Configurando o LAPS no Salas do Teams no Windows

  • Artigo
  • Aplica-se a:
    Microsoft Teams

Este artigo fornece uma visão geral do LAPS, sua arquitetura e as etapas para configurar o LAPS para Salas do Teams no Windows.

A LAPS (Solução de Senha do Administrador Local do Windows) é um recurso do Windows que gerencia e faz backup da senha da conta de administrador local para Microsoft Entra ingressado (Entra Joined) ou Active Directory (AD). Ele fornece proteção aprimorada contra ataques de senha da conta de administrador local e atende aos principais requisitos do cliente para implantar Salas do Teams em dispositivos Windows.

O que é laps?

O LAPS é uma solução que gera automaticamente uma senha aleatória e complexa para a conta de administrador local em cada dispositivo Windows e a armazena com segurança no Entra ou no Active Directory. A senha é alterada periodicamente de acordo com a política configurada e pode ser recuperada por usuários autorizados quando o acesso é necessário. O LAPS reduz o risco de movimento lateral e ataques de escalonamento de privilégios que exploram a mesma senha de administrador local em vários dispositivos. Ele simplifica o gerenciamento de senhas de administrador local e elimina a necessidade de soluções manuais ou roteadas.

Arquitetura do Windows LAPS

O LAPS consiste nos seguintes componentes:

  • Uma tarefa periódica em segundo plano é executada em cada dispositivo Windows e executa as operações de alteração de senha e backup.
  • Um módulo do PowerShell que fornece cmdlets para administrar e recuperar as senhas.
  • Habilite Microsoft Entra extensão de esquema laps (solução de senha do administrador local) para AD que adiciona um atributo para armazenar a senha e as informações relacionadas.

Arquitetura e fluxo de trabalho do LAPS:

Arquitetura do Windows LAPS com um dispositivo gerenciado, o Azure Active Directory e o Windows Server ActiveDirectory.

Implantação do LAPS

Antes de implantar no Salas do Teams no Windows, você deve considerar:

  • O LAPS deve ser implantado usando a ID de Entra sempre que possível, pois fornece melhor segurança e escalabilidade do que o Active Directory.
  • Os dispositivos devem ser ingressados ou a Entra Híbrida Ingressada e gerenciada por Intune antes de prosseguir com a implantação do LAPS.
  • Todos os periféricos ou pontos de extremidade que se conectam ao Salas do Teams no dispositivo Windows usando as credenciais de administrador local perderão a conexão após a reinicialização ou alteração de senha. Algumas implementações OEM usam esse método para conectar controladores de sala. O OEM deve ser consultado para obter compatibilidade e soluções alternativas.
  • Que todas as diretrizes neste documento foram configuradas e testadas em builds OEM e exclui todas as imagens personalizadas.
  • Que você tem um grupo de dispositivos dedicado para Salas do Teams em dispositivos Windows para gerenciamento e atribuição de políticas. Se isso não estiver disponível, crie um antes de prosseguir.

Nota

Alguns OEMs como o Crestron exigem o nome de usuário local e a senha para conectar periféricos, como controladores de toque. Para obter mais informações sobre os impactos da alteração da senha da conta local, entre em contato com a Crestron antes de implementar.

A implantação do LAPS para Salas do Teams em dispositivos Windows requer:

  • Configurando as configurações de ID de entra para habilitar o LAPS.
  • Criando e atribuindo a política laps no Intune.
  • Verificando a alteração de senha e o backup nos dispositivos.

Configuração de Entra

Para habilitar o LAPS no Entra ID:

  1. Vá para https://entra.microsoft.com.
  2. Clique emDispositivos de>Identidade>Todos os Dispositivos.
  3. Selecione Configurações do Dispositivo.
  4. Alternar Habilitar Microsoft Entra Soluções de Senha do Administrador Local para Sim.
  5. Clique em Salvar.

Configuração de Intune

Para criar e atribuir a política laps em Intune, as seguintes etapas devem ser seguidas:

  1. Vá para o Centro de Intune Administração em https://intune.microsoft.com.
  2. Selecione Segurança do ponto de extremidade na navegação à esquerda.
  3. Selecione Proteção de conta.
  4. Selecione Criar Política.
  5. Para Plataforma, selecione Windows 10 e posterior e perfil Solução de senha de administrador local (Windows LAPS).
  6. Clique em Criar.

Para configurar as configurações de política:

  1. Insira um nome de política, como Salas do Teams no Windows LAPS Policy.
  2. Insira uma descrição, se necessário, clique em Avançar.
  3. Selecione Diretório de Backup para fazer backup da senha somente para Azure AD.
  4. Alterne os Dias de Idade da Senha para configurado e insira o valor desejado.
  5. Alterne o Nome da Conta do Administrador para configurar e insira Administração para corresponder ao nome de usuário predefinido da conta de administrador local no Salas do Teams no console do Windows.
  6. Selecione o método de Complexidade de Senha desejado.
  7. Alterne o Comprimento da Senha para configurado e insira o comprimento de senha desejado com 8 mínimos e 64 no máximo.
  8. Clique em Avançar duas vezes se você não usar marcas de escopo.

Para atribuir a política a um grupo de Salas do Teams gerenciados por Intune em dispositivos Windows:

  1. Selecione Atribuições.
  2. Selecione o grupo que contém o Salas do Teams em dispositivos Windows e escopo da política corretamente. Selecione Avançar.
  3. Depois de confirmar que a política e o escopo estão corretos, selecione Criar para aplicar a política aos dispositivos no escopo.
  4. Aguarde até uma hora para que a política seja aplicada e a senha seja alterada.

Gerenciamento do LAPS

Para recuperar a senha do administrador local do Centro de Administração entra:

  1. Vá para https://entra.microsoft.com.
  2. Clique emDispositivos de>Identidade>Todos os Dispositivos.
  3. Selecione Recuperação de Senha do Administrador Local.
  4. Pesquise um dispositivo habilitado ou selecione na lista prepovoada.
  5. Clique em Mostrar senha do administrador local.
  6. Clique em Mostrar para revelar a senha. Anote os carimbos de data/hora da última e próxima rotação.

Para examinar os logs de auditoria no Entra:

  1. Vá para https://entra.microsoft.com.
  2. Clique emDispositivos de>Identidade>Todos os logs>de auditoria de dispositivos.
  3. Selecione Atividade para filtrar em Atualizar a senha do administrador local do dispositivo oua senha do administrador local do dispositivo ecover R para revisar os eventos.

Resumo

O LAPS é um recurso do Windows que aprimora a segurança e o gerenciamento de senhas de administrador local para Salas do Teams em dispositivos Windows. Ele gera e faz backup automático das senhas para o Entra e permite que os usuários autorizados as recuperem quando necessário. O LAPS também impede a reutilização de senha e simplifica a rotação de senha. Este documento fornece as etapas para implantar e atender o LAPS para Salas do Teams em dispositivos Windows usando Entra e Intune.