LAPS CSP

Importante

Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.

O fornecedor de serviços de configuração da Solução de Palavra-passe de Administrador Local (LAPS) (CSP) é utilizado pela empresa para gerir a cópia de segurança das palavras-passe da conta de administrador local. O Windows suporta um Objeto de Política de Grupo laps totalmente separado do CSP laps. Muitas das várias definições são comuns tanto no GPO de LAPS como no CSP (o GPO não suporta nenhuma das definições relacionadas com a ação). Desde que pelo menos uma definição laps esteja configurada através de CSP, todas as definições configuradas para GPO serão ignoradas. Veja também Configurar definições de política para a LAPS do Windows.

Observação

Para obter mais informações sobre as atualizações específicas do SO necessárias para utilizar o CSP da LAPS do Windows e as funcionalidades associadas, bem como o estado atual do cenário microsoft Entra LAPS, consulte Disponibilidade do Windows LAPS e estado de pré-visualização pública do Microsoft Entra LAPS.

Dica

Este artigo aborda os detalhes técnicos específicos do CSP laps. Para obter mais informações sobre os cenários em que o CSP de LAPS seria utilizado, consulte Solução de Palavra-passe de Administrador Local do Windows.

A lista seguinte mostra os nós do fornecedor de serviços de configuração laps:

• ./Device/Vendor/MSFT/LAPS
  • Ações
    • ResetPassword
    • ResetPasswordStatus
  • Políticas
    • ADEncryptedPasswordHistorySize
    • AdministratorAccountName
    • ADPasswordEncryptionEnabled
    • ADPasswordEncryptionPrincipal
    • AutomaticAccountManagementEnableAccount
    • AutomaticAccountManagementEnabled
    • AutomaticAccountManagementNameOrPrefix
    • AutomaticAccountManagementRandomizeName
    • AutomaticAccountManagementTarget
    • BackupDirectory
    • Frase de acessoLength
    • PasswordAgeDays
    • PasswordComplexity
    • PasswordExpirationProtectionEnabled
    • PasswordLength
    • PostAuthenticationActions
    • PostAuthenticationResetDelay

Ações

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Actions

Define o nó interior principal para todas as definições relacionadas com a ação no CSP laps.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	node
Tipo de acesso	Obter

Ações/ReporPassword

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Utilize esta definição para indicar ao CSP para gerar e armazenar imediatamente uma nova palavra-passe para a conta de administrador local gerida.

Esta ação invoca uma reposição imediata da palavra-passe da conta de administrador local, ignorando as restrições normais, como PasswordLengthDays, etc.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	null
Tipo de acesso	Executivo

Actions/ResetPasswordStatus

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Utilize esta definição para consultar o estado da última ação de execução resetPassword submetida.

O valor devolvido é um código HRESULT:

• S_OK (0x0): a última ação ResetPassword submetida foi efetuada com êxito.
• E_PENDING (0x8000000): a última ação ResetPassword submetida ainda está em execução.
• Outro: a última ação ResetPassword submetida encontrou o erro devolvido.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Obter
Valor Padrão	0

Políticas

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies

Nó de raiz para políticas laps.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	node
Tipo de acesso	Obter
Atomic Required	True

Policies/ADEncryptedPasswordHistorySize

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Utilize esta definição para configurar quantas palavras-passe encriptadas anteriores serão memorizadas no Active Directory.

Se não for especificado, esta definição será predefinida para 0 palavras-passe (desativada).

Esta definição tem um valor mínimo permitido de 0 palavras-passe.

Esta definição tem um valor máximo permitido de 12 palavras-passe.

Importante

Esta definição é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como Verdadeiro e todos os outros pré-requisitos sejam cumpridos.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Intervalo: [0-12]
Valor Padrão	0
Dependência [BackupDirectory]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM

Políticas/AdministratorAccountName

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Utilize esta definição para configurar o nome da conta de administrador local gerida.

Se não for especificado, a conta de administrador local incorporada predefinida estará localizada por UM SID conhecido (mesmo que o nome tenha sido mudado).

Se for especificado, a palavra-passe da conta especificada será gerida.

Tenha em atenção que, se for especificado um nome de conta de administrador local gerido personalizado nesta definição, essa conta tem de ser criada através de outros meios. Especificar um nome nesta definição não fará com que a conta seja criada.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	chr (cadeia)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Policies/ADPasswordEncryptionEnabled

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Utilize esta definição para configurar se a palavra-passe está encriptada antes de ser armazenada no Active Directory.

Esta definição é ignorada se a palavra-passe estiver atualmente a ser armazenada no Azure.

Esta definição só é respeitada quando o domínio do Active Directory está no Nível Funcional de Domínio do Windows Server 2016 ou superior.

• Se esta definição estiver ativada e o domínio do Active Directory cumprir os pré-requisitos da DFL, a palavra-passe será encriptada antes de ser armazenada no Active Directory.

• Se esta definição estiver desativada ou se o domínio do Active Directory não cumprir os pré-requisitos da DFL, a palavra-passe será armazenada como texto não encriptado no Active Directory.

Se não for especificado, esta definição é predefinida como Verdadeiro.

Importante

Esta definição é ignorada, a menos que o BackupDirectory esteja configurado para fazer uma cópia de segurança da palavra-passe para o Active Directory E o domínio do Active Directory esteja no Nível Funcional de Domínio do Windows Server 2016 ou superior.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	True
Dependência [BackupDirectory]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM

Valores Permitidos:

Valor	Descrição
false	Armazene a palavra-passe num formulário de texto não encriptado no Active Directory.
true (Predefinição)	Armazene a palavra-passe num formulário encriptado no Active Directory.

Policies/ADPasswordEncryptionPrincipal

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Utilize esta definição para configurar o nome ou SID de um utilizador ou grupo que possa desencriptar a palavra-passe armazenada no Active Directory.

Esta definição é ignorada se a palavra-passe estiver atualmente a ser armazenada no Azure.

Se não for especificado, a palavra-passe será desencriptável pelo grupo Admins do Domínio no domínio do dispositivo.

Se for especificado, o utilizador ou grupo especificado poderá desencriptar a palavra-passe armazenada no Active Directory.

Se a conta de utilizador ou grupo especificada for inválida, o dispositivo reverterá para a utilização do grupo Admins do Domínio no domínio do dispositivo.

Importante

Esta definição é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como Verdadeiro e todos os outros pré-requisitos sejam cumpridos. A cadeia armazenada nesta definição tem de ser um SID no formulário de cadeia ou o nome completamente qualificado de um utilizador ou grupo. Exemplos válidos incluem:

• S-1-5-21-2127521184-1604012920-1887927527-35197
• contoso\LAPSAdmins
• lapsadmins@contoso.com

O principal identificado (por SID ou nome de utilizador\grupo) tem de existir e ser resolvível pelo dispositivo.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	chr (cadeia)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Dependência [BackupDirectory]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM

Políticas/AutomaticAccountManagementEnableAccount

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ Windows Insider Preview

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Utilize esta definição para configurar se a conta gerida automaticamente está ativada ou desativada.

• Se esta definição estiver ativada, a conta de destino será ativada.

• Se esta definição estiver desativada, a conta de destino será desativada.

Se não for especificado, esta definição é predefinida como Falso.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	False
Dependência [AutomaticAccountManagementEnabled]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM

Valores Permitidos:

Valor	Descrição
Falso (Predefinição)	A conta de destino será desativada.
True	A conta de destino será ativada.

Políticas/AutomaticAccountManagementEnabled

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ Windows Insider Preview

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Utilize esta definição para especificar se a gestão automática de contas está ativada.

• Se esta definição estiver ativada, a conta de destino será gerida automaticamente.

• Se esta definição estiver desativada, a conta de destino não será gerida automaticamente.

Se não for especificado, esta definição é predefinida como Falso.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	False

Valores Permitidos:

Valor	Descrição
falso (Predefinição)	A conta de destino não será gerida automaticamente.
true	A conta de destino será gerida automaticamente.

Policies/AutomaticAccountManagementNameOrPrefix

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ Windows Insider Preview

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Utilize esta definição para configurar o nome ou prefixo da conta de administrador local gerida.

Se especificado, o valor será utilizado como o nome ou prefixo de nome da conta gerida.

Se não for especificado, esta definição será predefinida como "WLapsAdmin".

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	chr (cadeia)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Dependência [AutomaticAccountManagementEnabled]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM

Policies/AutomaticAccountManagementRandomizeName

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ Windows Insider Preview

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Utilize esta definição para configurar se o nome da conta gerida automaticamente utiliza um sufixo numérico aleatório sempre que a palavra-passe é rodada.

Se esta definição estiver ativada, o nome da conta de destino utilizará um sufixo numérico aleatório.

Se esta definição for desativada, o nome da conta de destino não utilizará um sufixo numérico aleatório.

Se não for especificado, esta definição é predefinida como Falso.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	False
Dependência [AutomaticAccountManagementEnabled]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM

Valores Permitidos:

Valor	Descrição
Falso (Predefinição)	O nome da conta de destino não utilizará um sufixo numérico aleatório.
True	O nome da conta de destino utilizará um sufixo numérico aleatório.

Policies/AutomaticAccountManagementTarget

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ Windows Insider Preview

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Utilize esta definição para configurar a conta que é gerida automaticamente.

As definições permitidos são:

0=A conta de administrador incorporada será gerida.

1=Será gerida uma nova conta criada pela LAPS do Windows.

Se não for especificado, esta definição será predefinida como 1.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	1
Dependência [AutomaticAccountManagementEnabled]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor Permitido da Dependência: true Tipo de Valor Permitido de Dependência: ENUM

Valores Permitidos:

Valor	Descrição
0	Gerir a conta de administrador incorporada.
1 (Predefinição)	Gerir uma nova conta de administrador personalizada.

Políticas/BackupDirectory

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Utilize esta definição para configurar o diretório para o qual é criada uma cópia de segurança da palavra-passe da conta de administrador local.

As definições permitidos são:

0=Desativado (não será criada uma cópia de segurança da palavra-passe) 1=Faça uma cópia de segurança da palavra-passe para o Microsoft Entra ID apenas 2=Faça uma cópia de segurança da palavra-passe apenas para o Active Directory.

Se não for especificado, esta definição será predefinida como 0.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	0

Valores Permitidos:

Valor	Descrição
0 (Padrão)	Desativado (não será criada uma cópia de segurança da palavra-passe).
1	Faça uma cópia de segurança da palavra-passe apenas para o ID do Microsoft Entra.
2	Faça uma cópia de segurança da palavra-passe apenas para o Active Directory.

Políticas/Frase de AcessoLength

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ Windows Insider Preview

./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Utilize esta definição para configurar o número de palavras de frase de acesso.

Se não for especificado, esta definição será predefinida para 6 palavras.

Esta definição tem um valor mínimo permitido de 3 palavras.

Esta definição tem um valor máximo permitido de 10 palavras.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Intervalo: [3-10]
Valor Padrão	6
Dependência [PasswordComplexity]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor Permitido da Dependência: [6-8] Tipo de Valor Permitido de Dependência: Range

Políticas/PasswordAgeDays

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Utilize esta política para configurar a idade máxima da palavra-passe da conta de administrador local gerida.

Se não for especificado, esta definição será predefinida para 30 dias.

Esta definição tem um valor mínimo permitido de 1 dia ao criar uma cópia de segurança da palavra-passe para o Active Directory no local e 7 dias durante a cópia de segurança da palavra-passe para o ID do Microsoft Entra.

Esta definição tem um valor máximo permitido de 365 dias.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Intervalo: [1-365]
Valor Padrão	30
Dependency [BackupDirectoryAADMode BackupDirectoryADMode]	Tipo de Dependência: DependsOn DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: Tipo de Valor Permitido de Dependência: ENUM ENUM

Políticas/PasswordComplexity

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Utilize esta definição para configurar a complexidade da palavra-passe da conta de administrador local gerida.

As definições permitidos são:

1=Letras grandes 2=Letras grandes + letras pequenas 3=Letras grandes + letras pequenas + números 4=Letras grandes + letras pequenas + números + carateres especiais 5=Letras grandes + letras pequenas + números + carateres especiais (legibilidade melhorada) 6=Frase de acesso (palavras longas) 7=Frase de acesso (palavras curtas) 8=Frase de acesso (palavras curtas com prefixos exclusivos)

Se não for especificado, esta definição será predefinida como 4.

Lista de frases de acesso obtida a partir de "Deep Dive: EFF's New Wordlists for Random Passphrases" da Electronic Frontier Foundation e é utilizada ao abrigo de uma licença de Atribuição CC-BY-3.0. Consulte https://go.microsoft.com/fwlink/?linkid=2255471 para mais informações.

Importante

O Windows suporta as definições de complexidade de palavras-passe mais baixas (1, 2 e 3) apenas para retrocompatibilidade com versões mais antigas da LAPS. A Microsoft recomenda que esta definição seja sempre configurada para 4.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	4

Valores Permitidos:

Valor	Descrição
1	Letras grandes.
2	Letras grandes + letras pequenas.
3	Letras grandes + letras pequenas + números.
4 (Predefinição)	Letras grandes + letras pequenas + números + carateres especiais.
5	Letras grandes + letras pequenas + números + carateres especiais (legibilidade melhorada).
6	Frase de acesso (palavras longas).
7	Frase de acesso (palavras curtas).
8	Frase de acesso (palavras curtas com prefixos exclusivos).

Políticas/PasswordExpirationProtectionEnabled

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Utilize esta definição para configurar a imposição adicional da idade máxima da palavra-passe para a conta de administrador local gerida.

Quando esta definição está ativada, a expiração planeada de palavra-passe que resultaria numa idade de palavra-passe superior à ditada pela política "PasswordAgeDays" NÃO é permitida. Quando essa expiração é detetada, a palavra-passe é alterada imediatamente e a nova data de expiração da palavra-passe é definida de acordo com a política.

Se não for especificado, esta definição é predefinida como Verdadeiro.

Importante

Esta definição é ignorada, a menos que o BackupDirectory esteja configurado para fazer uma cópia de segurança da palavra-passe para o Active Directory.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	True
Dependência [BackupDirectory]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor Permitido da Dependência: 2 Tipo de Valor Permitido de Dependência: ENUM

Valores Permitidos:

Valor	Descrição
false	Permitir que o carimbo de data/hora de expiração da palavra-passe configurado exceda a idade máxima da palavra-passe.
true (Predefinição)	Não permita que o carimbo de data/hora de expiração da palavra-passe configurado exceda a idade máxima da palavra-passe.

Políticas/PasswordLength

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Utilize esta definição para configurar o comprimento da palavra-passe da conta de administrador local gerida.

Se não for especificada, esta definição irá predefinir 14 carateres.

Esta definição tem um valor mínimo permitido de 8 carateres.

Esta definição tem um valor máximo permitido de 64 carateres.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Intervalo: [8-64]
Valor Padrão	14
Dependência [PasswordComplexity]	Tipo de Dependência: DependsOn URI de Dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor Permitido da Dependência: [1-5] Tipo de Valor Permitido de Dependência: Range

Policies/PostAuthenticationActions

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Utilize esta definição para especificar as ações a tomar após a expiração do período de tolerância configurado.

Se não for especificada, esta definição será predefinida como 3 (Reponha a palavra-passe e termine a sessão na conta gerida).

Importante

As ações de pós-autenticação permitidas destinam-se a ajudar a limitar o tempo durante o qual uma palavra-passe laps pode ser utilizada antes de ser reposta. O início de sessão na conta gerida ou o reinício do dispositivo são opções que ajudam a garantir isso. A terminação abrupta de sessões de início de sessão ou o reinício do dispositivo pode resultar na perda de dados.

Importante

Do ponto de vista da segurança, um utilizador malicioso que adquire privilégios administrativos num dispositivo através de uma palavra-passe laps válida tem a capacidade final de impedir ou contornar estes mecanismos.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	3

Valores Permitidos:

Valor	Descrição
1	Repor palavra-passe: após a expiração do período de tolerância, a palavra-passe da conta gerida será reposta.
3 (Predefinição)	Reponha a palavra-passe e termine a sessão na conta gerida: após a expiração do período de tolerância, a palavra-passe da conta gerida será reposta e todas as sessões de início de sessão interativas com a conta gerida serão terminadas.
5	Repor a palavra-passe e reiniciar: após a expiração do período de tolerância, a palavra-passe da conta gerida será reposta e o dispositivo gerido será reiniciado imediatamente.
11	Reponha a palavra-passe, inicie sessão na conta gerida e termine todos os processos restantes: após a expiração do período de tolerância, a palavra-passe da conta gerida é reposta, todas as sessões de início de sessão interativas que utilizem a conta gerida são terminadas e todos os processos restantes são terminados.

Policies/PostAuthenticationResetDelay

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅ [10.0.25145] e posterior ✅ Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅ Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅ Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅ Windows 11, versão 22H2 [10.0.22621.1480] e posterior

./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Utilize esta definição para especificar a quantidade de tempo (em horas) a aguardar após uma autenticação antes de executar as ações de pós-autenticação especificadas.

Se não for especificado, esta definição será predefinida para 24 horas.

Esta definição tem um valor mínimo permitido de 0 horas (isto desativa todas as ações pós-autenticação).

Esta definição tem um valor máximo permitido de 24 horas.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Intervalo: [0-24]
Valor Padrão	24

Aplicabilidade de Definições

O CSP de LAPS pode ser utilizado para gerir dispositivos associados ao Microsoft Entra ID ou associados ao Microsoft Entra ID e ao Active Directory (associados híbridos). O CSP de LAPS gere uma combinação de definições apenas do Microsoft Entra e do AD. As definições apenas do AD só são aplicáveis para dispositivos associados à implementação híbrida e, em seguida, apenas quando o BackupDirectory está definido como 2.

Nome da configuração	Associado ao Azure	Associado híbrido
BackupDirectory	Sim	Sim
PasswordAgeDays	Sim	Sim
PasswordLength	Sim	Sim
PasswordComplexity	Sim	Sim
PasswordExpirationProtectionEnabled	Não	Sim
AdministratorAccountName	Sim	Sim
ADPasswordEncryptionEnabled	Não	Sim
ADPasswordEncryptionPrincipal	Não	Sim
ADEncryptedPasswordHistorySize	Não	Sim
PostAuthenticationResetDelay	Sim	Sim
PostAuthenticationActions	Sim	Sim
ResetPassword	Sim	Sim
ResetPasswordStatus	Sim	Sim

Exemplos de SyncML

Os exemplos seguintes são fornecidos para mostrar o formato correto e não devem ser considerados como uma recomendação.

Azure-joined device backing password up to Microsoft Entra ID

Este exemplo mostra como configurar um dispositivo associado ao Azure para fazer uma cópia de segurança da palavra-passe para o Microsoft Entra ID:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Palavra-passe de cópia de segurança de dispositivos associados híbridos ao Active Directory

Este exemplo mostra como configurar um dispositivo híbrido para fazer uma cópia de segurança da palavra-passe para o Active Directory com a encriptação de palavra-passe ativada:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Artigos relacionados

Referência de provedor de serviços de configuração