LAPS CSP
O fornecedor de serviços de configuração da Solução de Palavra-passe de Administrador Local (LAPS) (CSP) é utilizado pela empresa para gerir a cópia de segurança das palavras-passe da conta de administrador local. O Windows suporta um Objeto de Política de Grupo LAPS totalmente separado do CSP laps. Muitas das várias definições são comuns tanto no GPO de LAPS como no CSP (o GPO não suporta nenhuma das definições relacionadas com a ação). Desde que pelo menos uma definição laps esteja configurada através de CSP, todas as definições configuradas para GPO serão ignoradas. Veja também Configurar definições de política para a LAPS do Windows.
Observação
Para obter mais informações sobre as atualizações específicas do SO necessárias para utilizar o CSP da LAPS do Windows e as funcionalidades associadas, além da status atual do cenário Microsoft Entra LAPS, consulte Disponibilidade da LAPS do Windows e Microsoft Entra status de pré-visualização pública laps.
Dica
Este artigo aborda os detalhes técnicos específicos do CSP laps. Para obter mais informações sobre os cenários em que o CSP de LAPS seria utilizado, consulte Solução de Palavra-passe de Administrador Local do Windows.
A lista seguinte mostra os nós do fornecedor de serviços de configuração laps:
- ./Device/Vendor/MSFT/LAPS
- Ações
-
Políticas
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- Frase de acessoLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Ações
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Actions
Define o nó interior principal para todas as definições relacionadas com a ação no CSP laps.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | node |
| Tipo de acesso | Obter |
Ações/ReporPassword
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Utilize esta definição para indicar ao CSP para gerar e armazenar imediatamente uma nova palavra-passe para a conta de administrador local gerida.
Esta ação invoca uma reposição imediata da palavra-passe da conta de administrador local, ignorando as restrições normais, como PasswordLengthDays, etc.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | null |
| Tipo de acesso | Executivo |
Actions/ResetPasswordStatus
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Utilize esta definição para consultar a status da última ação de execução ResetPassword submetida.
O valor devolvido é um código HRESULT:
- S_OK (0x0): a última ação ResetPassword submetida foi efetuada com êxito.
- E_PENDING (0x8000000): a última ação ResetPassword submetida ainda está em execução.
- Outro: a última ação ResetPassword submetida encontrou o erro devolvido.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Obter |
| Valor Padrão | 0 |
Políticas
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies
Nó de raiz para políticas laps.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | node |
| Tipo de acesso | Obter |
| Atomic Required | True |
Policies/ADEncryptedPasswordHistorySize
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Utilize esta definição para configurar quantas palavras-passe encriptadas anteriores serão memorizadas no Active Directory.
Se não for especificado, esta definição será predefinida para 0 palavras-passe (desativada).
Esta definição tem um valor mínimo permitido de 0 palavras-passe.
Esta definição tem um valor máximo permitido de 12 palavras-passe.
Importante
Esta definição é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como Verdadeiro e todos os outros pré-requisitos sejam cumpridos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Intervalo: [0-12] |
| Valor Padrão | 0 |
| Dependência [BackupDirectory] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM |
Políticas/AdministratorAccountName
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Utilize esta definição para configurar o nome da conta de administrador local gerida.
Se não for especificado, a conta de administrador local incorporada predefinida estará localizada por UM SID conhecido (mesmo que o nome tenha sido mudado).
Se for especificado, a palavra-passe da conta especificada será gerida.
Tenha em atenção que, se for especificado um nome de conta de administrador local gerido personalizado nesta definição, essa conta tem de ser criada através de outros meios. Especificar um nome nesta definição não fará com que a conta seja criada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Policies/ADPasswordEncryptionEnabled
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Utilize esta definição para configurar se a palavra-passe está encriptada antes de ser armazenada no Active Directory.
Esta definição é ignorada se a palavra-passe estiver atualmente a ser armazenada no Microsoft Entra ID.
Esta definição só é honrada quando o domínio do Active Directory está Windows Server 2016 Nível Funcional do Domínio ou superior.
Se esta definição estiver ativada e o domínio do Active Directory cumprir os pré-requisitos da DFL, a palavra-passe será encriptada antes de ser armazenada no Active Directory.
Se esta definição estiver desativada ou se o domínio do Active Directory não cumprir os pré-requisitos da DFL, a palavra-passe será armazenada como texto não encriptado no Active Directory.
Se não for especificado, esta definição é predefinida como Verdadeiro.
Importante
Esta definição é ignorada, a menos que o BackupDirectory esteja configurado para fazer uma cópia de segurança da palavra-passe para o Active Directory e o domínio do Active Directory esteja no Windows Server 2016 Nível Funcional do Domínio ou superior.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | bool |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | True |
| Dependência [BackupDirectory] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| false | Armazene a palavra-passe num formulário de texto não encriptado no Active Directory. |
| true (Predefinição) | Armazene a palavra-passe num formulário encriptado no Active Directory. |
Policies/ADPasswordEncryptionPrincipal
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Utilize esta definição para configurar o nome ou SID de um utilizador ou grupo que possa desencriptar a palavra-passe armazenada no Active Directory.
Esta definição é ignorada se a palavra-passe estiver atualmente a ser armazenada no Microsoft Entra ID.
Se não for especificado, a palavra-passe será desencriptável pelo grupo Admins do Domínio no domínio do dispositivo.
Se for especificado, o utilizador ou grupo especificado poderá desencriptar a palavra-passe armazenada no Active Directory.
Se a conta de utilizador ou grupo especificada for inválida, o dispositivo reverterá para a utilização do grupo Admins do Domínio no domínio do dispositivo.
Importante
Esta definição é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como Verdadeiro e todos os outros pré-requisitos sejam cumpridos. A cadeia armazenada nesta definição tem de ser um SID no formulário de cadeia ou o nome completamente qualificado de um utilizador ou grupo. Exemplos válidos incluem:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
O principal identificado (por SID ou nome de utilizador\grupo) tem de existir e ser resolvível pelo dispositivo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Dependência [BackupDirectory] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM |
Políticas/AutomaticAccountManagementEnableAccount
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Utilize esta definição para configurar se a conta gerida automaticamente está ativada ou desativada.
Se esta definição estiver ativada, a conta de destino será ativada.
Se esta definição estiver desativada, a conta de destino será desativada.
Se não for especificado, esta definição é predefinida como Falso.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | bool |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | False |
| Dependência [AutomaticAccountManagementEnabled] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| Falso (Predefinição) | A conta de destino será desativada. |
| True | A conta de destino será ativada. |
Políticas/AutomaticAccountManagementEnabled
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Utilize esta definição para especificar se a gestão automática de contas está ativada.
Se esta definição estiver ativada, a conta de destino será gerida automaticamente.
Se esta definição estiver desativada, a conta de destino não será gerida automaticamente.
Se não for especificado, esta definição é predefinida como Falso.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | bool |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | False |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| falso (Predefinição) | A conta de destino não será gerida automaticamente. |
| true | A conta de destino será gerida automaticamente. |
Policies/AutomaticAccountManagementNameOrPrefix
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Utilize esta definição para configurar o nome ou prefixo da conta de administrador local gerida.
Se especificado, o valor será utilizado como o nome ou prefixo de nome da conta gerida.
Se não for especificado, esta definição será predefinida como "WLapsAdmin".
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Dependência [AutomaticAccountManagementEnabled] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM |
Policies/AutomaticAccountManagementRandomizeName
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Utilize esta definição para configurar se o nome da conta gerida automaticamente utiliza um sufixo numérico aleatório sempre que a palavra-passe é rodada.
Se esta definição estiver ativada, o nome da conta de destino utilizará um sufixo numérico aleatório.
Se esta definição for desativada, o nome da conta de destino não utilizará um sufixo numérico aleatório.
Se não for especificado, esta definição é predefinida como Falso.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | bool |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | False |
| Dependência [AutomaticAccountManagementEnabled] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| Falso (Predefinição) | O nome da conta de destino não utilizará um sufixo numérico aleatório. |
| True | O nome da conta de destino utilizará um sufixo numérico aleatório. |
Policies/AutomaticAccountManagementTarget
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Utilize esta definição para configurar a conta que é gerida automaticamente.
As definições permitidos são:
0=A conta de administrador incorporada será gerida.
1=Será gerida uma nova conta criada pela LAPS do Windows.
Se não for especificado, esta definição será predefinida como 1.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 1 |
| Dependência [AutomaticAccountManagementEnabled] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 | Gerir a conta de administrador incorporada. |
| 1 (Predefinição) | Gerir uma nova conta de administrador personalizada. |
Políticas/BackupDirectory
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Utilize esta definição para configurar o diretório para o qual é criada uma cópia de segurança da palavra-passe da conta de administrador local.
As definições permitidos são:
0=Desativado (não será criada uma cópia de segurança da palavra-passe) 1=Faça uma cópia de segurança da palavra-passe para Microsoft Entra ID apenas 2=Fazer uma cópia de segurança da palavra-passe apenas para o Active Directory.
Se não for especificado, esta definição será predefinida como 0.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 0 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 0 (Padrão) | Desativado (não será criada uma cópia de segurança da palavra-passe). |
| 1 | Faça uma cópia de segurança da palavra-passe apenas para Microsoft Entra ID. |
| 2 | Faça uma cópia de segurança da palavra-passe apenas para o Active Directory. |
Políticas/Frase de AcessoLength
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Utilize esta definição para configurar o número de palavras de frase de acesso.
Se não for especificado, esta definição será predefinida para 6 palavras.
Esta definição tem um valor mínimo permitido de 3 palavras.
Esta definição tem um valor máximo permitido de 10 palavras.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Intervalo: [3-10] |
| Valor Padrão | 6 |
| Dependência [PasswordComplexity] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor Permitido da Dependência: [6-8] Tipo de Valor Permitido de Dependência: Range |
Políticas/PasswordAgeDays
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Utilize esta política para configurar a idade máxima da palavra-passe da conta de administrador local gerida.
Se não for especificado, esta definição será predefinida para 30 dias.
Esta definição tem um valor mínimo permitido de 1 dia ao criar uma cópia de segurança da palavra-passe para Active Directory local e 7 dias ao apoiar a palavra-passe para Microsoft Entra ID.
Esta definição tem um valor máximo permitido de 365 dias.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Intervalo: [1-365] |
| Valor Padrão | 30 |
| Dependency [BackupDirectoryAADMode BackupDirectoryADMode] | Tipo de Dependência: DependsOn DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: Tipo de Valor Permitido de Dependência: ENUM ENUM |
Políticas/PasswordComplexity
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Utilize esta definição para configurar a complexidade da palavra-passe da conta de administrador local gerida.
As definições permitidos são:
1=Letras grandes 2=Letras grandes + letras pequenas 3=Letras grandes + letras pequenas + números 4=Letras grandes + letras pequenas + números + carateres especiais 5=Letras grandes + letras pequenas + números + carateres especiais (legibilidade melhorada) 6=Frase de acesso (palavras longas) 7=Frase de acesso (palavras curtas) 8=Frase de acesso (palavras curtas com prefixos exclusivos)
Se não for especificado, esta definição será predefinida como 4.
Lista de frases de acesso obtida a partir de "Deep Dive: EFF's New Wordlists for Random Passphrases" da Electronic Frontier Foundation e é utilizada ao abrigo de uma licença de Atribuição CC-BY-3.0. Consulte https://go.microsoft.com/fwlink/?linkid=2255471 para mais informações.
Importante
O Windows suporta as definições de complexidade de palavras-passe mais baixas (1, 2 e 3) apenas para retrocompatibilidade com versões mais antigas da LAPS. A Microsoft recomenda que esta definição seja sempre configurada para 4.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 4 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Letras grandes. |
| 2 | Letras grandes + letras pequenas. |
| 3 | Letras grandes + letras pequenas + números. |
| 4 (Predefinição) | Letras grandes + letras pequenas + números + carateres especiais. |
| 5 | Letras grandes + letras pequenas + números + carateres especiais (legibilidade melhorada). |
| 6 | Frase de acesso (palavras longas). |
| 7 | Frase de acesso (palavras curtas). |
| 8 | Frase de acesso (palavras curtas com prefixos exclusivos). |
Políticas/PasswordExpirationProtectionEnabled
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Utilize esta definição para configurar a imposição adicional da idade máxima da palavra-passe para a conta de administrador local gerida.
Quando esta definição está ativada, a expiração planeada de palavra-passe que resultaria numa idade de palavra-passe superior à ditada pela política "PasswordAgeDays" NÃO é permitida. Quando essa expiração é detetada, a palavra-passe é alterada imediatamente e a nova data de expiração da palavra-passe é definida de acordo com a política.
Se não for especificado, esta definição é predefinida como Verdadeiro.
Importante
Esta definição é ignorada, a menos que o BackupDirectory esteja configurado para fazer uma cópia de segurança da palavra-passe para o Active Directory.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | bool |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | True |
| Dependência [BackupDirectory] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| false | Permitir que o carimbo de data/hora de expiração da palavra-passe configurado exceda a idade máxima da palavra-passe. |
| true (Predefinição) | Não permita que o carimbo de data/hora de expiração da palavra-passe configurado exceda a idade máxima da palavra-passe. |
Políticas/PasswordLength
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Utilize esta definição para configurar o comprimento da palavra-passe da conta de administrador local gerida.
Se não for especificada, esta definição irá predefinir 14 carateres.
Esta definição tem um valor mínimo permitido de 8 carateres.
Esta definição tem um valor máximo permitido de 64 carateres.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Intervalo: [8-64] |
| Valor Padrão | 14 |
| Dependência [PasswordComplexity] | Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor Permitido da Dependência: [1-5] Tipo de Valor Permitido de Dependência: Range |
Policies/PostAuthenticationActions
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Utilize esta definição para especificar as ações a tomar após a expiração do período de tolerância configurado.
Se não for especificada, esta definição será predefinida como 3 (Reponha a palavra-passe e termine a sessão na conta gerida).
Importante
As ações de pós-autenticação permitidas destinam-se a ajudar a limitar o tempo durante o qual uma palavra-passe laps pode ser utilizada antes de ser reposta. O início de sessão na conta gerida ou o reinício do dispositivo são opções que ajudam a garantir isso. A terminação abrupta de sessões de início de sessão ou o reinício do dispositivo pode resultar na perda de dados.
Importante
Do ponto de vista da segurança, um utilizador malicioso que adquire privilégios administrativos num dispositivo através de uma palavra-passe laps válida tem a capacidade final de impedir ou contornar estes mecanismos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valor Padrão | 3 |
Valores Permitidos:
| Valor | Descrição |
|---|---|
| 1 | Repor palavra-passe: após a expiração do período de tolerância, a palavra-passe da conta gerida será reposta. |
| 3 (Predefinição) | Reponha a palavra-passe e termine a sessão na conta gerida: após a expiração do período de tolerância, a palavra-passe da conta gerida será reposta e todas as sessões de início de sessão interativas com a conta gerida serão terminadas. |
| 5 | Repor a palavra-passe e reiniciar: após a expiração do período de tolerância, a palavra-passe da conta gerida será reposta e o dispositivo gerido será reiniciado imediatamente. |
| 11 | Reponha a palavra-passe, inicie sessão na conta gerida e termine todos os processos restantes: após a expiração do período de tolerância, a palavra-passe da conta gerida é reposta, todas as sessões de início de sessão interativas que utilizem a conta gerida são terminadas e todos os processos restantes são terminados. |
Policies/PostAuthenticationResetDelay
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Utilize esta definição para especificar a quantidade de tempo (em horas) a aguardar após uma autenticação antes de executar as ações de pós-autenticação especificadas.
Se não for especificado, esta definição será predefinida para 24 horas.
Esta definição tem um valor mínimo permitido de 0 horas (isto desativa todas as ações pós-autenticação).
Esta definição tem um valor máximo permitido de 24 horas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | int |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Intervalo: [0-24] |
| Valor Padrão | 24 |
Aplicabilidade de Definições
O CSP de LAPS pode ser utilizado para gerir dispositivos associados a Microsoft Entra ID ou associados ao Microsoft Entra ID e ao Active Directory (associados híbridos). O CSP de LAPS gere uma combinação de definições apenas de Microsoft Entra e apenas do AD. As definições apenas do AD só são aplicáveis para dispositivos associados à implementação híbrida e, em seguida, apenas quando o BackupDirectory está definido como 2.
| Nome da configuração | Associado ao Azure | Associado híbrido |
|---|---|---|
| BackupDirectory | Sim | Sim |
| PasswordAgeDays | Sim | Sim |
| PasswordLength | Sim | Sim |
| PasswordComplexity | Sim | Sim |
| PasswordExpirationProtectionEnabled | Não | Sim |
| AdministratorAccountName | Sim | Sim |
| ADPasswordEncryptionEnabled | Não | Sim |
| ADPasswordEncryptionPrincipal | Não | Sim |
| ADEncryptedPasswordHistorySize | Não | Sim |
| PostAuthenticationResetDelay | Sim | Sim |
| PostAuthenticationActions | Sim | Sim |
| ResetPassword | Sim | Sim |
| ResetPasswordStatus | Sim | Sim |
Exemplos de SyncML
Os exemplos seguintes são fornecidos para mostrar o formato correto e não devem ser considerados como uma recomendação.
A palavra-passe de cópia de segurança de dispositivos associados ao Azure até Microsoft Entra ID
Este exemplo mostra como configurar um dispositivo associado ao Azure para fazer uma cópia de segurança da palavra-passe para Microsoft Entra ID:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Palavra-passe de cópia de segurança de dispositivos associados híbridos ao Active Directory
Este exemplo mostra como configurar um dispositivo híbrido para fazer uma cópia de segurança da palavra-passe para o Active Directory com a encriptação de palavra-passe ativada:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>