlano 1 do Microsoft Intune, que é a subscrição básica do Intune. Também pode utilizar o Windows LAPS com uma subscrição de avaliação gratuita para o Intune.

• Microsoft Entra ID – Microsoft Entra ID Gratuito, que é a versão gratuita do Microsoft Entra ID incluída quando subscreve o Intune. Com o Microsoft Entra ID Gratuito, pode utilizar todas as funcionalidades da LAPS.

Suporte do Active Directory

A política do Intune para o Windows LAPS pode configurar um dispositivo para criar uma cópia de segurança de uma conta de administrador local e palavra-passe para um dos seguintes tipos de Diretório:

Observação

Os dispositivos associados à área de trabalho (WPJ) não são suportados pelo Intune para LAPS.

• Cloud – A cloud suporta a cópia de segurança para o seu ID do Microsoft Entra para os seguintes cenários:

  • Ingresso Microsoft Entra hibrído

  • Ingresso Microsoft Entra

    O suporte para a associação ao Microsoft Entra requer que ative a LAPS no seu Microsoft Entra ID. Os passos seguintes podem ajudá-lo a concluir esta configuração. Para obter um contexto maior, veja estes passos na documentação do Microsoft Entra em Enabling Windows LAPS with Microsoft Entra ID (Ativar o Windows LAPS com o Microsoft Entra ID). A associação híbrida do Microsoft Entra não requer que a LAPS esteja ativada no Microsoft Entra.

    Ativar LAPS no Microsoft Entra:

    1. Inicie sessão no centro de administração do Microsoft Entra como Administrador de Dispositivos na Cloud.
    2. Navegue para Definições deDispositivos> de Identidade>Descrição Geral>do Dispositivo.
    3. Selecione Sim para a definição Ativar Solução de Palavra-passe de Administrador Local (LAPS) e selecione Guardar. Também pode utilizar o dispositivo Microsoft Graph API UpdateRegistrationPolicy.

    Para obter mais informações, consulte Solução de Palavra-passe de Administrador Local do Windows no ID do Microsoft Entra na documentação do Microsoft Entra.

• No local – o no local suporta a cópia de segurança do Windows Server Active Directory (Active Directory no local).

  Importante

  A LAPS em dispositivos Windows pode ser configurada para utilizar um tipo de diretório ou outro, mas não ambos. Considere também que o diretório de cópia de segurança tem de ser suportado pelo tipo de associação de dispositivos – se definir o diretório para um Active Directory no local e o dispositivo não estiver associado a um domínio, aceitará as definições de política do Intune, mas a LAPS não poderá utilizar essa configuração com êxito.

Device Edition e Plataforma

Os dispositivos podem ter qualquer edição do Windows suportada pelo Intune, mas têm de executar uma das seguintes versões para suportar o CSP do Windows LAPS:

• Windows 10, versão 22H2 (19045.2846 ou posterior) com KB5025221
• Windows 10, versão 21H2 (19044.2846 ou posterior) com KB5025221
• Windows 10, versão 20H2 (19042.2846 ou posterior) com KB5025221
• Windows 11, versão 22H2 (22621.1555 ou posterior) com KB5025239
• Windows 11, versão 21H2 (22000.1817 ou posterior) com KB5025224

Suporte GCC High

A política do Intune para o Windows LAPS é suportada para ambientes GCC High.

Controlos de acesso baseados em funções para LAPS

Para gerir a LAPS, uma conta tem de ter permissões de controlo de acesso baseado em funções (RBAC) suficientes para concluir uma tarefa pretendida. Seguem-se as tarefas disponíveis com as respetivas permissões necessárias:

• Criar e aceder à política laps – para trabalhar e ver políticas laps, a sua conta tem de ter permissões suficientes da categoria RBAC do Intune para linhas de base de segurança. Por predefinição, estes estão incluídos na função incorporada Endpoint Security Manager. Para utilizar funções personalizadas, certifique-se de que a função personalizada inclui os direitos da categoria Linhas de base de segurança.

• Rodar a palavra-passe de Administrador local – para utilizar o centro de administração do Intune para ver ou rodar uma palavra-passe de conta de administrador local de dispositivos, a sua conta tem de ter as seguintes permissões do Intune atribuídas:

  • Dispositivos geridos: Leitura
  • Organização: Leitura
  • Tarefas remotas: Rodar a Palavra-passe de Administrador Local

• Obter a palavra-passe de Administrador local – para ver os detalhes da palavra-passe, a sua conta tem de ter uma das seguintes permissões do Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read para ler metadados e palavras-passe laps.
  • microsoft.directory/deviceLocalCredentials/standard/read para ler metadados laps excluindo palavras-passe.

  Para criar funções personalizadas que podem conceder estas permissões, consulte Criar e atribuir uma função personalizada no Microsoft Entra ID na documentação do Microsoft Entra.

• Ver eventos e registos de auditoria do Microsoft Entra – para ver detalhes sobre as políticas laps e as ações recentes do dispositivo, como eventos de rotação de palavras-passe, a sua conta tem de ter permissões equivalentes à função incorporada do Intune Operador Só de Leitura.

Para obter mais informações, veja Controlo de acesso baseado em funções para o Microsoft Intune.

Arquitetura de LAPS

Para obter informações sobre a arquitetura da LAPS do Windows, consulte Arquitetura de LAPS do Windows na documentação do Windows.

Perguntas frequentes

Posso utilizar a política laps do Intune para gerir qualquer conta de administrador local num dispositivo?

Sim. A política laps do Intune pode ser utilizada para gerir qualquer conta de administrador local num dispositivo. No entanto, a LAPS suporta apenas uma conta por dispositivo:

• Quando uma política não especifica um nome de conta, o Intune gere a conta de administrador incorporada predefinida, independentemente do nome atual no dispositivo.
• Pode alterar a conta que o Intune gere para um dispositivo ao alterar a política atribuída do dispositivo ou editar a política atual para especificar uma conta diferente.
• Se forem atribuídas duas políticas separadas a um dispositivo que especifique uma conta diferente, ocorrerá um conflito que tem de ser resolvido antes de a conta do dispositivo poder ser gerida.

E se implementar a política laps com o Intune num dispositivo que já tenha configurações laps de uma origem diferente?

A política baseada em CSP do Intune substitui todas as outras origens da política laps, como gpOs ou uma configuração da Microsoft LAPS Legada. Para obter mais informações, veja Raízes de Política Suportadas na documentação do Windows LAPS.

O Windows LAPS pode criar contas de administrador local com base no nome da conta de administrador que está configurado com a política laps?

Não. O Windows LAPS só pode gerir contas que já existem no dispositivo. Se uma política especificar uma conta pelo nome que não existe no dispositivo, a política aplica-se e não comunica um erro. No entanto, não é efetuada uma cópia de segurança de nenhuma conta.

O Windows LAPS roda e faz uma cópia de segurança da palavra-passe de um dispositivo que está desativado no Microsoft Entra?

Não. A LAPS do Windows requer que o dispositivo esteja num estado ativado antes de as operações de rotação e cópia de segurança de palavras-passe poderem ser aplicadas.

O que acontece quando um dispositivo é eliminado no Microsoft Entra?

Quando um dispositivo é eliminado no Microsoft Entra, a credencial laps associada a esse dispositivo é perdida e a palavra-passe armazenada no Microsoft Entra ID é perdida. A menos que tenha um fluxo de trabalho personalizado para obter palavras-passe laps e armazená-las externamente, não existe nenhum método no Microsoft Entra ID para recuperar a palavra-passe gerida laps para um dispositivo eliminado.

Que funções são necessárias para recuperar palavras-passe laps?

As seguintes funções incorporadas do Microsoft Entra têm permissão para recuperar palavras-passe laps: Administrador de Dispositivos cloud e Administrador do Intune.

Que funções são necessárias para ler metadados laps?

As seguintes funções incorporadas do Microsoft Entra são suportadas para ver metadados sobre LAPS, incluindo o nome do dispositivo, a rotação da última palavra-passe e a rotação de palavra-passe seguinte:

• Leitor de Segurança

Também pode utilizar as seguintes funções:

• Administrador de Dispositivos na Cloud
• Administrador do Intune
• Administrador de Suporte Técnico
• Administrador de Segurança

Por que motivo o botão Palavra-passe de administrador local está desativado e inacessível?

Atualmente, o acesso a esta área requer a permissão Rodar palavra-passe de Administrador local do Intune. Veja Controlo de acesso baseado em funções do Microsoft Intune.

O que acontece quando a conta especificada pela política é alterada?

Uma vez que o Windows LAPS só pode gerir uma conta de administrador local num dispositivo de cada vez, a conta original já não é gerida pela política laps. Se a política tiver a cópia de segurança do dispositivo nessa conta, é criada uma cópia de segurança da nova conta e os detalhes sobre a conta anterior deixarão de estar disponíveis no centro de administração do Intune ou no Diretório especificado para armazenar as informações da conta.

Próximas etapas

• Criar política para LAPS
• Ver relatórios para LAPS
• Política de proteção de contas para segurança de pontos finais no Intune