Compartilhar via


Introdução à LAPS do Windows e ao Microsoft Entra ID

Saiba como começar a usar a LAPS (Solução de Senha de Administrador Local) do Windows e o Microsoft Entra ID. O artigo descreve os procedimentos básicos para usar a LAPS do Windows para fazer backup de senhas no Microsoft Entra ID e como recuperá-las.

Nuvens do Azure com suporte

Consulte Solução de Senha de Administrador Local do Windows no Microsoft Entra ID e Suporte do Microsoft Intune para Windows LAPS para obter informações sobre quais nuvens específicas são suportadas.

Habilitar o LAPS nas configurações de dispositivo do Microsoft Entra

Importante

Por padrão, o Microsoft Entra ID não permite que dispositivos gerenciados postem novas senhas da LAPS do Windows no Microsoft Entra ID. Primeiro, você deve solicitar que o administrador de TI habilite o recurso no nível do locatário do Microsoft Entra. Para obter mais informações, confira Habilitar a LAPS do Windows com o Microsoft Entra ID.

Configurar a política de dispositivo

Para configurar a política de dispositivo, conclua estas tarefas:

  • Escolher um mecanismo de implantação de política
  • Compreender políticas aplicáveis ao modo do Microsoft Entra
  • Configurar as políticas específicas

Escolher um mecanismo de implantação de política

A primeira etapa é escolher como aplicar a política aos seus dispositivos.

A opção preferencial para dispositivos associados ao Microsoft Entra é usar o Microsoft Intune com o CSP (provedor de serviços de configuração) da LAPS do Windows.

Se os seus dispositivos ingressarem no Microsoft Entra, mas você não estiver usando o Microsoft Intune, ainda poderá implantar a LAPS do Windows para Microsoft Entra ID. Nesse cenário, será necessário implantar a política manualmente (por exemplo, usando a modificação direta de registro ou a Política de Grupo do Computador Local). Para obter mais informações, consulte Definir as configurações de política da LAPS do Windows.

Observação

Se os dispositivos forem associados de forma híbrida ao Windows Server Active Directory local, você poderá implantar a política usando a Política de Grupo da LAPS do Windows.

Políticas aplicáveis ao modo do Microsoft Entra

O CSP da LAPS do Windows e o objeto de Política de Grupo da LAPS do Windows gerenciam as mesmas configurações, mas apenas um subconjunto dessas configurações se aplicará à LAPS do Windows no modo Azure.

As configurações a seguir serão aplicáveis ao fazer backup de senhas no Microsoft Entra ID:

  • BackupDirectory
  • PasswordAgeDays
  • PasswordComplexity
  • PasswordLength
  • AdministratorAccountName
  • PostAuthenticationResetDelay
  • PostAuthenticationActions

De forma mais simples: as configurações de política específicas do Windows Server Active Directory não são relevantes e não têm suporte ao fazer backup da senha no Microsoft Entra ID.

Configurar as políticas específicas

No mínimo, será necessário definir a configuração BackupDirectory como o valor 1 (senhas de backup para o Microsoft Entra ID).

Se você não definir a configuração AdministratorAccountName, a LAPS do Windows assumirá como padrão o gerenciamento da conta de administrador local interna padrão. Essa conta interna é identificada automaticamente usando o RID (identificador relativo) conhecido e nunca deverá ser identificada com o nome. O nome da conta de administrador local interna varia dependendo da localidade padrão do dispositivo.

Caso queira configurar uma conta de administrador local personalizada, defina a configuração AdministratorAccountName com o nome dessa conta.

Importante

Caso configure a LAPS do Windows para gerenciar uma conta de administrador local personalizada, deverá garantir que a conta seja criada. A LAPS do Windows não cria a conta. É recomendável usar o CSP de Contas para criar a conta.

É possível definir outras configurações, como PasswordLength, conforme necessário para a organização.

Atualizar uma senha no Microsoft Entra ID

A LAPS do Windows processa a política atualmente ativa periodicamente (a cada hora). Para evitar a necessidade de aguardar após aplicar a política, você poderá executar o cmdlet Invoke-LapsPolicyProcessing do PowerShell.

Para verificar se a senha foi atualizada com êxito no Microsoft Entra ID, procure no log de eventos o evento 10029:

Captura de tela do log de eventos e uma mensagem bem-sucedida do log de eventos de atualização de senha do Microsoft Entra.

Recuperar uma senha do Microsoft Entra ID

A recuperação de senhas da LAPS do Windows armazenadas no Microsoft Entra ID tem suporte usando o Microsoft Graph. A LAPS do Windows inclui um cmdlet do PowerShell (Get-LapsAADPassword) que é um wrapper em volta da biblioteca do PowerShell do Microsoft Graph. Você também pode usar os portais de gerenciamento do Intune ou Microsoft Entra para uma experiência de recuperação de senha baseada em interface do usuário. A LAPS do Windows não fornece opções de interface do usuário dentro do Windows para recuperação de senha do Microsoft Entra.

O restante destas instruções descrevem como usar o cmdlet Get-LapsAADPassword para recuperar as senhas da LAPS do Windows do Microsoft Entra ID usando o Microsoft Graph.

Instalar a biblioteca do PowerShell do Microsoft Graph

A primeira etapa é instalar a biblioteca do PowerShell do Microsoft Graph:

Install-Module Microsoft.Graph -Scope AllUsers

Talvez seja necessário configurar o repositório como Confiável para que o comando obtenha êxito:

Set-PSRepository PSGallery -InstallationPolicy Trusted

Criar um aplicativo registrado do Microsoft Entra para recuperar senhas da LAPS do Windows

A próxima etapa é criar um aplicativo do Microsoft Entra configurado com as permissões necessárias. Para examinar as instruções básicas para criar um aplicativo do Microsoft Entra, consulte Início rápido: registrar um aplicativo na plataforma de identidade da Microsoft

É necessário configurar o aplicativo com duas permissões: Device.Read.All e DeviceLocalCredential.ReadBasic.All ou DeviceLocalCredential.Read.All. DeviceManagementManagedDevices.Read.All também pode ser necessário para consultar senhas para dispositivos da Área de Trabalho Gerenciados pela Microsoft.

Importante

  • Use DeviceLocalCredential.ReadBasic.All para conceder permissões de leitura de metadados não confidenciais sobre as senhas persistentes da LAPS do Windows. Os exemplos incluem a hora em que o backup da senha foi feito no Azure e o tempo de expiração esperado de uma senha. Esse nível de permissão é apropriado para relatórios e aplicativos de conformidade.
  • Use DeviceLocalCredential.Read.All para conceder permissões totais para ler tudo sobre as senhas persistentes da LAPS do Windows, incluindo as próprias senhas com texto não criptografado. Esse nível de permissões é confidencial e deverá ser usado com cuidado.

Recuperar a senha do Microsoft Entra ID

Você está quase lá! Primeiro, entre no Microsoft Graph. Em seguida, use o cmdlet Get-LapsAADPassword para recuperar a senha.

Para entrar no Microsoft Graph, use o cmdlet Connect-MgGraph. Será necessário conhecer a ID de locatário do Azure e a ID de aplicativo do Microsoft Entra que você criou anteriormente. Execute o cmdlet uma vez para entrar. Por exemplo:

PS C:\> Connect-MgGraph -Environment Global -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444
Welcome To Microsoft Graph!

Dica

Para que o cmdlet Connect-MgGraph obtenha êxito, talvez será necessário modificar a política de execução do PowerShell. Por exemplo, poderá ser necessário para a primeira execução Set-ExecutionPolicy -ExecutionPolicy Unrestricted.

Agora que está conectado ao Microsoft Graph, poderá recuperar a senha.

Primeiro, invoque o cmdlet Get-LapsAADPassword e passe o nome do dispositivo:

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice
DeviceName    DeviceId                             PasswordExpirationTime
----------    --------                             ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM

Dica

Passe o parâmetro -Verbose para ver as informações detalhadas sobre o que o cmdlet Get-LapsAADPassword (ou qualquer outro cmdlet no módulo do PowerShell da LAPS do Windows) está fazendo.

O exemplo anterior exige que o cliente tenha as permissões DeviceLocalCredential.Read.Basic concedidas. Os exemplos a seguir exigem que o cliente tenhas as permissões DeviceLocalCredential.Read.All concedidas.

Em seguida, invoque o cmdlet Get-LapsAADPassword para solicitar que a senha real seja retornada:

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords
DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

A senha que é retornada em um objeto SecureString.

Por fim, para propósitos de teste ou ad hoc, você pode solicitar que a senha apareça em texto não criptografado usando o parâmetro -AsPlainText:

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

Girar a senha

A LAPS do Windows lembra localmente quando a última senha armazenada expira e gira a senha automaticamente quando ela expirar. Em algumas situações (por exemplo, após uma violação de segurança ou para testes ad hoc), poderá ser necessário girar a senha antecipadamente. Para forçar manualmente uma rotação de senha, você poderá usar o cmdlet Reset-LapsPassword. Por exemplo:

PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime     : 7/1/2022 12:16:16 PM

Importante

  • Atualmente, o Microsoft Entra ID não dá suporte à expiração da senha armazenada de um dispositivo por meio da modificação do carimbo de data/hora de expiração da senha no Microsoft Entra ID. Essa é uma diferença de design da LAPS do Windows baseada no Windows Server Active Directory.
  • Evite o uso excessivamente frequente do cmdl Reset-LapsPassword. Se detectada, a atividade poderá ser limitada.

LAPS do Windows e Microsoft Entra Connect em ambientes híbridos

A LAPS do Windows não depende do Microsoft Entra Connect e não há dependências entre essas duas tecnologias. Dispositivos LAPS do Windows gerenciados que fazem backup de suas senhas para Microsoft Entra ID fazem isso diretamente por meio de https, sem nenhuma dependência na sincronização de dados.

Além disso, os portais de gerenciamento de dispositivos do Microsoft Entra ID e Intune só podem exibir e gerenciar senhas que foram diretamente copiadas em backup de um dispositivo da LAPS do Windows. Configurar o Microsoft Entra Connect para sincronizar os atributos LAPS do Windows do Active Directory local com o Microsoft Entra ID não é um cenário testado. Sincronizar manualmente os atributos da LAPS do Windows do Active Directory local com o Microsoft Entra ID não resultará na exibição desses atributos nos portais de gerenciamento de dispositivos Microsoft Entra ID ou Intune.

Embora não seja obrigatório que a LAPS do Windows opere, sempre que você estender seu esquema de Active Directory local como prática recomendada, também deverá atualizar seu esquema de diretório do Microsoft Entra Connect. Confira Atualizar esquema de diretório.

Confira também

Próximas etapas